Blog
Data
Les clés pour rédiger un contrat de sous-traitance conforme au RGPD : exemples et conseils

Exemple contrat sous traitance RGPD : ce qu’il faut savoir‍

Data

Le Règlement Général sur la Protection des Données (RGPD) organise la façon dont vous devez gérer les données personnelles que vous confiez à vos sous-traitants.

Le contrat de sous-traitance est justement là pour cadrer les obligations et les devoirs de chacune des parties en matière de protection des données personnelles. 

Cet article vous explique ce qu’est la sous-traitance au sens du RGPD, et ce que cela génère comme conséquences pour le responsable de traitement et pour le sous-traitant.

Les acteurs de la sous-traitance

Pour bien comprendre le contrat de sous-traitance RGPD, il est essentiel de définir les rôles des différentes parties impliquées dans le traitement des données personnelles.

Le responsable de traitement

Le responsable de traitement est l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel. 

En d'autres termes, il s'agit de l'organisation qui décide pourquoi et comment les données sont collectées, utilisées et traitées.

Il a la responsabilité principale de garantir que le traitement des données est conforme au RGPD.

Le Sous-Traitant

Le sous-traitant est une entité qui traite des données à caractère personnel pour le compte du responsable de traitement. Contrairement au responsable de traitement, le sous-traitant agit selon les instructions du responsable de traitement.

Exemples de sous-traitants rgpd : prestataires marketing à qui vous confiez une campagne e-mailing, logiciel SAAS de fiches de paie, consultant externe pour la prospection commerciale.  

Dans le cadre du RGPD, le responsable de traitement est tenu de signer un contrat de sous-traitance avec le sous-traitant qu'il choisit. Ce contrat doit inclure des clauses spécifiques définissant les responsabilités du sous-traitant, notamment en ce qui concerne la sécurité des données, la confidentialité et le respect des droits des individus.

Dans certaines situations, une entreprise peut agir à la fois en tant que responsable de traitement et en tant que sous-traitant.

Le contrat de sous-traitance : que dit l’article 28-3 du RGPD ?

La relation responsable de traitement/sous-traitant est régie par l'article 28 du Règlement Général sur la Protection des Données (RGPD). Il établit des obligations spécifiques pour garantir la protection des données.

L'article 28-3 du RGPD impose que le contrat de sous-traitance contienne certaines clauses obligatoires : objet, durée, nature, finalité du traitement, catégories de données à caractère personnel et catégories de personnes concernées. 

Il impose aussi aux entreprises sous-traitantes de :

  • traiter les données personnelles uniquement selon les instructions du responsable du traitement ;
  • mettre en place des mesures de sécurité appropriées pour protéger les données personnelles ;
  • s'engager à respecter les obligations légales en matière de confidentialité et de sécurité des données.

Quelques exemples de clauses contractuelles types

Lorsque vous êtes amenés à collaborer avec des sous-traitants, il est impératif de mettre à l’écrit certains points. Le contrat peut être rédigé sur la base du modèle de la CNIL.

Objet du contrat 

Définissez clairement les services que le sous-traitant fournira et les obligations qui lui incombent en matière de traitement des données personnelles.

Dans cette section, dans tous les modèles de contrat de sous traitance, il est commun de définir clairement les termes utilisés dans le contrat, tels que "responsable de traitement", "sous-traitant", "données personnelles", etc. 

Cela permet d'éviter toute ambiguïté et d'assurer une interprétation uniforme des dispositions du contrat.

Description du traitement

Il est impératif d’indiquer le périmètre d’intervention du sous-traitant sur les données personnelles confiées par le responsable de traitement : 

  • les services pour lesquelles il est mandaté et qui justifie qu’il ait accès à certaines données personnelles ;
  • la nature des opérations réalisées sur les données ;
  • la finalité du traitement pour éviter notamment toute utilisation ultérieure des données à d'autres fins non autorisées ;
  • la liste concrète des informations mises à disposition ;

Obligations des parties 

Cette clause a pour intérêt de mettre à l’écrit les obligations des deux parties, responsable de traitement et sous-traitant. 

