Contrat de sous-traitance RGPD

Qu'est-ce que le Règlement général sur la protection des données personnelles (RGPD) et qu'est-ce que la CNIL ?

Le règlement européen sur la protection des données dit RGPD, s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». Une donnée a un caractère personnel dès lors qu’il s’agit d’une information permettant l’identification ou la géolocalisation d’une personne.

Le règlement européen sur la protection des données s’applique notamment aux sous-traitants. Au sens de ce règlement, un sous-traitant est la personne qui traite de données à caractère personnel pour le compte, sur ordre et sous l’autorité et les instructions d’un responsable de traitement.

Tout sous-traitant établi dans l’Union Européenne ou tout sous-traitant non établi dans l’Union Européenne et ainsi dans un pays tiers, mais dont les « activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées dans l’Union Européenne ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union » selon l’article 3 du RGPD, est soumis au règlement européen.

La CNIL (Commission nationale de l'informatique et des libertés) est une autorité administrative indépendante française de contrôle, conseil et alerte au sujet de la protection des données à caractère personnel. Le rôle de la CNIL est de vérifier le respect de la protection des données personnelles de toute personne au sein des traitements informatiques ou papiers. La CNIL, après être une autorité de contrôle de la bonne pratique du traitement, est également une autorité d'alerte et permet la mise en œuvre du conseil pour toutes personnes et met en place le cadre du respect des données personnelles.

Depuis le 25 mai 2018, le règlement européen sur la protection des données consacre des obligations propres aux sous-traitants qui doivent désormais se responsabiliser quant à la mise en conformité du traitement des données à caractère personnel. Le sous-traitant devra respecter les garanties permettant la mise en œuvre des mesures techniques relatives au traitement de ces données.

Pourquoi un sous-traitant doit-il se conformer au RGPD ?

Applicable à partir du 25 mai 2018 à l’ensemble de l’Union européenne, le règlement européen sur la protection des données (RGPD) renforce les droits des résidents européens sur leurs données et responsabilise l’ensemble des acteurs traitant ces données. Cette nouvelle règlementation s’applique également aux sous-traitants qui traitent de données à caractère personnel. Ainsi, il convient de les accompagner d'une démarche de mise en conformité au règlement européen.

C'est quoi l'objet d'un contrat de sous-traitance et quelles sont les obligations du sous-traitant ?

Sous-traitance du traitement des données et article 28 du RGPD

Le contrat de sous-traitance RGPD est un contrat par lequel le responsable de traitement va sous-traiter cette mission à une autre personne morale ou physique qui sera en charge à sa place de gérer, traiter et réaliser des registres des données collectées.

Le sous-traitant devra présenter des garanties suffisantes pour la mise en œuvre de moyens et mesures techniques permettant le traitement des données en conformité avec le règlement européen. L'article 28 du règlement RGPD prévoit les dispositions applicables à ce traitement des données par les sous-traitants.

Les sous-traitants ne pourront pas sous-traiter eux-mêmes sans l'accord du responsable de traitement par exemple.

Ce type de contrat devra prévoir tous les droits et obligations légales et conventionnelles entre les parties, tout en respectant le RGPD. C'est pour cela que nous vous proposons un modèle afin que vous n'oubliez aucune information essentielle à ce type de contrat.

Quelles sont les obligations de l'entreprise sous-traitante et du responsable de traitement ?

Le contrat de sous-traitance prévoira plusieurs obligations incombant à l'entreprise sous-traitante. Le traitement des données personnelles pour le compte de son client est encadré par le règlement européen et prévoir notamment les obligations suivantes :

• Une obligation de transparence et de traçabilité ;

• La prise en compte des principes de protection des données dès la conception et de protection des données par défaut ;

• Une obligation de garantir la sécurité des données traitées ;

• Une obligation d’assistance, d’alerte et de conseil dont les mesures techniques devront être établies entre les parties (par exemple le sous-traitant pourra aider le responsable de traitement dans la réalisation d'analyses d'impact relatives à la protection des données personnelles).

Par exemple, le sous-traitant aura l'obligation de tenir un registre de traitement des données afin de retracer tout ce qu'il a pu traiter et ainsi aider à la transparence et la traçabilité. Le sous-traitant se doit d'appliquer un code de conduite permettant le traitement des données en bonne et due forme.

