Contrat de sous-traitance RGPD
Modèle : Contrat de sous-traitance RGPD

Contrat de sous-traitance RGPD

Garantie

Ce document est garanti à jour 19-03-2024

Signature

Signez votre document éléctroniquement

Microsoft word

Format Word
modifiable

L'équipe juridique Comod

Ce document a été rédigé, puis est maintenu à jour par :

L'équipe juridique Comod

L'équipe juridique Comod

Ce document a été rédigé, puis est maintenu à jour par :

L'équipe juridique Comod

Icone juriste

Élaboré par des juristes expérimentés

Document éditable

Personnalisable selon vos besoins

Garantie

Garanti à jour et facile à utiliser pour tous

Base de donnée

Accès illimité à notre base de documents

Logo Comod

Signature électronique avec effet légal

Photo support client

Support client à votre écoute

2,28 €

Le RGPD va modifier en profondeur la responsabilité des sous-traitants, il semble donc utile de faire une présentation des dispositions à mettre en place afin que les sous-traitants soient en mesure d’apporter les éléments de réponse nécessaires à leurs clients.

docu8149
Comment ça marche ?
Trouver Trouver le document dans notre base
Remplir Télécharger et remplir le document
Envoyer Importer votre document sur Comod
Signer Envoyer votre document à signer via comod
×
Ce document est garanti à jour par notre équipe de juriste expérimentés
  • Ce modèle de document est garanti à jour le
    19 mars 2024
  • Élaboré et veillé par nos juristes expérimentés
  • Garantie satisfait ou remboursé
×
Signez tous vos documents avec la solution Comod
  • Ce modèle de document peut être accompagné de notre système de signature éléctronique
  • Signature électronique disponible pour tous vos documents
  • Gagnez du temps avec notre signature électronique à valeur légale
×
Modèle de document au format Word, facile à personnaliser
  • Modèle de document entièrement éditable sous Word (format de fichier .docx)
  • Copiez-collez les contenus sans limite
  • Des commentaires dans les documents vous aident pour la compréhension de certains documents complexes

Qu'est-ce que le Règlement général sur la protection des données personnelles (RGPD) ? 

Le Règlement général sur la protection des données, désigné sous l'acronyme RGPD, est entré en vigueur le 25 mai 2018 ayant pour objectif de renforcer et unifier la protection des données personnelles pour tous les ressortissants de l'Union européenne (UE). En ce sens, le RGPD s'applique dans tous les États membres de l'UE, 27 États membres ont donc l'obligation d'appliquer et de se conformer au RGPD. 

Le RGPD concerne tout « traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». Il impose des obligations à toutes les entreprises et organisations qui collectent, traitent et stockent des données personnelles. 

Une donnée est à caractère personnel dès lors qu’il s’agit d’une information permettant une identification directe ou indirecte d'une personne. Le cas échéant, cela peut inclure des éléments tels que le nom, le prénom, le numéro de sécurité sociale, le numéro de téléphone, les opinions politiques...

Le RGPD établit des obligations pour les entreprises qui traitent des données personnelles, y compris lorsqu'elles ont recours à des sous-traitants. Il comprend des principes clés comme la transparence, l'intégrité et la confidentialité des données.

Il donne également aux individus un plus grand contrôle sur leurs données personnelles, avec des droits renforcés tels que le droit d'accès, de rectification, d'effacement, de limitation du traitement et de portabilité des données.

En cas de non-conformité au RGPD, les entreprises risquent des sanctions financières importantes par les autorités de contrôle nationales, notamment par la CNIL en France. 

Qu'est-ce que la CNIL ?

La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française. Créée en 1978, elle a pour mission de veiller à la protection des données personnelles au sein des traitements de données informatisés ou papiers, de sorte qu'ils respectent les droits fondamentaux du citoyen tels que la vie privée.

En tant qu'autorité de contrôle, la CNIL émet des recommandations, des avis et des sanctions en cas de non-respect des règles de protection des données. La formation restreinte de la CNIL a la possibilité d'émettre des sanctions à l'égard des responsables de traitement qui ne respecteraient pas le RGPD. Elle peut octroyer des sanctions pécuniaires pouvant s'élever jusqu'à 20 millions d'euros ou jusqu'à 4% du chiffre d'affaires annuel mondial s'agissant des entreprises. 

