Le Règlement Général sur la Protection des Données (RGPD) organise la façon dont vous devez gérer les données personnelles que vous confiez à vos sous-traitants.
Le contrat de sous-traitance est justement là pour cadrer les obligations et les devoirs de chacune des parties en matière de protection des données personnelles.
Cet article vous explique ce qu’est la sous-traitance au sens du RGPD, et ce que cela génère comme conséquences pour le responsable de traitement et pour le sous-traitant.
Pour bien comprendre le contrat de sous-traitance RGPD, il est essentiel de définir les rôles des différentes parties impliquées dans le traitement des données personnelles.
Le responsable de traitement est l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel.
En d'autres termes, il s'agit de l'organisation qui décide pourquoi et comment les données sont collectées, utilisées et traitées.
Il a la responsabilité principale de garantir que le traitement des données est conforme au RGPD.
Le sous-traitant est une entité qui traite des données à caractère personnel pour le compte du responsable de traitement. Contrairement au responsable de traitement, le sous-traitant agit selon les instructions du responsable de traitement.
Exemples de sous-traitants rgpd : prestataires marketing à qui vous confiez une campagne e-mailing, logiciel SAAS de fiches de paie, consultant externe pour la prospection commerciale.
Dans le cadre du RGPD, le responsable de traitement est tenu de signer un contrat de sous-traitance avec le sous-traitant qu'il choisit. Ce contrat doit inclure des clauses spécifiques définissant les responsabilités du sous-traitant, notamment en ce qui concerne la sécurité des données, la confidentialité et le respect des droits des individus.
Dans certaines situations, une entreprise peut agir à la fois en tant que responsable de traitement et en tant que sous-traitant.
La relation responsable de traitement/sous-traitant est régie par l'article 28 du Règlement Général sur la Protection des Données (RGPD). Il établit des obligations spécifiques pour garantir la protection des données.
L'article 28-3 du RGPD impose que le contrat de sous-traitance contienne certaines clauses obligatoires : objet, durée, nature, finalité du traitement, catégories de données à caractère personnel et catégories de personnes concernées.
Il impose aussi aux entreprises sous-traitantes de :
Lorsque vous êtes amenés à collaborer avec des sous-traitants, il est impératif de mettre à l’écrit certains points. Le contrat peut être rédigé sur la base du modèle de la CNIL.
Définissez clairement les services que le sous-traitant fournira et les obligations qui lui incombent en matière de traitement des données personnelles.
Dans cette section, dans tous les modèles de contrat de sous traitance, il est commun de définir clairement les termes utilisés dans le contrat, tels que "responsable de traitement", "sous-traitant", "données personnelles", etc.
Cela permet d'éviter toute ambiguïté et d'assurer une interprétation uniforme des dispositions du contrat.
Il est impératif d’indiquer le périmètre d’intervention du sous-traitant sur les données personnelles confiées par le responsable de traitement :
Cette clause a pour intérêt de mettre à l’écrit les obligations des deux parties, responsable de traitement et sous-traitant.
Le responsable de traitement est tenu entre autre de :
De son côté, le sous-traitant doit notamment :
Le sous-traitant doit mettre en place des mesures de sécurité appropriées pour protéger les données personnelles contre toute perte, altération ou divulgation non autorisée.
Par ailleurs, il devra aussi vous informer en cas de violations de données personnelles et coopérer avec vous afin de mettre un terme au plus tôt à cette violation.
Cette clause permet de prévenir les transferts potentiels de données à d’autres sous-traitants.
Si le sous-traitant engage d'autres sous-traitants pour traiter les données personnelles, exigez qu'il obtienne votre autorisation préalable et/ou qu'il impose des obligations contractuelles similaires en matière de protection des données.
Le sous-traitant est souvent en première ligne lorsqu’il s’agit de traiter des données personnelles. En effet, le responsable de traitement lui confie les informations nécessaires (ou lui en donne l’accès) pour la réalisation de sa mission.
Il est donc normal que le sous-traitant fournisse toute l'assistance nécessaire pour répondre aux demandes d’exercice des droits des personnes concernées.
Le sous-traitant doit tenir un registre des catégories d’activités de traitement et doit contenir :
Conclusion
En incluant ces clauses contractuelles dans vos contrats de sous-traitance, vous pouvez contribuer à assurer une protection adéquate des données personnelles que vous traitez dans le cadre de vos activités commerciales. Mais l’exemple de contrat de sous-traitance ne suffit pas, vous devez vous faire accompagner pour adapter le contrat à votre situation.
Une question ? Un besoin ponctuel ou récurrent ?
Nous contacter pour un accompagnementTéléchargez nos templates
Retrouvez tous les contrats et documents juridiques pour créer et développer votre entreprise en 2023.