Contrat de sous-traitance RGPD

Garantie

Ce document est garanti à jour 15-06-2024

Signature>

Signez votre document éléctroniquement

Microsoft word

Format Word
modifiable

Contrat de sous-traitance RGPD
Télécharger
L'équipe juridique Comod

Ce document a été rédigé, puis est maintenu à jour par :

L'équipe juridique Comod

Icone juriste

Élaboré par des juristes expérimentés

Document éditable

Personnalisable selon vos besoins

Garantie

Garanti à jour et facile à utiliser pour tous

Base de données

Accès illimité à notre base de documents

Logo Comod

Signature électronique avec effet légal

Photo support client

Support client à votre écoute

Qu'est-ce que le Règlement général sur la protection des données personnelles (RGPD) ? 

Le Règlement général sur la protection des données, désigné sous l'acronyme RGPD, est entré en vigueur le 25 mai 2018 ayant pour objectif de renforcer et unifier la protection des données personnelles pour tous les ressortissants de l'Union européenne (UE). En ce sens, le RGPD s'applique dans tous les États membres de l'UE, 27 États membres ont donc l'obligation d'appliquer et de se conformer au RGPD. 

Le RGPD concerne tout « traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». Il impose des obligations à toutes les entreprises et organisations qui collectent, traitent et stockent des données personnelles. 

Une donnée est à caractère personnel dès lors qu’il s’agit d’une information permettant une identification directe ou indirecte d'une personne. Le cas échéant, cela peut inclure des éléments tels que le nom, le prénom, le numéro de sécurité sociale, le numéro de téléphone, les opinions politiques...

Le RGPD établit des obligations pour les entreprises qui traitent des données personnelles, y compris lorsqu'elles ont recours à des sous-traitants. Il comprend des principes clés comme la transparence, l'intégrité et la confidentialité des données.

Il donne également aux individus un plus grand contrôle sur leurs données personnelles, avec des droits renforcés tels que le droit d'accès, de rectification, d'effacement, de limitation du traitement et de portabilité des données.

En cas de non-conformité au RGPD, les entreprises risquent des sanctions financières importantes par les autorités de contrôle nationales, notamment par la CNIL en France. 

Qu'est-ce que la CNIL ?

La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française. Créée en 1978, elle a pour mission de veiller à la protection des données personnelles au sein des traitements de données informatisés ou papiers, de sorte qu'ils respectent les droits fondamentaux du citoyen tels que la vie privée.

En tant qu'autorité de contrôle, la CNIL émet des recommandations, des avis et des sanctions en cas de non-respect des règles de protection des données. La formation restreinte de la CNIL a la possibilité d'émettre des sanctions à l'égard des responsables de traitement qui ne respecteraient pas le RGPD. Elle peut octroyer des sanctions pécuniaires pouvant s'élever jusqu'à 20 millions d'euros ou jusqu'à 4% du chiffre d'affaires annuel mondial s'agissant des entreprises. 

En plus de ses missions de contrôle et de sanction, elle offre un accompagnement pour les entreprises ou organismes souhaitant utiliser des données à caractère personnel pour leur activité à l'aide de fiches pratiques, de guides thématiques. 

Depuis le 25 mai 2018, le RGPD consacre des obligations propres aux sous-traitants qui doivent désormais se responsabiliser quant à la mise en conformité du traitement des données à caractère personnel. Le sous-traitant devra respecter les garanties permettant la mise en œuvre des mesures techniques relatives au traitement des données.

Qu'est-ce qu'un sous-traitant au sens du RGPD ?

Définition du sous-traitant 

Au sens du RGPD, le sous-traitant est une entité externe qui traite les données personnelles pour le compte du responsable de traitement. Le responsable de traitement étant en charge de la détermination des finalités et des moyens de traitement. En conséquence, le sous-traitant agit selon les instructions du responsable de traitement et fournit des services de traitement de données tels que le stockage, leur sécurisation ainsi que toute autre opération relative au traitement des données personnelles. 

