RGPD et gestion des contrats : les obligations à ne pas oublier

Pourquoi vos contrats sont concernés

Un contrat fournisseur contient presque toujours : - Le nom et la fonction d'un interlocuteur côté client et fournisseur. - Des adresses email professionnelles nominatives. - Parfois des données bancaires (RIB, prélèvement).

Ce sont des données personnelles au sens du RGPD. Leur traitement (stockage, partage, analyse) doit donc être encadré.

Vos 4 obligations principales

1. **Base légale** : le traitement repose sur l'exécution du contrat ou l'intérêt légitime — à documenter.
2. **Durée de conservation** : limitée à la durée nécessaire (souvent : durée du contrat + 5 ans pour la prescription commerciale).
3. **Sécurité** : chiffrement au repos, contrôle d'accès, journalisation.
4. **Information des personnes** : votre politique de confidentialité doit mentionner ce traitement.

Le piège des sous-traitants

Si vous utilisez un outil tiers pour stocker ou analyser vos contrats, ce tiers est sous-traitant au sens RGPD. Vous devez : - Signer un DPA (Data Processing Agreement) avec lui. - Vérifier qu'il héberge en UE ou présente des garanties équivalentes. - Pouvoir documenter à tout moment où sont vos données.

Ce que Vigipact garantit

• **Hébergement 100 % Europe** (Francfort, Paris).
• **Chiffrement AES-256** au repos et TLS 1.3 en transit.
• **Isolation par compte** (Row-Level Security) : aucun autre client ne peut accéder à vos données, même par erreur.
• **DPA disponible sur simple demande**, conforme aux clauses contractuelles types de la Commission européenne.
• **Suppression complète et irréversible** sur demande, sous 30 jours.

Le bonus

Vigipact identifie automatiquement, parmi vos contrats, ceux qui contiennent des clauses de sous-traitance de données personnelles. Vous gardez la maîtrise de votre cartographie RGPD sans effort supplémentaire.

À lire aussi