Mise en conformité des contrats

Le RGPD, entré en application le 25 mai 2018, renforce les obligations des Organisations à l’égard de leurs employés, dont Elle collecte et traite des données à caractère personnel.

En effet, la Direction des Ressources Humaines est fortement impactée par le RGPD, car il s’agit de l’un des services qui traite, à l’occasion du recrutement du personnel, de la gestion de la paie ou de la gestion administrative du personnel

• Le plus gros volume de données à caractère personnel des employés de l’Organisation

• Le plus de données sensibles ou hautement personnelles : numéro de sécurité sociale, données financières, etc.

L’une des obligations de l’employeur est d’informer ses salariés sur le traitement de données réalisé par l’Organisation, les destinataires avec qui Elle partage les informations de ses employés, la durée de conservation de leurs données ainsi que de leurs droits.

Enfin, Vous devez en tant que Responsable de traitement des données de vos employés insérer dans leurs contrats de travail :

• Une clause informative sur le traitement qui est fait de leurs données par Votre Organisation dans le cadre du contrat Vous liant

• Une clause d’engagement de confidentialité pour les employés ayant vocation à manipuler des données à caractère personnel.

Comment pouvez-vous mettre en conformité les contrats de travail ?

D’abord, il Vous faut réaliser un audit des contrats de travail afin de vérifier que les clauses informative et d’engagement de confidentialité sont bien présentes.

Dans le cas où l’une des clauses ou les deux seraient absentes des contrats de travail que Vous signez avec vos employés, il Vous faut les insérer.

Smart Privacy Consulting peut Vous accompagner aussi bien dans l’audit des contrats de travail de Votre Organisation et les mettre en conformité, si nécessaire.

L’audit des contrats étant un audit optionnel, Nous Vous invitons à Nous contacter afin que Nous puissions convenir d’un rendez-vous pour sa réalisation. Ensuite, Nous serons ravis de Vous accompagner dans la rédaction des Clauses qui rendront Vos contrats de travail conformes au RGPD ;

Le RGPD oblige toute Organisation à encadrer les relations contractuelles existantes avec les tiers qui traitent des données à caractère personnel de leurs clients, prospects ou consommateurs. Il peut s’agir de sous-traitants, d’autres responsables de traitement ou de partenaires commerciaux, avec lesquels Vous travaillez, en France, en Europe ou à l’international.

Sont notamment concernés les contrats fournisseurs que Vous passez avec :

• Des prestataires de services informatiques ayant accès aux données que Vous traitez.

• Les agences marketing ou de communication traitant de données personnelles pour Votre compte

• Tout organisme offrant une prestation impliquant un traitement de données à caractère personnel, qu’il se trouve en France ou à l’étranger, voire dans un pays tiers considéré par la Commission européenne comme ne possédant pas une protection adéquate des données à caractère personnel.

1. Que doivent obligatoirement comporter ces contrats ?

Ces contrats ou avenants (communément nommé « DPA » pour Data Processing Addendum) doivent détailler de manière précise :

• Le rôle de chacune des parties (responsable de traitement, sous-traitant, responsable de traitement conjoint ou responsable de traitement autonome ou « Independent controller »)

• L’étendue de leurs obligations respectives

• Les mesures de sécurité adaptées au risque du traitement.

En cas de contrôle de l’Autorité de Contrôle (la CNIL en France), ces DPA pourront être demandés et si Vous n’avez pas respecté cette obligation, Votre Organisation peut être passible d’une sanction.

Par ailleurs, les mesures de sécurité nécessaires au traitement de données devront être adaptées au risque de celui-ci. Il conviendra ainsi de rédiger des « DPA à la carte » en fonction du :

• Rôle des parties au contrat

• Type de prestation de service fournie

• Risque du traitement de données

• Existence de transferts de données vers un pays tiers.

2. Comment savoir si Vos contrats signés avec les tiers sont conformes au RGPD ?

Afin de vérifier que Vos contrats sont parfaitement conformes au RGPD, il est nécessaire de faire un audit des contrats existants, pour s’assurer que les clauses adéquates y figurent. A défaut, un avenant doit être signé pour les y intégrer. 

Smart Privacy Consulting peut :

• Vous assister pour vérifier la conformité au RGPD de Vos contrats avec les tiers

• Rédiger et/ou négocier les DPA à signer avec les tiers, si nécessaire. 

Nous pouvons vous aider en anglais, français et espagnol.

Sachez qu’il existe des spécificités en cas de transfert de données à caractère personnel vers des pays tiers.

3. Les spécificités des contrats régissant le transfert de données personnelles vers des Pays Tiers.

Si la relation de sous-traitance entraîne le transfert de données à caractère personnel vers des pays tiers, considérés par la Commission européenne comme ne possédant pas une protection adéquate des données à caractère personnel, Vous devez encadrer ces transferts afin qu'ils respectent les libertés et droits fondamentaux des personnes pour qui Vous transférez les données.

Le RGPD prévoit ce qu’il convient de faire dans ces cas. Néanmoins, la décision de la CJUE invalidant le Privacy Shield a entraîné une modification substantielle de l’encadrement des transferts de données à caractère personnel, non seulement vers les Etats-Unis d’Amérique, mais vers tout pays tiers.

Il est conseillé de Vous rapprocher d’une professionnelle qui :

• Connaisse la règlementation internationale relative à la protection et à la sécurité des données, experte en protection de données,

• Réalise une veille juridique continue

• Ait exercé dans un environnement multiculturel et international.

C’est le cas de notre fondatrice et CEO de Smart Privacy Consulting, Patricia DEL CARMEN.

Contactez-nous en remplissant le formulaire de contact.