Voilà bien un problème de plus en plus récurrent. Chacun croit avoir SA clause à imposer à l’autre et les incompréhensions et refus se multiplient. Or, une discussion posée et une analyse de chaque situation permettent d’adapter sereinement des clauses à chaque situation.

Pour chaque relation contractuelle, le GDPR impose que les parties rédigent un document, à valeur contractuelle, visant obligatoirement un certain nombre de thèmes.

Comment faire concrètement ?

1.      Il faut d’abord analyser calmement la relation envisagée et délimiter les différents traitements possibles. En effet, une relation contractuelle ne veut pas dire un seul traitement. Il faut discuter, échanger, valider ce que chaque partie fera des données personnelles utilisées dans le champ contractuel. Dans presque 99% des cas, les finalités réelles poursuivies par chaque partie vont bien au-delà de ce que l’on croit : par exemple, le prestataire de service utilisera les données afin d’améliorer un service ou un produit, ce qui est un traitement propre.

2.      En fonction de chaque traitement identifié, le positionnement de chaque partie pour chaque traitement doit être effectué : qui décide de quoi sur le traitement concerné. Le responsable de traitement n’est pas toujours le client et le prestataire de service n’est pas toujours « sous-traitant ». D’ailleurs, plus on prend le temps d’analyser les réelles finalités poursuivies par chacun, plus on arrive fréquemment à un positionnement de co-responsabilité entre les contractants.

3.      Ensuite, pour chaque traitement, les parties déterminent les données personnelles utilisées, les durées de conservation et les personnes habilitées à manipuler les données.

4.      Une fois ce travail réalisé, les parties peuvent discuter enfin des clauses, adaptées en fonction du résultat des discussions. Ces clauses comprennent généralement un article synthétique dans le corps du contrat et une annexe dédiée reprenant les informations traitement par traitement, idéalement un RACI entre les cocontractants par thématique, les aspects propres à la sécurité, etc…

Il est important de bien comprendre que l’idée n’est pas de coller une clause type pour « être conforme », mais bien de discuter afin de négocier et signer des clauses contractuelles, c’est-à-dire qui engagent chaque partie contractuellement. Il ne s’agit pas d’un formulaire, mais bien d’une négociation contractuelle.

Afin de fluidifier le process auprès des acheteurs / commerciaux / juristes, il est préconisé de synthétiser la démarche propre aux « clauses GDPR » au sein d’une procédure de contractualisation incluant des arbres de décision, d’aides à la discussion et de modèles de clauses en fonction du positionnement de chaque partie.