Guide contractuel du RGPD (4/4) – comment utiliser la conformité comme levier de croissance

Le RGPD a rebattu les cartes de la réglementation encadrant la protection des données personnelles à de nombreux égards, avec un contrôle plus strict par la Cnil à partir du 1er avril. Nous avons demandé à Valérie Chavanne, avocate et fondatrice du cabinet LegalUP Consulting, de rédiger un guide en quatre volets pour les professionnels de la publicité en ligne sur ces évolutions réglementaires, leurs impacts sur la sphère contractuelle ainsi que les enjeux associés. 

Ce quatrième et dernier volet s’attache à décrire comment tirer le meilleur parti de votre conformité contractuelle de la gestion des données afin de la transformer en avantage concurrentiel.

LE CONTEXTE

A l’occasion de nos précédents décryptages, nous vous avons donné les outils essentiels afin de permettre la mise en conformité de vos contrats au RGPD. Nous avons vu successivement comment déterminer les qualités juridiques que vous adoptez dans le cadre de vos relations contractuelles (première tribune), les principales mentions contractuelles à intégrer à vos contrats en fonction de ces qualités (seconde tribune), et enfin comment traiter l’épineuse question des transferts de données dans vos contrats (troisième tribune).

Maintenant que la conformité n’a plus de secrets pour vous, cette quatrième et dernière tribune vise à vous aider à  mettre en œuvre nos recommandations de manière optimale, afin que vos démarches réglementaires puissent constituer un véritable levier de croissance pour votre organisation.

LES ÉTAPES D’UNE MISE EN CONFORMITÉ MÉTHODIQUE

Savoir comment se mettre en conformité avec les réglementations de protection des données personnelles est bien entendu essentiel, en particulier pour tout acteur de la publicité en ligne. Cependant, une fois ces connaissances acquises, il peut paraître difficile de trouver la bonne manière de les mettre en pratique. Par où commencer ? Quels cocontractants contacter ? De quelle manière ? Que faire en cas de désaccord ? 

Pour répondre à ces questions, nous allons partager avec vous une feuille de route en 3 étapes que nous appliquons lorsque nous accompagnons, en tant que cabinet d’avocats, nos clients dans leur mise en conformité.

• Cartographier vos traitements et transferts

La première étape essentielle est sans conteste d’établir une cartographie exhaustive des traitements de données à caractère personnel que vous opérez dans le cadre de votre activité, ainsi que des transferts que vous effectuez. Rappelons que la définition de traitement au sens du RGPD est très large. Il s’agit de “toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction”

La cartographie de vos traitements et transferts peut bien entendu prendre des formes différentes : nous la présentons généralement sous forme graphique (analyse des flux de données, ou “data flow”), mais vous pouvez également l’établir sous forme de liste, ou toute autre présentation qui conviendra le mieux à votre organisation et vos activités.

Par exemple, voici ci-dessous un extrait d’un data flow que nous avons élaboré pour l’un de nos clients – un acteur de la publicité digitale – et qui porte sur ses flux de données au sein de la chaîne de valeur – les parties sensibles sont floutées :

• Relier les traitements et transferts à vos documents contractuels

Une fois que vos traitements et transferts sont correctement cartographiés, il vous faut identifier pour chacun des traitements et transferts le contrat associé.

Après que les traitements concernés se seront vu associés le contrat pertinent (ou que vous aurez noté l’absence de contrat alors qu’il devrait y en avoir un), identifiez, pour chaque contrat associé à chaque traitement / transfert :

• La qualité théorique que vous devriez adopter dans le cadre de cette relation contractuelle. Déduisez-en également les mentions qui devraient, à ce titre, être présentes dans le contrat.
  
  
• La qualité réelle (ou l’absence de qualité explicite) que vous adoptez pour le moment dans le cadre de cette relation contractuelle, et les mentions actuellement présentes dans le contrat.

Une fois ce travail effectué, il ne vous reste plus qu’à effectuer une comparaison simple entre la qualité que vous devriez adopter et les mentions qui devraient y être associées (lire notre tribune n°2), et ce qui est actuellement présent dans le contrat (signé ou en cours de négociation), pour avoir une vue claire des ajustements contractuels nécessaires afin de mettre en conformité vos contrats au RGPD.

• Appliquer les changements

L’étape suivante est bien sûr fondamentale : vous savez quoi modifier dans vos contrats pour être en parfaite conformité ; il s’agit maintenant d’implémenter concrètement les changements dans vos différentes relations contractuelles.

La manière dont vous vous y prendrez dépendra beaucoup de votre cocontractant, et de la relation que vous entretenez avec lui. Deux options sont envisageables pour modifier vos contrats existants afin d’en garantir la conformité :

> Proposer à votre cocontractant la signature d’un avenant au contrat, venant modifier ce dernier ou y ajouter des éléments.

> Proposer à votre cocontractant de signer un nouveau contrat. Cette seconde solution est envisageable si vous souhaitez vous saisir de l’occasion pour remplacer un contrat devenu obsolète ou inadéquat.

Quelle que soit la forme choisie, la suite dépendra bien sûr des pouvoirs de négociation respectifs des parties au contrat. Il se peut que la négociation échoue (votre cocontractant refuse de modifier le contrat, de mentionner votre qualité réelle et / ou d’inclure les mentions contractuelles nécessaires). Dans de tels cas de figure, veillez à garder une trace écrite des démarches entreprises dans votre effort de mise en conformité, même si elles n’ont pas abouties, le temps de trouver une solution plus satisfaisante.
N’hésitez pas non plus à sensibiliser votre cocontractant sur les raisons qui vous ont poussé à proposer ces changements, et les risques encourus en cas de contrôle.

