Pouvez-vous rompre une relation commerciale si votre partenaire ne respecte pas le RGPD ?
Vous vous êtes sans doute déjà demandé si vos partenaires commerciaux respectaient bien le Règlement Général de Protection des Données (ci-après « RGPD »).
C’est une question qui revient fréquemment et qui devient une condition essentielle pour assurer des relations contractuelles paisibles.
Si vous constatez que votre partenaire commercial n’est pas en conformité avec le RGPD, il vous est possible de rompre vos relations avec lui afin de limiter le risque d’engagement de votre responsabilité personnelle.
En effet, le Règlement prévoit que lorsque le responsable du traitement des données personnelles fait appel à des sous-traitants, il a l’obligation de vérifier que les sous-traitants présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles répondant aux exigences du RGPD.
Quelles sont les obligations de vos partenaires commerciaux ?
Ces obligations sont multiples et doivent être respectés quotidiennement.
Par exemple, l'entreprise partenaire doit :
- veiller à la sécurité des systèmes d'information ;
- réaliser une analyse d'impact lorsque le traitement des données présente un risque pour les droits et libertés des personnes concernées ;
- traiter de manière licite, loyale et transparentes les données sensibles ;
- effectuer un traitement des données dans un but précis et défini dans le contrat de sous-traitance ;
- respecter les délais légaux de conservation des données personnelles ;
- notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
Notez que le sous-traitant ne doit pas recruter un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement et doit, en outre, s’assurer dans le cadre du contrat avec ledit sous-sous-traitant du respect de ses obligations.
Que faire si l'un de vos partenaires ne respecte pas le RGPD ?
En cas de recours à un sous-traitant, le contrat qui le lie à la société doit mentionner les obligations qui incombent respectivement à chacune des parties en matière de protection des données.
C'est pourquoi le non-respect du RGPD par l’une des parties constitue une faute contractuelle.
Or, si l'une des obligations fixées par les parties n'est pas respectée par l'une d'entre elles, l'autre peut, à ses risques et périls, résilier le contrat. Autrement dit, la société ayant délégué des missions à un sous-traitant ne respectant pas le RGPD, peut décider unilatéralement de résilier le contrat.
Il faut quand même faire attention au caractère abusif de la rupture des relations commerciales.
En effet, lorsque les relations commerciales sont établies, la rupture brutale - celle qui intervient sans préavis - peut engager la responsabilité de la partie mettant prématurément fin au contrat.
Pour éviter cela, il faut donc préalablement mettre en demeure votre partenaire de s’exécuter dans un délai raisonnable.
La mise en demeure doit mentionner expressément qu’à défaut pour le partenaire de se mettre en conformité avec le RGPD, le créancier sera en droit de résilier le contrat.
Par ailleurs, il convient de souligner qu’en cas de contestation formulée par le prestataire, c’est au créancier qu’incombe la charge de prouver la gravité de l’inexécution des obligations de son cocontractant.
Quels risques encourez-vous en l'absence de rupture de vos relations commerciales ?
Si vous constatez que votre partenaire commercial ne respecte pas les dispositions du RGPD mais que vous décidez de rester indifférent, vous risquez d’engager votre responsabilité.
En effet, toute société est dans l’obligation de respecter le RGPD.
Donc, si des données sensibles circulent entre vous et votre partenaire sans que ce traitement ne soit légal, vous manquerez à votre obligation de vérifier que vos sous-traitants présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles répondant aux exigences du RGPD.
Autrement dit, votre responsabilité peut être engagée si vous constatez un manquement de votre partenaire au RGPD et que vous n’agissez pas pour régulariser la situation.
Si le manquement a causé un préjudice, la personne lésée détient la capacité d’introduire un recours juridictionnel afin d’obtenir le paiement de dommages et intérêts.
Par ailleurs, dans cette dernière hypothèse, la Commission nationale de l'informatique et des libertés (CNIL) peut :
- Prononcer un rappel à l’ordre ;
- Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;
- Prononcer une amende administrative.
Conclusions
Il est important de vous prémunir contre les violations du RGPD de vos partenaires commerciaux.
Toutefois, veillez en premier lieu, à mettre en demeure votre débiteur de s’exécuter, à défaut de quoi la rupture du contrat pourrait être considérée comme abusive.
Chez PLR Avocats, nous tenons une veille juridique continue pour nos clients concernant l'évolution et le respect des règles en matière de protection des données personnelles.
Nous accompagnons les entreprises dans leur mise en conformité avec le RGPD afin que celle-ci soit pleinement efficace et opposable à la CNIL.
PLR Avocats prend également en charge les missions du DPO.
Pour nous contacter, c'est ICI !