La négociation contractuelle, en toute matière, doit être pragmatique. Vous devez donc vous concentrer sur les clauses importantes pour vous.
Le préalable indispensable : déterminer qui fait quoi.
Il ressort de la législation en matière de données personnelles qu’est considérée comme responsable de traitement la personne ou entité qui détermine les finalités et les moyens d’un traitement de données personnelles. (Exemple : la société exploitant un site de e-commerce.)
La personne ou entité qui traite ces données personnelles pour le compte et selon les instructions de son client a, quant à lui, la qualité de sous-traitant. Exemple : le prestataire informatique type hébergeur ou société de maintenance informatique lorsque ces derniers traitent des données pour le compte de leurs clients, étant précisé que la notion de "traitement" doit être entendue au sens large. Ainsi, la simple conservation ou copie est un traitement.
La question de la qualification est très importante car à chaque qualité sont rattachées des obligations et responsabilités qui ne peuvent pas être transférées au voisin.
La philosophie du RGPD est celle d’une responsabilité partagée et c’est donc dans cet esprit qu’il faut négocier les clauses RGPD.
Quelques exemples de sujets à traiter.
• Les instructions de votre client doivent autant que possible être formulées par écrit. Vous avez en effet l’obligation de n’agir que sur ses instructions. Si ces dernières sont clairement rédigées, vous ne prêtez pas le flanc à la critique en cas de conflit.
• Une instruction de votre client vous paraît illicite, comment faire ? Vous devez prévoir un mécanisme d’alerte de ce dernier et, le cas échéant, de sortie du contrat dans certaines circonstances. Exemple : votre client vous demande d’héberger non plus des données « classiques » mais des données de santé, par définition sensibles, alors que vous n’êtes pas agréé pour une telle mission.
• Une analyse d’impact doit être menée par votre client : si vous devez l’assister dans cette démarche, n’oubliez pas de prévoir les modalités de votre intervention (ex : en régie).
• Vous faites appel vous-même à des sous-traitants. Exemple : vous hébergez des données personnelles pour votre client qui sont elles-mêmes hébergées par votre prestataire hébergeur. Bien veiller à ce que vous conserviez la possibilité de changer de sous-traitant sans systématiquement devoir demander l’autorisation à vos clients.
Un conseil ?
Gardez à l’esprit que votre client ne peut vous demander de le garantir contre tout. Il essaiera, c’est certain ! Il doit en effet pleinement s’acquitter de ses obligations type notifier aux personnes concernées leurs droits sur leurs données et à la CNIL une violation de sécurité ou permettre aux personnes concernées d’exercer leurs différents droits (accès, rectification, etc.). Votre client peut bien entendu vous demander de vous impliquer dans ce processus, moyennant contrepartie financière. Il demeurera cependant responsable vis-à-vis des autorités.
En résumé, le RGPD, c’est une aventure à deux !