Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle

Contrats et documentation obligatoire d’accountability du RGPD et du secret des affaires 

La protection des données : les contrats et la documentation RGPD

Le RGPD nécessite un important travail de mise à jour des documents contractuels et des politiques et procédures internes, dans le cadre duquel l’intervention de l’avocat peut s’avérer nécessaire.

Il s’agit notamment de faire signer des avenants à vos contrats par les entreprises qui sous-traitent vos données personnelles (ex : SAAS, Cloud ou autre hébergeur, prestataire de paie, imprimerie, téléphonie, etc…) afin d’exiger d’eux les garanties de sécurité nécessaires et d’inclure les mentions contractuelles obligatoires instaurées par le RGPD.

Dans un contexte BtoC notamment, il convient de mettre à jour vos CGV/CGU, vos formulaires de consentement et vos politiques de confidentialité afin d’inclure les nouvelles informations obligatoires (ex : sur les droits de la personne concernée).

Sur le plan RH, la mise en conformité de la gestion des données personnelles des salariés est primordiale (ex : revue des informations fournies aux salariés).

Cette mise en conformité représente également une opportunité de mettre à jour vos politiques internes : charte informatique et BYOD, en collaboration avec vos instances représentatives du personnel, ou encore gestion des traitements des lanceurs d’alerte, etc…

Un autre aspect important est l’encadrement légal de vos transferts des données personnelles vers des pays tiers (ex : dans le cas d’une solution de Cloud basée aux États-Unis). Réagir aux exigences du RGPD constitue donc un chantier juridique de taille.

 

Nos avocats experts en contrats et documentation RGPD

Nos avocats experts en contrats et documentation RGPD vous conseillent dans la stratégie juridique globale de votre entreprise, en tenant notamment compte des futures levées de fonds et cessions. 

En toilettant ses pratiques de protection des données, une entreprise se prépare pour de futures opérations d’investissements ; lors de la vente de l’entreprise ou lors d’une opération d’investissement, les « due diligences » vont en effet révéler le niveau de conformité au RGPD de la cible, soit la qualité des données personnelles détenues, la licéité des traitements et la sécurité du stockage.

Le cas échéant, la valorisation de la cible sera ajustée, raison pour laquelle un programme de compliance efficace représente une excellente mesure de sécurisation. À ce titre, nous intervenons notamment dans le cadre des prestations suivantes :

  • Ressources humaines :
  • La mise en conformité de la gestion des données personnelles des salariées est primordiale (ex : revue des informations fournies aux salariés pour prendre en compte les nouvelles mentions obligatoires et les nouveaux droits des personnes concernées).

Cette mise en conformité représente également une opportunité de mettre à jour vos politiques internes : charte informatique et BYOD, en collaboration avec vos instances représentatives du personnel, ou encore gestion des traitements des lanceurs d’alerte, etc. ;

  • Relations externes et contrats :
  • Avec les sous-traitants : négociation et rédaction des contrats de sous-traitance (ex : SAAS, cloud ou autre hébergeur, prestataire de paie, imprimerie, téléphonie, etc.) afin de répondre aux exigences de l’article 28 du RGPD et de demander des garanties contractuelles en matière de responsabilité, d’assurance, de confidentialité etc. ;
  • Avec les partenaires : sécurisation de vos échanges de données avec les sociétés de votre groupe et/ou vos différents partenaires commerciaux (banques, investisseurs, affiliés, franchisés / concessionnaires, partenaires R&D, etc.) via des accords ou politiques identifiant les rôles et responsabilités de chaque partie (responsables indépendants ou conjoints, sous-traitants, etc.) ;
  • Avec les clients, les prospects et les utilisateurs du site : mise à jour des CGV/CGU, des formulaires de consentement et des politiques de confidentialité, afin d’inclure les nouvelles informations obligatoires (principe de transparence) ;
  • Politiques : mise à jour et prise en compte du RGPD, notamment concernant la politique de protection des données, ainsi que les mentions légales et formulaires de consentement et de contact pour les sites web, notamment relatives aux cookies et autres traceurs ;
  • Les transferts de données : encadrement de vos transferts de données en dehors de l’EEE, notamment via la mise en place desclauses contractuelles types (CCT) de la Commission européenne et/ou l’analyse de l’applicabilité de BCRs (binding corporate rules) ;
  • Procédures internes : développement des procédures internes pour répondre aux demandes de la part des personnes concernées (droits d’accès, de rectification, à l’oubli, à la portabilité des données, etc.), aux fuites de données, aux contentieux et aux contrôles de la CNIL ;
  • Formation et sensibilisation :formation de vos équipes (direction, opérationnels, RH) aux exigences du nouveau paysage règlementaire. Intégration de ces formations au plan de formation et de transition digitale ;
  • Levée de fonds/cessions : toilettage des pratiques de protection des données, valorisation des données et de la société dans l’optique de futures opérations d’investissement (due diligences), programme de compliance et de sécurisation de votre future valorisation, gestion du risque de violation du RGPD ;
  • Traçabilité : documentation des démarches juridiques, techniques et organisationnelles dans une logique de traçabilité essentielle à la stratégie de compliance. En cas de contentieux ou de contrôle administratif, le responsable doit démontrer sa conformité ; la documentation fait ainsi office de preuve, notamment concernant :

