Négociations contractuelles : quel rôle pour le DPO ?

Le rôle du DPO est souvent complexe à formaliser ou à mettre en musique, c’est un point que ces Paroles de DPO ont souvent abordé, en soulignant aussi l’impératif d’une gouvernance efficace. Un des aspects vis-à-vis desquels chaque DPO doit être particulièrement vigilant concerne notamment la documentation contractuelle mise en œuvre ou en cours de négociation et la prise en compte à ce titre des aspects relatifs à la protection des données.

La plus-value apportée par le DPO

Le champ d’application des aspects contractuels qui nécessitent une intervention des DPO est potentiellement très large, de la négociation précontractuelle avec des prestataires ou des sous-traitants au sens de l’article 28 du RGPD à la mise à jour de la documentation existante, en matière de contrats de travail, de réseaux commerciaux ou encore de transferts internationaux de données. Alors que le chantier de mise à jour ou d’actualisation de ces contrats avait été identifié avant l’entrée en application du RGPD en 2018, force est de constater qu’en pratique ce point constitue assez peu souvent une priorité. Ainsi dans de nombreux cas, aucune revue d’ensemble n’a été mise en place alors que les DPO restent à l’écart ou associés tardivement à ces travaux.

Les questions sont pourtant très nombreuses et pour certaines, complexes à régler. C’est le cas par exemple de la qualification des responsables de traitements et des sous-traitants, qui dans de nombreuses situations est difficile à établir et nécessite des arbitrages juridiques. Cette question est récurrente et se pose très régulièrement dans la vie des affaires, avec à la clé de nombreux enjeux sur les équilibres contractuels. Ainsi, déterminer qui intervient comme responsable de traitement et devra formaliser les annexes requises, déterminer le niveau de sécurité approprié ou mettre en place les obligations d’information et de transparence n’a rien d’un parcours automatique ou tout tracé. Au contraire.

" La détermination des rôles et responsabilité de chaque acteur constitue  un point crucial et une véritable difficulté." ​​​​​​​

Et c’est là que chaque DPO doit apporter une réelle plus-value, en validant ou non les approches retenues et en apportant des solutions concrètes. C’est particulièrement vrai dans le domaine de la santé ou des essais cliniques lorsque la grande variété des acteurs intervenant suppose de réaliser une cartographie précise et de distribuer les responsabilités en jeu. La détermination des rôles et responsabilité de chaque acteur constitue dès lors un point crucial et une véritable difficulté. En dépit des définitions apportées par le RGPD et les lignes directrices du Comité Européen de la Protection des Données du 7 juillet 2021 sur les concepts de responsable de traitement et de sous-traitant, une majorité de DPO relève aujourd’hui la grande technicité de cet aspect et les enjeux en cause.

Et en pratique ?

Autant de raisons qui militent en faveur de l’implication du DPO sur ces questions. D’abord parce que l’absence de mise à jour de la documentation contractuelle est source de risques et de sanctions. Et ensuite parce que l’absence de documentation ou une documentation lacunaire sont souvent le signe d’une absence de prise en compte efficace des marqueurs d’une véritable compliance (déploiement des analyses d’impact, mise en place des obligations d’information et de transparence etc.), ce qui ne manquera pas d’être relevé en cas de contrôle.

Comment faire en pratique ? Associer systématiquement le DPO à ces process de négociation contractuelle peut se faire de façon très différente, notamment par la prise en compte systématique de pré-requis ou par une sensibilisation des équipes commerciales ou marketing à certains points d’attention. Le DPO peut aussi intervenir régulièrement pour valider ou signaler les aspects relatifs à la protection des données et les zones de risques. Autant de démarches qui là encore font partie intégrante d’une gouvernance efficace et permettent d’inscrire ces actions dans la durée, avec une véritable cohérence.

Des questions à ce sujet ? N’hésitez pas à nous contacter : www.cabinetderoulez.com

Pourquoi des paroles de DPO ?

Chaque mois, Jérôme Deroulez présente une tribune à travers laquelle il relate son expérience. À la lumière de ses missions, qu’il exerce en tant que DPO externalisé ou en soutien des DPO, il donne de l’écho aux délégués à la protection des données, à leurs pratiques ainsi qu’à leurs équipes ou à tous ceux qui travaillent au quotidien avec eux. Ce sont ces acteurs et leurs questionnements que vous retrouverez tous les mois dans ces prochaines Paroles de DPO, afin de contribuer à enrichir la place et le rôle joués par les DPO. L’objectif est de réfléchir et d’approfondir les pratiques existantes, de souligner les bonnes pratiques et d’identifier tout ce qui permet aujourd’hui de construire une gouvernance RGPD pérenne et efficace, en pleine association avec le DPO.