RGPD pour les équipes juridiques

Le Règlement général sur la protection des données (RGPD) est la loi fondamentale de l’UE sur la vie privée, en vigueur depuis 2018, régissant la collecte, l’utilisation, le stockage et le partage des données à caractère personnel des résidents UE/EEE. Pour les équipes juridiques, le RGPD comporte deux angles : (a) le traitement de données propre à l’équipe (données des employés, contacts des fournisseurs, dossiers clients), et (b) le travail de conseil aux clients sur la conformité RGPD. Le RGPD britannique est substantiellement identique post-Brexit ; les régimes équivalents (LGPD brésilien, CCPA/CPRA californien, PIPEDA canadien) suivent le même schéma structurel.

Les données à caractère personnel et les six bases légales

Le RGPD définit largement les données à caractère personnel — tout ce qui identifie ou pourrait identifier une personne vivante. Noms, emails, adresses IP, identifiants d’employés, photos, enregistrements vocaux.

Le traitement nécessite l’une des six bases légales :

La plupart des traitements de données d’une équipe juridique B2B repose sur les intérêts légitimes (gestion des fournisseurs, registres des employés) ou l’exécution d’un contrat (services clients). Le consentement est surutilisé et fréquemment invalide, car il doit être spécifique, éclairé, librement donné et révocable.

Les huit droits des personnes concernées

Le RGPD crée des droits que les individus peuvent exercer :

1. Accès — droit d’obtenir une copie des données à caractère personnel en cours de traitement
2. Rectification — droit de corriger des données inexactes
3. Effacement (« droit à l’oubli ») — droit à la suppression dans certaines circonstances
4. Limitation — droit de limiter le traitement en attendant la résolution d’un litige
5. Portabilité — droit de recevoir les données dans un format lisible par machine
6. Opposition — droit de s’opposer au traitement fondé sur les intérêts légitimes
7. Décision automatisée — droit de ne pas être soumis à des décisions entièrement automatisées
8. Retrait du consentement — lorsque le consentement était la base légale

Les équipes juridiques ont besoin d’un workflow documenté pour chaque type de demande, avec un délai de réponse par défaut de 30 jours (prolongeable dans des circonstances étroites).

Transferts internationaux de données

Les données à caractère personnel ne peuvent quitter l’EEE qu’avec des garanties appropriées. Les mécanismes disponibles en 2026 :

• Décisions d’adéquation — décisions pays par pays de l’UE que le pays offre une protection adéquate. Comprend actuellement le Royaume-Uni, la Suisse, Israël, le Japon, le Canada (commercial), la Corée du Sud, les États-Unis (en vertu du Data Privacy Framework avec limitations).
• Clauses contractuelles types (CCT) — termes contractuels approuvés par l’UE imposant des obligations équivalentes au RGPD sur l’importateur de données. Mises à jour en 2021 ; les versions 2010 sont invalides.
• Règles d’entreprise contraignantes (REC) — pour les transferts intragroupe au sein d’organisations multinationales ; nécessitent l’approbation des régulateurs.
• Dérogations spécifiques — exceptions étroites (consentement explicite pour le transfert spécifique, exécution d’un contrat, intérêt public important).

Après Schrems II (2020), l’utilisation de tout mécanisme nécessite une Évaluation de l’impact du transfert (TIA) tenant compte des lois de surveillance du pays de destination et du régime d’accès aux données.

Ce que les équipes juridiques gèrent directement

Trois workflows qui relèvent du Legal Ops :

1. Gestion des fournisseurs et des sous-traitants. DPA avec chaque fournisseur traitant des données à caractère personnel ; transmission en cascade aux sous-traitants ; documentation des mécanismes de transfert international.
2. Réponse aux demandes des personnes concernées. Réception des DSAR, validation de l’identité, collecte des données entre systèmes, revue des exemptions (secret professionnel, données de tiers), réponse dans le délai.
3. Notification de violation. Lorsque l’équipe ou ses fournisseurs subissent une violation, notification réglementaire dans les 72 heures (si requis) et notification individuelle lorsque le risque est élevé pour les individus.

Écueils fréquents

• Traiter le RGPD comme un projet ponctuel. Le travail de conformité initial est fini ; les opérations continues (DSAR, intégration fournisseur, gestion des violations) sont permanentes.
• Mauvais choix de base légale. De nombreuses entreprises citent le « consentement » alors que les « intérêts légitimes » est la base réelle. Une mauvaise base rend l’ensemble du traitement illicite.
• Ignorer les mises à jour des mécanismes de transfert. Les CCT ont été mises à jour en 2021 ; de nombreux DPA existants référencent encore les versions 2010. Une re-documentation est nécessaire.
• Aucun processus de réponse aux DSAR. Lorsque la première DSAR arrive, les équipes sans processus se retrouvent dans l’urgence. Construisez le playbook avant la demande.
• Analyse manquante de l’exemption du secret professionnel. Les communications protégées par le secret avocat-client peuvent être exemptées de la divulgation DSAR ; sans analyse, les équipes sur-divulguent ou sous-divulguent.
• Confondre le RGPD avec le Règlement IA européen. Ce sont des régimes distincts avec des obligations distinctes, tous deux applicables quand l’IA traite des données à caractère personnel.

En lien

• Checklist DPA — les termes contractuels fournisseurs requis par le RGPD
• Règlement IA européen pour les équipes juridiques — régime réglementaire adjacent qui s’intersecte
• Workflow de due diligence fournisseur — processus où la conformité RGPD des fournisseurs est vérifiée
• Qu’est-ce que le Legal Ops ? — la fonction qui détient les opérations RGPD aux côtés de la vie privée/DPO