Le RGPD impose des obligations strictes au sous-traitant notamment celle de garantir la confidentialité et la sécurité des données qu'il traite mais également de coopérer avec le responsable de traitement. 

Pourquoi un sous-traitant doit-il se conformer au RGPD ?

Applicable à partir du 25 mai 2018 à l’ensemble de l’Union européenne, le RGPD renforce les droits des résidents européens sur leurs données et responsabilise l’ensemble des acteurs traitant ces données. Cette nouvelle règlementation s’applique également aux sous-traitants qui traitent de données à caractère personnel. 

Qu'est-ce qu'un contrat de sous-traitance RGPD ? Quelles sont les obligations du sous-traitant ?

Sous-traitance du traitement des données et article 28 du RGPD

Le contrat de sous-traitance RGPD est un contrat par lequel le sous-traitant est autorisé à traiter les données à caractère personnel pour le compte du responsable de traitement. 

L'article 28 du même règlement prévoit les dispositions applicables à ce traitement par le sous-traitant.

Le sous-traitant devra présenter des garanties suffisantes pour la mise en œuvre de moyens et mesures techniques organisationnelles permettant le traitement des données en conformité avec le RGPD. 

Les sous-traitants ne pourront pas sous-traiter eux-mêmes sans l'accord du responsable de traitement par exemple.

Quelles sont les obligations du sous-traitant et du responsable de traitement pour être en conformité avec la réglementation ?

Le contrat de sous-traitance prévoit plusieurs obligations incombant à l'entreprise sous-traitante. Le traitement des données personnelles pour le compte de son client est encadré par le RGPD et prévoit notamment les obligations suivantes :

  • Une obligation de transparence et de traçabilité ;

  • La prise en compte des principes de protection des données dès la conception et de protection des données par défaut ;

  • Une obligation de garantir la sécurité des données traitées ;

  • Une obligation d’assistance, d’alerte et de conseil dont les mesures techniques devront être établies entre les parties (par exemple, le sous-traitant pourra aider le responsable de traitement dans la réalisation d'analyses d'impact relatives à la protection des données personnelles).

Le sous-traitant aura l'obligation de tenir un registre de traitement des données afin de retracer tout ce qu'il a pu traiter et ainsi aider à la transparence et la traçabilité. Le sous-traitant se doit d'appliquer un code de conduite permettant le traitement des données en bonne et due forme.

Le responsable de traitement quant à lui aura d'autres obligations à respecter telles que :

  • Une obligation de fournir au sous-traitant les données ;
  • Prévoir à l'écrit les instructions et modalités de traitement des données ;
  • Vérifier tout au long du contrat le respect aux dispositions du règlement ;
  • Superviser, réaliser des audits, des inspections,...

Le responsable de traitement, devra, par ailleurs, prévoir une charte ou politique de confidentialité applicable à son entreprise et également prévoir pour les personnes dont les informations sont collectées des modalités de retrait, modification, suppression des données,... Cette seconde obligation devra être respectée également par le sous-traitant qui sera alors en charge de recueillir l'exercice du droit de suppression des données par les utilisateurs.

Comment rédiger un contrat de sous-traitance RGPD ?

La rédaction du contrat de sous-traitance incombe aux parties signataires de l'acte, c'est-à-dire le responsable de traitement et le sous-traitant. Les parties devront s'entendre sur tous les points compris au sein du contrat. 

Les parties devront veiller à se conformer au RGPD. Ce règlement permet de responsabiliser les acteurs du traitement des données personnelles pour tous les résidents européens. Le contrat permettra de définir le cadre du respect des obligations par les parties au traitement des données personnelles.

