RGPD et contrats : étape supplémentaire de la mise en conformité

Geneviève SAQUET
Geneviève SAQUET
Mis à jour le 2019-12-17
Share LinkedIn

Le Règlement Général sur la Protection des Données (RGPD) entré en application en mai 2018, impose aux entreprises une mise en conformité concernant le traitement qu’elles opèrent sur les données à caractère personnel. Si le registre de traitement est important dans cette mise en conformité, d’autres aspects juridiques le sont aussi. Le contrat prend notamment une place très importante dans la protection des données personnelles.

Ce sont les articles 6 et 28 du RGPD, notamment, qui posent les bases de l’importance du contrat. L’article 6 rappelle les bases légales des traitements de données ; l’une d’elle est précisément l’exécution du contrat. L’article 28 est relatif aux sous-traitant, et c’est bien un contrat qui relie ceux-ci au responsable de traitement.

La dimension contractuelle de la conformité

Le contrat est donc central dans la mise en conformité, et ce selon plusieurs aspect. La perspective la plus évidente à ce titre est certainement la mise en conformité des contrats avec les sous-traitants. En effet, le RGPD en fait la mention directe dans son article 28 : “Le traitement par un sous-traitant est régi par un contrat […] qui lie le sous-traitant à l’égard du responsable du traitement”. Ces contrats doivent donc obligatoirement être mis à jour afin que l’entreprise soit totalement conforme au RGPD. Ces sous-traitants peuvent aussi bien être un prestataire informatique qu’une agence de recrutement ou encore une entreprise de nettoyage. Cependant, les contrats ne doivent être mis à jour que dans le cas où ces sous-traitants ont accès aux données de votre entreprise.

Au-delà des contrats de sous-traitance, la conformité va bien plus loin dans sa dimension contractuelle puisque les salariés, qui font donc l’objet d’un contrat de travail, doivent nécessairement être informés du traitement dont leurs données font l’objet. Ce devoir d’information est donc intrinsèquement liée au contrat de travail conclu entre l’entreprise et le salarié.

Enfin, il semble utile de préciser l’obligation de documentation de la conformité, imposée par la CNIL : la mise à jour des contrats et l’information des salariés doit servir de preuve à la conformité RGPD.

Au-delà de la simple mise en conformité, le contrat est également une justification au traitement de données à caractère personnel dans l’entreprise.

Le contrat, base légale du traitement de données

C’est l’article 6 du RGPD qui prévoit la licéité du traitement de données notamment dans le cas où “le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci”. On a donc là un autre aspect de l’importance des contrats dans le RGPD : vous pouvez baser votre traitement de données sur l’exécution d’un contrat. Encore faut-il savoir comment interpréter cette règle…

Récemment, le CEPD (Comité Européen à la Protection des Données) a pu dévoiler des Guidelines, relatives à ces traitements de données fondés sur l’exécution de contrats, et plus précisément dans le contexte de contrats en ligne. Le CEPD précise donc que les données peuvent être traitées de manière précontractuelles uniquement lorsqu’elles émanent de la personne concernées. En matière contractuelle, trois conditions doivent être réunies pour justifier le traitement :
1. L’existence d’un contrat avec la personne concernée ;
2. Ledit contrat doit être conforme au droit des obligations national applicable ;
3. Le traitement doit être objectivement nécessaire quant à l’exécution du contrat.

Sans ces conditions, le traitement devra s’appuyer sur une base légale différente dans l’article 6 du RGPD.

Tant pour la preuve de votre mise en conformité que pour le choix de bases légales quant aux traitements de données personnelles, Blockproof est là pour vous accompagner dans toutes les étapes de votre mise en conformité. On fixe une démo gratuite ?