Le RGPD substitue au régime de formalités préalables prévu par la loi informatique et libertés du 6 janvier 1978, un système fondé sur la responsabilité des acteurs qui devront démontrer la conformité de leurs traitements à ce règlement à tout moment.

Les entreprises traitant les données personnelles de leurs clients sont particulièrement impactées par ce nouveau corpus dans la mesure où il crée un certain nombre d’obligations nouvelles, tendant notamment à la tenue de registres ou à l’analyse d’impact.

• Une vigilance accrue en matière de contrats commerciaux

Il convient de noter que, précédemment, le non-respect d’une disposition de la loi informatique et libertés pouvait entrainer la nullité du contrat.

En effet, un arrêt de la chambre commerciale de la Cour de cassation (Cass. com 25 juin 2013, n°12-17037), au visa des articles 1128 du Code civil et 22 de la loi informatique et liberté, a prononcé la nullité de la cession d’un fichier de clientèle non déclaré à la CNIL pour illicéité de l’objet.

Cette jurisprudence a depuis été consacrée puisque « un fichier client non déclaré à la CNIL est hors commerce et ne peut faire l’objet d’une disposition contractuelle » (CA Bordeaux, Civ. 1, 16 janv. 2017).

Cette position devrait continuer à s’appliquer.

En effet, le RGPD renforce encore davantage les obligations des parties à un contrat informatique.

On entend par là les contrats d’hébergement, de maintenance, de cloud computing, ou tout contrat ayant pour objet le traitement de données personnelles passé entre deux professionnels.

L’hébergeur a donc à charge de protéger la preuve de sa transmission de tous documents, procédures, guides et chartes qu’il remet à son futur partenaire lors des négociations, afin d’assurer qu’il sera en mesure de respecter les nouvelles obligations européennes.

Les parties sont alors incitées à discuter de manière approfondie de leurs politiques respectives de protection des données à caractère personnel avant de conclure un contrat.

Par ailleurs, selon le RGPD, les parties à un contrat peuvent prendre la qualité de responsable du traitement, de coresponsable de traitement, de sous-traitant, voire de tiers destinataire.

Dès lors, la qualité de chaque partie aura un impact sur les obligations qu’elle porte, et sur la forme du contrat. Toutes les entreprises sont donc aujourd’hui amenées à revoir les contrats qu’elles ont passés. Il s’agit pour elles d’une opération minutieuse mais essentielle, pour se mettre en conformité avec la nouvelle réglementation.

• Une nouvelle organisation du traitement des données personnelles

Le RGPD va conduire les entreprises à réorganiser leurs services traitant des données personnelles afin de se conformer aux nouvelles obligations qui leur sont imposées.

Ainsi, on peut observer que les entreprises sont dorénavant conduites à renforcer :

–    L’obligation de protéger toutes leurs données : le niveau de cette exigence dépend du type de données que les entreprises collectent, l’usage qu’elles en font ou, tout simplement, leur taille. Ainsi, les entreprises de plus de 250 salariés ont l’obligation de tenir un registre recensant l’ensemble des traitements effectués dans le cadre de leur activité. Il en est de même des entreprises qui traitent des données sensibles ou susceptible de présenter un risque pour les personnes concernées, ou encore qui font du suivi comportemental à grande échelle, ou encore dont le cœur d’activité nécessite des traitements récurrents. Concrètement, peu d’entreprises devraient échapper à cette obligation.

–    L’obligation de mettre à jour systématiquement ces données : L’objectif est de « limiter la quantité de données traitées dès le départ ». Cela implique pour les entreprises de bien cerner les données dont elles ont réellement besoin, et de définir les moyens pour les protéger.

–    L’information des clients et salariés : Il s’agit aussi d’informer les clients, salariés ou sous-traitants des données récoltées et de leur préciser dans quel but, ainsi que de tous les outils mis en place pour garantir leurs droits.

–    Le contrôle des données en procédant à la nomination d’un délégué à la protection des données (DPD) : Les entreprises peuvent être soumises à l’obligation de nommer en leur sein ou en externe un DPD, selon qu’elles gèrent ou non des traitements de données à grande échelle ou de nature sensible. Quoi qu’il en soit, il est fortement encouragé de nommer, à tout le moins, au sein de l’entreprise, un référent données personnelles qui sera particulièrement sensibilisé à ces sujets, afin de veiller à la pleine conformité permanente au cadre légal de la gestion des données personnelles par l’organisation.

D’éventuels manquements aux règles du RGPD exposeront à des sanctions pouvant aller jusque 20 millions d’euros ou 4% de leur chiffre d’affaires global (le chiffre le plus important étant retenu).