En plus de ses missions de contrôle et de sanction, elle offre un accompagnement pour les entreprises ou organismes souhaitant utiliser des données à caractère personnel pour leur activité à l'aide de fiches pratiques, de guides thématiques. 

Depuis le 25 mai 2018, le RGPD consacre des obligations propres aux sous-traitants qui doivent désormais se responsabiliser quant à la mise en conformité du traitement des données à caractère personnel. Le sous-traitant devra respecter les garanties permettant la mise en œuvre des mesures techniques relatives au traitement des données.

Qu'est-ce qu'un sous-traitant au sens du RGPD ?

Définition du sous-traitant 

Au sens du RGPD, le sous-traitant est une entité externe qui traite les données personnelles pour le compte du responsable de traitement. Le responsable de traitement étant en charge de la détermination des finalités et des moyens de traitement. En conséquence, le sous-traitant agit selon les instructions du responsable de traitement et fournit des services de traitement de données tels que le stockage, leur sécurisation ainsi que toute autre opération relative au traitement des données personnelles. 

Le RGPD impose des obligations strictes au sous-traitant notamment celle de garantir la confidentialité et la sécurité des données qu'il traite mais également de coopérer avec le responsable de traitement. 

Pourquoi un sous-traitant doit-il se conformer au RGPD ?

Applicable à partir du 25 mai 2018 à l’ensemble de l’Union européenne, le RGPD renforce les droits des résidents européens sur leurs données et responsabilise l’ensemble des acteurs traitant ces données. Cette nouvelle règlementation s’applique également aux sous-traitants qui traitent de données à caractère personnel. 

Qu'est-ce qu'un contrat de sous-traitance RGPD ? Quelles sont les obligations du sous-traitant ?

Sous-traitance du traitement des données et article 28 du RGPD

Le contrat de sous-traitance RGPD est un contrat par lequel le sous-traitant est autorisé à traiter les données à caractère personnel pour le compte du responsable de traitement. 

L'article 28 du même règlement prévoit les dispositions applicables à ce traitement par le sous-traitant.

Le sous-traitant devra présenter des garanties suffisantes pour la mise en œuvre de moyens et mesures techniques organisationnelles permettant le traitement des données en conformité avec le RGPD. 

Les sous-traitants ne pourront pas sous-traiter eux-mêmes sans l'accord du responsable de traitement par exemple.

Quelles sont les obligations du sous-traitant et du responsable de traitement pour être en conformité avec la réglementation ?

Le contrat de sous-traitance prévoit plusieurs obligations incombant à l'entreprise sous-traitante. Le traitement des données personnelles pour le compte de son client est encadré par le RGPD et prévoit notamment les obligations suivantes :

  • Une obligation de transparence et de traçabilité ;

  • La prise en compte des principes de protection des données dès la conception et de protection des données par défaut ;

  • Une obligation de garantir la sécurité des données traitées ;

  • Une obligation d’assistance, d’alerte et de conseil dont les mesures techniques devront être établies entre les parties (par exemple, le sous-traitant pourra aider le responsable de traitement dans la réalisation d'analyses d'impact relatives à la protection des données personnelles).

Le sous-traitant aura l'obligation de tenir un registre de traitement des données afin de retracer tout ce qu'il a pu traiter et ainsi aider à la transparence et la traçabilité. Le sous-traitant se doit d'appliquer un code de conduite permettant le traitement des données en bonne et due forme.

Le responsable de traitement quant à lui aura d'autres obligations à respecter telles que :

  • Une obligation de fournir au sous-traitant les données ;
  • Prévoir à l'écrit les instructions et modalités de traitement des données ;
  • Vérifier tout au long du contrat le respect aux dispositions du règlement ;
  • Superviser, réaliser des audits, des inspections,...

Le responsable de traitement, devra, par ailleurs, prévoir une charte ou politique de confidentialité applicable à son entreprise et également prévoir pour les personnes dont les informations sont collectées des modalités de retrait, modification, suppression des données,... Cette seconde obligation devra être respectée également par le sous-traitant qui sera alors en charge de recueillir l'exercice du droit de suppression des données par les utilisateurs.