• Stocker et organiser vos documents contractuels

Une fois les démarches citées ci-dessus entreprises, une dernière étape  essentielle – et pourtant négligée par beaucoup – concerne l’organisation de vos différents documents contractuels. Il est en effet essentiel de :

> Conserver la cartographie de vos contrats et de vos traitements, et mettre à jour une telle cartographie régulièrement.

> Conserver les exemplaires actuels des différents contrats vous liant à vos cocontractants, auxquels font références les cartographies susmentionnées.

> Conserver une trace écrite de vos négociations avec des cocontractants récalcitrants.

Un espace documentaire contractuel sécurisé, clair et régulièrement mis à jour présente de nombreux avantages. Il s’agit tout d’abord de sécurité juridique : une organisation rigoureuse de vos contrats vous permet d’être au clair sur vos différentes obligations contractuelles, ainsi que sur la répartition des responsabilités avec vos cocontractants. Par ailleurs, en cas de problème, de contestation ou de contrôle, vous serez capables de formuler des réponses précises pour vous défendre, ou de facilement prouver votre bonne foi par une documentation pertinente. Mais au-delà du nécessaire respect de la réglementation, une gestion efficace et pérenne de vos contrats et documents contractuels représente un gain de temps majeur dans vos activités opérationnelles,en interne et dans vos relations avec des tiers, ainsi qu’un véritable levier de croissance économique.

En bref : cartographiez, négociez, organisez. 

LA CONFORMITÉ RGPD : UN AVANTAGE CONCURRENTIEL

Ces dernières années, la conformité aux réglementations entourant la protection des données personnelles est passée du statut de “nice to have” à celui d’un véritable avantage compétitif, voire même d’un impératif commercial.

Le développement fulgurant de ces réglementations, avec notamment l’adoption du RGPD, ont sensibilisé une grande partie de la population aux enjeux de protection des données personnelles. Les personnes concernées par les traitements de données sont désormais bien plus exigeantes vis-à-vis des garanties de protection mises en place par les acteurs opérant un traitement dessus : la protection des données est devenue une composante essentielle de la marque d’une entreprise.

Parallèlement, l’entrée en vigueur du RGPD a entièrement renouvelé la répartition des responsabilités en termes de protection des données, en responsabilisant l’intégralité des acteurs concernés par les traitements, quelles que soient leur qualité et leur position dans la chaîne de valeur (principe de responsabilité, ou “accountability” en anglais). C’est pourquoi un nombre croissant d’entreprises sont également de plus en plus exigeantes vis-à-vis de leurs partenaires économiques s’agissant de leur conformité RGPD.

Dans un tel environnement, les sommes investies dans la protection des données permettent un gain d’attractivité exponentiel, à la fois vis-à-vis des utilisateurs de vos services / de vos clients, mais aussi vis-à-vis de vos partenaires commerciaux.

Une étude publiée par Cisco en janvier 2020 est venue chiffrer ce phénomène. Après avoir interrogé plus de 2 500 organisations des entreprises de tailles diverses issues des principaux secteurs industriels,  les principales conclusions de l’étude étaient les suivantes :

> La plupart des organisations constatent des retours très positifs sur leurs investissements dans le domaine de la protection de la vie privée, et plus de 40 % d’entre elles constatent des bénéfices au moins deux fois supérieurs à leurs dépenses dans ce domaine.

> Le pourcentage d’organisations affirmant que la protection de la vie privée leur procure des avantages commerciaux importants (efficacité opérationnelle, agilité et innovation) est de plus de 70 %.

L’investissement dans la protection des données personnelles et la conformité crée donc de la valeur commerciale et représente à un réel avantage concurrentiel.

CONCLUSION

A l’issue de cette première série de tribunes, vous disposez désormais des outils essentiels afin de comprendre vos besoins en termes de conformité RGPD dans la sphère contractuelle, mais aussi pour y répondre.

La conformité de vos activités au RGPD constitue un avantage compétitif,  mais elle est également fondamentale pour des raisons éthiques. La protection des données personnelles fournies par les utilisateurs qui vous font confiance, tout comme votre transparence et votre bonne foi dans leur traitement, représentent le socle du développement d’une innovation pérenne et responsable.

Au-delà de la nécessaire conformité juridique ou des avantages économiques, c’est donc également la stabilité d’un écosystème reposant massivement sur les traitements de données qui dépend de vos investissements et de vos efforts de mise en conformité. 

Par conséquent, n’attendez pas pour appliquer nos conseils et aller plus loin que la conformité des contrats : portez aussi une attention particulière à l’intégralité de votre documentation (registres, Politique de confidentialité…), et négocier avec vos cocontractants pour leur faire prendre conscience de l’importance de leur propre conformité : l’intégralité des acteurs de la publicité digitale bénéficieront de pratiques plus respectueuses des données de leurs utilisateurs.

N’oubliez pas également de sensibiliser et de former vos équipes sur tous les changements entrepris dans votre mise en conformité, et de renforcer les mesures de sécurité, la limitation des accès, et l’éventuelle nomination d’un ou une DPO. Vos équipes se sentiront ainsi valorisées et auront les moyens nécessaires pour vous accompagner dans les changements structurels que sont notamment l’intégration de la “privacy by design” et de la “privacy by default. Quelle que soit sa position, chaque membre de vos effectifs a son rôle à jouer dans un environnement réglementaire où la conformité est désormais la responsabilité de chaque organisation.