RGPD applicable aux contrats passés avec les prestataires des notaires

Sommaire de l’étude en référence :

Depuis 2018, la loi impose, lors du recours par un office notarial en particulier à un prestataire externe pour traiter des données personnelles (de clients, d’employés…), la signature d’un contrat contenant un certain nombre de mentions obligatoires. Les manquements sont passibles d’amende. La Commission européenne vient de publier des clauses types pour ces contrats, d’usage facultatif. Malgré leur nom, ces clauses types ne sont pas prêtes à l’emploi : elles doivent être adaptées au cas par cas et complétées d’annexes. Puisque leur usage n’est pas obligatoire et que la négociation d’un contrat ad hoc demeure possible, nous en profitons pour suggérer des ajouts et des améliorations.

Dans son fonctionnement, une étude notariale recourt de plus en plus à des prestataires en ligne, qu’il s’agisse de la comptabilité, de la gestion des bulletins de salaire ou des contrats, des outils bureautiques dans le cloud… Ces prestataires privés (nous n’aborderons pas la question des outils numériques imposés à la profession par la loi) sont amenés à traiter les données personnelles des salariés, des partenaires ou des clients de l’étude. Or, le règlement général sur la protection des données ou RGPD impose aux responsables de traitement, en l’occurrence les notaires, un certain nombre d’obligations dans la forme du contrat passé pour ce type de prestations. Les amendes administratives pour non-respect de cette obligation se multiplient en Europe. Afin d’aider les responsables de traitement à rédiger ce contrat, la Commission européenne a adopté le 4 juin 2021 une décision d’exécution proposant des clauses contractuelles types facultatives, utilisables dans cette situation, et destinées à être insérées dans les contrats liant les parties. Une autre décision de la Commission adoptée le même jour, que nous n’étudierons pas ici, portait sur des clauses utilisables pour un transfert de données personnelles hors de l’Union européenne, afin de présenter les garanties exigées à l’article 46 du RGPD.

Précisons tout de suite que ces nouvelles clauses dites « types » ne sont pas pour autant prêtes à l’emploi. Il ne suffit pas de les « copier-coller » dans un contrat pour être en règle. En effet, ces clauses comprennent des options à choisir, et surtout des annexes à remplir, destinées à décrire précisément le traitement. Ces parties doivent être personnalisées de manière spécifique pour chaque contrat. Il est par conséquent illusoire de croire que l’existence de ces clauses va permettre d’automatiser les processus, et qu’elle permettra d’éviter d’avoir à étudier au cas par cas chaque situation.

La présente étude vise à donner au notaire et à son délégué à la protection des données les éléments permettant d’intégrer à leurs contrats de sous-traitance de données personnelles des clauses conformes aux exigences légales, en s’inspirant des clauses types de la Commission.


Pour voir l’étude et les clauses :

Notaire : quelles obligations RGPD pour les contrats passés avec les prestataires de solutions numériques ?

Etude rédigée par Fabrice Mattatia ingénieur général des mines, docteur en droit, chercheur associé à l’université Paris 1, co-directeur du mastère spécialisé Data Protection Management de l’Institut Mines-Télécom Business School in La Semaine Juridique Notariale et Immobilière n° 4, 28 janvier 2022, 1055