Comment rédiger un contrat de sous-traitance RGPD ?

La rédaction du contrat de sous-traitance incombe aux parties signataires de l'acte, c'est-à-dire le responsable de traitement et le sous-traitant. Les parties devront s'entendre sur tous les points compris au sein du contrat. 

Les parties devront veiller à se conformer au RGPD. Ce règlement permet de responsabiliser les acteurs du traitement des données personnelles pour tous les résidents européens. Le contrat permettra de définir le cadre du respect des obligations par les parties au traitement des données personnelles.

Le contrat devra contenir plusieurs informations essentielles telles que :

  • L'objet du contrat, cet objet du contrat est la sous-traitance des données à caractère personnelles ;
  • L'identification des parties, leurs coordonnées, civilités, Nom, prénoms ou dénominations sociales, adresses, etc ;
  • Le descriptif des données qui sont traitées : le type de traitement (par traitement au format électronique, papier, etc.), la catégorie de personnes concernées, le type de données collectées (par exemple l'adresse IP, etc.) ;
  • L'autorisation générale ou une autorisation spéciale de sous-traitance par le sous-traitant lui même (par exemple la consultation préalable et sous forme écrite du responsable de traitement pour recueillir son autorisation) ;
  • La durée du contrat ;
  • Les obligations des parties (le responsable de traitement et le sous-traitant) tel que le respect par le sous-traitant des instructions de traitement données par le responsable, la réalisation d'audits pour le responsable de traitement, le fait de donner suite aux demandes des utilisateurs, etc ;
  • L'obligation de confidentialité incombant au sous-traitant ;
  • L'attribution des compétences en cas de litige ou le cas échéant une clause compromissoire ;
  • La date et le nombre de copies existantes du contrat ;
  • Les signatures.

Est-il obligatoire d'avoir un contrat de sous-traitance RGPD ?

La rédaction d'un contrat de sous-traitance RGPD est obligatoire dès lors que le responsable de traitement fait appel à un sous-traitant pour le traitement total ou partiel des données à caractère personnel qu'il détient. Le cas échéant, cette rédaction devra tenir compte des dispositions de l'article 28 du RGPD. 

Quel type de courrier est à rédiger pour non-respect du traitement des données personnelles ?

Afin de notifier un non-respect à une obligation dans le traitement des données personnelles, toute personne pourra envoyer un courrier à la CNIL. La personne devra préciser la nature de la violation (par exemple l'intérêt public, une violation dans le niveau de sécurité des données, etc.).

Ce courrier devra être le plus détaillé possible afin de permettre à la Commission de faire suite à la notification. Cette autorité de contrôle vérifiera le bien fondé de la demande. Il sera préférable d'envoyer ce courrier 72 heures après la constatation de la violation au droit du traitement des données personnelles. Le cas échéant, il faudra expliquer l'envoi tardif de la lettre.

Il existe au sein du site de la CNIL plusieurs services de notification dématérialisés spécialisés pour le responsable du traitement des données et pour les particuliers.

Notre modèle de contrat

Exemple type de contrat de sous-traitance RGPD incluant plusieurs clauses à télécharger au format PDF/Word 

Nous vous proposons en téléchargement un contrat de sous-traitance RGPD à télécharger et personnaliser au format Word ou PDF. Ce document est rédigé en conformité avec les dispositions en vigueur et contient différentes clauses types qui sont personnalisables selon vos informations personnelles. Il vous permettra de n'oublier aucune information essentielle à ce type de contrat dans le cadre du respect des dispositions du règlement.

Vous trouverez au sein de notre site d'autres documents tels que : le contrat de cession d'une base de données d'un site internet ; les conditions générales d'utilisation pour site internet ; le contrat de cession de données numériques, etc.

Sommaire

Article 1 – Objet du contrat

Article 2 – Description du traitement

Article 3 – Obligations des parties

Article 4 – Sous-traitance

Article 5 – Délégué à la protection des données

Article 6 – Durée et renouvellement

Article 7 – Expiration

Article 8 – Résiliation

Article 9 – Effets de l’expiration ou de la résiliation

Article 10 – Confidentialité

Article 11 – Cession du contrat

Article 12 – Litiges

Article 13 – Élection du domicile