Les points essentiels d’un contrat pour être conforme au RGPD, exposés par maître Thierry Peliks au Lundi de l’IE du mois d’avril

Ce texte est issu de l’intervention au Lundi de l’IE du Medef Hauts-de-Seine, à Télécom ParisTech, de Maître Thierry Peliks, avocat au sein du cabinet Blum Legal.
 
Lors de son intervention, Thierry Peliks, qui intervenait avec Fabrice Mattatia, directeur exécutif du Mastère spécialisé « Data Protection Management » de l’Ecole de management de l’Institut Mines Télécom, a insisté sur l'importance d'encadrer contractuellement les relations entre les clients et les prestataires s'agissant de leurs rôles, obligations et responsabilités dans le cadre du RGPD – Règlement Général de la Protection des Données personnelles.
 
Il a notamment développé les points qui devraient être clairement définis dans un cadre contractuel :
  • Le statut des Parties (Responsable de traitement/Sous-traitant/Co-responsables de traitement)
  • Une description précise du/des traitement(s) effectué(s) dans le cadre de la relation contractuelle
  • Les Obligations, en particulier celles du Prestataire, en matière organisationnelle et de sécurité
  • Le partage de responsabilités entre les Parties (avec éventuellement la mise en place d'un plafond de responsabilité)
  • Les principes de coopération et assistance entre les Parties (a été décrite l’assistance du Prestataire vis-à-vis de son Client s’agissant notamment des notifications de violation de données, analyse d’impacts, exercices des droits des personnes concernées)
  • Les règles mises en place en matière de sécurité et de confidentialité
  • L'encadrement de la sous-traitance ultérieure
  • L'encadrement des audits effectués par le responsable de traitement chez son sous-traitant (ainsi que chez les sous-traitants ultérieurs le cas échéant)
  • Les transferts de données à caractère personnel hors UE (interdiction ou description des modalités d’encadrement desdits transferts)
  • Le sort des données à caractère personnel à la fin de la mission/issue du Contrat (restitution et/ou destruction des DCP par le sous-traitant).
 

Chacun des points évoqués nécessite une prise en compte des intérêts des parties sur le plan juridique mais également une vérification par les opérationnels afin d'aborder les aspects techniques qui en découlent. 
 
 
Auteur: 
Thierry Peliks, Avocat au Barreau de Paris, tpeliks@b-partners-international.com

Ajouter un commentaire

Full HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Vous pouvez utiliser du code PHP. Vous devrez inclure les tags <?php ?>.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Filtered HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.