Le responsable de traitement est tenu entre autre de : 

  • notifier par écrit au sous-traitant tout instruction relative au traitement des données ;
  • veiller aux respect des dispositions de l’article 28 du RGPD 
  • superviser le traitement, réaliser des audits et des inspections. 

De son côté, le sous-traitant doit notamment : 

  • traiter les données uniquement pour les finalités prévues par le contrat ;
  • garantir la confidentialité des données ; 
  • respecter les dispositions du RGPD relatives à la sous-traitance ;
  • le cas échéant, informer les personnes concernées du sort des données récoltées ;
  • prévoir le devenir des données une fois la mission terminée ;
  • communiquer au responsable de traitement les coordonnées du DPO s’il y en a un.

Sécurité des données

Le sous-traitant doit mettre en place des mesures de sécurité appropriées pour protéger les données personnelles contre toute perte, altération ou divulgation non autorisée.

Par ailleurs, il devra aussi vous informer en cas de violations de données personnelles et coopérer avec vous afin de mettre un terme au plus tôt à cette violation.

Sous-traitants ultérieurs 

Cette clause permet de prévenir les transferts potentiels de données à d’autres sous-traitants

Si le sous-traitant engage d'autres sous-traitants pour traiter les données personnelles, exigez qu'il obtienne votre autorisation préalable et/ou qu'il impose des obligations contractuelles similaires en matière de protection des données.

Assistance du responsable de traitement 

Le sous-traitant est souvent en première ligne lorsqu’il s’agit de traiter des données personnelles. En effet, le responsable de traitement lui confie les informations nécessaires (ou lui en donne l’accès) pour la réalisation de sa mission.

Il est donc normal que le sous-traitant fournisse toute l'assistance nécessaire pour répondre aux demandes d’exercice des droits des personnes concernées.

Registre des traitements 

Le sous-traitant doit tenir un registre des catégories d’activités de traitement et doit contenir : 

  • le nom et les coordonnées de chaque client responsable de traitement ;
  • le cas échéant  le nom et les coordonnées du délégué à la protection des données ;
  • le cas échéant  les catégories de traitements effectués pour le compte de chaque client  les transferts de données hors UE 
  • une description générale des mesures de sécurité mises en place.

Conclusion

En incluant ces clauses contractuelles dans vos contrats de sous-traitance, vous pouvez contribuer à assurer une protection adéquate des données personnelles que vous traitez dans le cadre de vos activités commerciales. Mais l’exemple de contrat de sous-traitance ne suffit pas, vous devez vous faire accompagner pour adapter le contrat à votre situation.

Une question ? Un besoin ponctuel ou récurrent ?

Nous contacter pour un accompagnement

Téléchargez nos templates

Retrouvez tous les contrats et documents juridiques pour créer et développer votre entreprise en 2023.

Templates gratuits

À lire également

Corporate

Bons de souscription d'actions : Définition complète pour les startups

Découvrez une définition complète des Bons de Souscription d'Actions (BSA) et leur rôle crucial dans la croissance des startups.
Team BOLD
January 17, 2024
5 min read
Data

Durée de conservation des données et RGPD : ce qu’il faut savoir en 2024

Il y a des réflexes à avoir pour respecter la durée de conservation des données et le RGPD dans ton entreprise. 1, 5 ou 30 ans ? Voici la réponse.
February 7, 2024
5 min read
Corporate

Levées de fonds #5 : La GAP (garantie d’actif et de passif)

La GAP ou « garantie d’actif et de passif » est un mécanisme que l’on retrouve dans les M&A et dans les levées de fonds – on parle alors plutôt de « Déclarations et garanties », mais par simplicité, nous utiliserons ici surtout le terme de « GAP ».
Alexandre Zitoune
February 6, 2024
5 min read