Le responsable de traitement quant à lui aura d'autres obligations à respecter telles que :

• Une obligation de fournir au sous-traitant les données ;
• Prévoir à l'écrit les instructions et modalités de traitement des données ;
• Vérifier tout au long du contrat le respect aux dispositions du règlement ;
• Superviser, réaliser des audits, des inspections, etc.

Le responsable de traitement, devra, par ailleurs, prévoir une charte ou politique de confidentialité applicable à son entreprise et également prévoir pour les personnes dont leur information est collectée des modalités de retrait, modification, suppression des données, etc. Cette seconde obligation devra être respectée également par le sous-traitant qui sera alors en charge de recueillir l'exercice du droit de suppression des données par les utilisateurs.

Qui rédige et comment rédiger un contrat de sous-traitance RGPD ?

La rédaction du contrat de sous-traitance incombe aux parties signataires de l'acte, c'est à dire le responsable de traitement et le sous-traitant. Les parties devront s'entendre sur tous les points compris au sein du contrat. Le contrat qui est en téléchargement pourra vous aider à cette rédaction.

Les parties devront faire attention à se conformer au règlement européen sur la protection des données. Ce règlement permet de responsabiliser les acteurs du traitement des données personnelles pour tous les résidents européens. Le contrat permettra de définir le cadre du respect des obligations par les parties au traitement des données personnelles.

Le contrat devra contenir plusieurs informations essentielles telles que :

• L'objet du contrat, cet objet du contrat est la sous-traitance des données à caractère personnelles ;
• L'identification des parties, leurs coordonnées, civilités, Nom, prénoms ou dénominations sociales, adresses, etc ;
• Le descriptif des données qui sont traitées : le type de traitement (par traitement au format électronique, papier, etc.), la catégorie de personnes concernées, le type de données collectées (par exemple l'adresse IP, etc.) ;
• L'autorisation générale ou une autorisation spéciale de sous-traitance par le sous-traitant lui même (par exemple la consultation préalable et sous forme écrite du responsable de traitement pour recueillir son autorisation) ;
• La durée du contrat ;
• Les obligations des parties (le responsable de traitement et le sous-traitant) tel que le respect par le sous-traitant des instructions de traitement données par le responsable, la réalisation d'audits pour le responsable de traitement, le fait de donner suite aux demandes des utilisateurs, etc ;
• L'obligation de confidentialité incombant au sous-traitant ;
• L'attribution des compétences en cas de litige ou le cas échéant une clause compromissoire ;
• La date et le nombre de copies existantes du contrat ;
• Les signatures.

Quel type de courrier est à rédiger pour non-respect du traitement des données personnelles ?

Afin de notifier un non-respect à une obligation dans le traitement des données personnelles, toute personne pourra envoyer un courrier à la CNIL afin de notifier cette violation. La personne devra préciser la nature de la violation (par exemple l'intérêt public, une violation dans le niveau de sécurité des données, etc.).

Ce courrier devra être le plus détaillé possible afin de permettre à la Commission de faire suite à la notification. Cette autorité de contrôle vérifiera le bien fondé de la demande. Il sera préférable d'envoyer ce courrier 72 heures après la constatation de la violation au droit du traitement des données personnelles. Le cas échéant expliquer l'envoi tardif de la lettre.

Il existe au sein du site de la CNIL plusieurs services de notification dématérialisés spécialisés pour le responsable du traitement des données et un autre pour les particuliers.

Notre modèle de contrat

Exemple type de contrat de sous-traitance RGPD incluant plusieurs clauses à télécharger en ligne

Nous vous proposons en téléchargement un contrat de sous-traitance RGPD à télécharger et personnaliser au format Word et PDF. Ce document est rédigé en conformité avec les dispositions en vigueur et contient différentes clauses contractuelles types qui sont personnalisable selon vos informations personnelles. Il vous permettra de n'oublier aucune information essentielle à ce type de contrat dans le cadre du respect des dispositions du règlement.

Vous trouverez au sein de notre site d'autres documents tels que : le contrat de cession d'une base de données d'un site internet ; le contrat de licence d'exploitation de données numériques ; les conditions générales d'utilisation pour site internet ; le contrat de cession de données numériques, etc.