Le RGPD est devenu un enjeu essentiel de la négociation contractuelle pour les achats de prestations intellectuelles.
Ce type de prestations impliquant très souvent l’hébergement de données personnelles et/ou a minima l’accès à ces données par les fournisseurs, il est devenu nécessaire depuis le 25 mai dernier d’intégrer des clauses spécifiques dans chaque contrat ou dans une annexe dédiée à cet effet ; ce qui alourdit le processus de contractualisation et implique souvent l’intervention des DPOs dans la négociation de ces clauses.
Au-delà son impact sur la durée de négociation, le RGPD a un impact important sur la négociation de la clause de responsabilité.
Compte tenu de l’importance des sanctions encourues en cas de manquement au RGPD, les clients/responsables du traitement exigent de plus en plus que les dommages liés à ce type de manquement soient exclus du plafond de responsabilité (présent généralement dans ce type de contrat).
Or, en l’absence de recul suffisant sur les conséquences d’un dommage résultant d’un manquement d’un fournisseur au RGPD, le client et le fournisseur ont beaucoup de mal à s’accorder sur le principe d’un déplafonnement.
En pratique, la négociation aboutie souvent à un accord sur l’existence d’un plafond de responsabilité spécifique d’un montant plus élevé par rapport à la pratique du fournisseur.
En attendant de disposer d’un recul suffisant, il apparaît clairement d’ores et déjà que l’entrée en vigueur du RGPD a entraîné une augmentation significative des plafonds de responsabilité dans les contrats, devant ainsi un enjeu majeur de la négociation contractuelle.