. Les consentements des personnes concernées ;

. Le registre des activités de traitement dynamique ;

. La chaine contractuelle de la responsabilité ;

. L’analyse d’impact (DPIA) ;

. Les certifications et codes de conduite ;

. Les PV du comité de suivi de la mise en conformité.

 

La protection du secret des affaires et le RGPD : la documentation contractuelle et les bonnes pratiques

La définition du secret des affaires prévoit trois critères cumulatifs pour qu’une information puisse bénéficier de la protection au titre du secret des affaires (article L. 151-1 du Code de commerce) :

  • « Elle n’est pas, en elle-même ou dans la configuration et l’assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité » ;
  • « Elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret » ;
  • « Elle fait l’objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret ».

L’information visée correspond à des informations stratégiques telles que :

  • Des études de marché ou des fichiers et bases de données relatifs aux clients et aux fournisseurs ;
  • Des informations techniques telles que des procédés de fabrication, des méthodes de fabrication, du savoir -faire, etc. ;
  • Des prototypes ou des résultats, des analyses, des projets issus du département recherche et développement ;
  • Des informations de nature financière telles que les coûts de production voire des business plan stratégiques, des analyses de marge comparatives sectorielles, etc.

Nos avocats pilotent la documentation contractuelle à mettre en place et assurent la protection des informations stratégiques.

 

Comment bâtir une politique de sécurité du patrimoine informationnel ?

Une information est couverte par le secret des affaires dès lors que son détenteur justifie en conserver le caractère secret par des « mesures de protection raisonnables ».

Nos avocats vous accompagnent dans la mise en place des outils et bonnes pratiques adaptés selon la taille de votre structure ou de votre secteur d’activité, telle que la mise en place d’une politique de sécurité du patrimoine informationnel. 

Dans le cadre de nos accompagnements au RGPD et de la documentation contractuelle d’accountability consacrée par le Règlement général sur la protection des données (RGPD), nous proposons la rédaction de cette politique dans le prolongement de la procédure relative à la sécurité des données à caractère personnel.

De nombreuses mesures physiques ou techniques seront communes aux deux objectifs que sont la préservation du secret des affaires et la protection des données personnelles. Nos avocats vous assistent dans la désignation d’un référent pour la gestion du secret des affaires.

Nous intervenons pour sécuriser votre patrimoine informationnel et les procédures à mettre à place :

  • Cartographie des informations : photographier les flux d’informations, s’assurer de ce qu’elles ne sont pas aisément accessibles ou connues (il s’agira de sélectionner les informations pouvant être protégées, exclure celles qui auraient déjà été divulguées et celles protégées par un droit de propriété intellectuelle) ;
  • Procédure d’habilitation et de contrôle d’accès à l’information protégée au titre du secret des affaires ;

De manière générale, les démarches de mise en conformité au RGPD et de protection du patrimoine informationnel peuvent être menées simultanément.

Chaque entreprise est unique et doit apprécier les secrets à protéger avec pertinence pour une bonne identification et gouvernance.

Les procédures, politiques et cartographies seront utiles en cas de litige à l’occasion duquel des preuves de la mise en place de « mesures de protection raisonnables » pourraient être demandées.

Nos avocats vous assistent dans l’élaboration de stratégies contentieuses relatives à la protection du secret des affaires, afin de faire cesser les atteintes à leurs secrets des affaires et d’obtenir une réparation juste et dissuasive.

Nos avocats vous assistent et défendent votre patrimoine informationnel dans le cadre de vos litiges (concurrence déloyale et/ou contrefaçon, vol d’information et/ou de bases de données, atteinte ou extraction frauduleuse de base de données, etc.).

Experts