Ce que vous devez savoir.
Le GDPR ne s’applique pas uniquement aux relations entre les entreprises et leurs employés et leurs clients (B2C). Le GDPR joue également un rôle important dans les relations B2B avec les fournisseurs et clients (B2B). Il y aura toujours un transfert de données à caractère personnel dans le cadre de ces relations. Pensez, par exemple, à la correspondance électronique mentionnant l'adresse électronique professionnelle ainsi que la fonction des employés concernés. Le transfert de données à caractère personnel peut également résulter directement d’une coopération, par exemple lorsqu'un secrétariat social est sollicité pour des services de paie ou une société informatique pour le développement de logiciels.
Les obligations du GDPR qui s’appliquent à ces transferts dépendent de la qualité des entreprises concernées (voir, GDPR Toolkit 09). L'article 28 du GDPR exige qu’entre un responsable du traitement et un sous-traitant, un contrat de sous-traitance soit conclu. L’article 26 GDPR exige une répartition des tâches entre les responsables conjoints du traitement. Les transferts en dehors de l'EEE sont en outre soumis à des mécanismes spéciaux visant à assurer un niveau de protection équivalent des données à caractère personnel concernées. Pour obtenir des conseils pratiques à ce sujet, consultez nos Privacy Talks qui suivent.
Il n'existe pas de règles spécifiques dans le GDPR régissant le traitement des données à caractère personnel des personnes de contact auprès des fournisseurs, des clients et d’autres partenaires (par exemple, à la suite d'une correspondance par courrier électronique). Bien entendu, les obligations « générales » telles que l'exigence d'une base juridique, la transparence, etc. s'appliquent. Ces obligations sont aujourd’hui souvent traduites concrètement dans les contrats B2B. Il est en effet important que les entreprises prennent les « mesures appropriées » pour le transfert de données à caractère personnel (article 24 GDPR).
Ce que vous devez faire.
Chaque fois que votre entreprise conclut un nouveau contrat B2B, il est important de déterminer quelles données à caractère personnel seront transmises dans le cadre de ce contrat, en quelle qualité votre entreprise et les autres parties contractantes agissent (responsable du traitement indépendant, sous-traitant et/ou responsable conjoint du traitement) et où les parties se situent (à l'intérieur ou à l'extérieur de l'EEE).
A la lumière de cette analyse, les clauses nécessaires en matière de protection des données doivent être incluses dans le contrat B2B :
- Dans toute relation B2B, il y aura au moins un transfert (réciproque) des données à caractère personnel des personnes de contact (coordonnées professionnelles, fonction, etc.). Il s'agit en principe d'un transfert entre des responsables du traitement indépendants. Cela signifie que les entreprises doivent chacune respecter les obligations qui leur incombent en vertu du GDPR. Il est utile de l'inclure explicitement dans l'accord.
- D'autres restrictions et obligations relatives à l'utilisation de ces données à caractère personnel par l’entreprise « réceptrice » des données peuvent être incluses. Cela peut se faire, par exemple, en précisant les finalités pour lesquelles les données à caractère personnel peuvent être utilisées.
- En outre, il est utile d'inclure une obligation d'assistance mutuelle, par exemple, dans le cadre de l'obligation de transparence et des demandes des personnes concernées. A cet égard, vous devez évidemment également prendre en considération vos conditions générales de vente.
Les auteurs :
Anouk Focquet - anouk.focquet@contrast-law.be
Laurence Vanhyfte - laurence.vanhyfte@contrast-law.be