Le contrat devra contenir plusieurs informations essentielles telles que :

  • L'objet du contrat, cet objet du contrat est la sous-traitance des données à caractère personnelles ;
  • L'identification des parties, leurs coordonnées, civilités, Nom, prénoms ou dénominations sociales, adresses, etc ;
  • Le descriptif des données qui sont traitées : le type de traitement (par traitement au format électronique, papier, etc.), la catégorie de personnes concernées, le type de données collectées (par exemple l'adresse IP, etc.) ;
  • L'autorisation générale ou une autorisation spéciale de sous-traitance par le sous-traitant lui même (par exemple la consultation préalable et sous forme écrite du responsable de traitement pour recueillir son autorisation) ;
  • La durée du contrat ;
  • Les obligations des parties (le responsable de traitement et le sous-traitant) tel que le respect par le sous-traitant des instructions de traitement données par le responsable, la réalisation d'audits pour le responsable de traitement, le fait de donner suite aux demandes des utilisateurs, etc ;
  • L'obligation de confidentialité incombant au sous-traitant ;
  • L'attribution des compétences en cas de litige ou le cas échéant une clause compromissoire ;
  • La date et le nombre de copies existantes du contrat ;
  • Les signatures.

Est-il obligatoire d'avoir un contrat de sous-traitance RGPD ?

La rédaction d'un contrat de sous-traitance RGPD est obligatoire dès lors que le responsable de traitement fait appel à un sous-traitant pour le traitement total ou partiel des données à caractère personnel qu'il détient. Le cas échéant, cette rédaction devra tenir compte des dispositions de l'article 28 du RGPD. 

Quel type de courrier est à rédiger pour non-respect du traitement des données personnelles ?

Afin de notifier un non-respect à une obligation dans le traitement des données personnelles, toute personne pourra envoyer un courrier à la CNIL. La personne devra préciser la nature de la violation (par exemple l'intérêt public, une violation dans le niveau de sécurité des données, etc.).

Ce courrier devra être le plus détaillé possible afin de permettre à la Commission de faire suite à la notification. Cette autorité de contrôle vérifiera le bien fondé de la demande. Il sera préférable d'envoyer ce courrier 72 heures après la constatation de la violation au droit du traitement des données personnelles. Le cas échéant, il faudra expliquer l'envoi tardif de la lettre.

Il existe au sein du site de la CNIL plusieurs services de notification dématérialisés spécialisés pour le responsable du traitement des données et pour les particuliers.

Notre modèle de contrat

Exemple type de contrat de sous-traitance RGPD incluant plusieurs clauses à télécharger au format PDF/Word 

Nous vous proposons en téléchargement un contrat de sous-traitance RGPD à télécharger et personnaliser au format Word ou PDF. Ce document est rédigé en conformité avec les dispositions en vigueur et contient différentes clauses types qui sont personnalisables selon vos informations personnelles. Il vous permettra de n'oublier aucune information essentielle à ce type de contrat dans le cadre du respect des dispositions du règlement.

Vous trouverez au sein de notre site d'autres documents tels que : le contrat de cession d'une base de données d'un site internet ; les conditions générales d'utilisation pour site internet ; le contrat de cession de données numériques, etc.

Sommaire

Article 1 – Objet du contrat

Article 2 – Description du traitement

Article 3 – Obligations des parties

Article 4 – Sous-traitance

Article 5 – Délégué à la protection des données

Article 6 – Durée et renouvellement

Article 7 – Expiration

Article 8 – Résiliation

Article 9 – Effets de l’expiration ou de la résiliation

Article 10 – Confidentialité

Article 11 – Cession du contrat

Article 12 – Litiges

Article 13 – Élection du domicile

Prévisualisation du document

Cette prévisualisation est à titre informative et ne prend pas en compte la mise en page de notre document. Seule la version téléchargeable de notre document est à jour et complète.

(Monsieur ou Madame X), né(e) le (date) à (lieu de naissance), demeurant au (indiquer l'adresse), de nationalité (à préciser).

OU

La société (nom de la société), au capital de (montant du capital) Euros dont le siège social est à (Ville), immatriculée au Registre du commerce et des sociétés de (à préciser), sous le numéro (préciser le numéro) Le représentant légal est (Monsieur ou Madame) (Nom et Prénom) demeurant à (adresse).

Désigné(e) ci-après « Le Responsable de traitement »,



Et,

(Monsieur ou Madame X), né(e) le (date) à (lieu de naissance), demeurant au (indiquer l'adresse), de nationalité (à préciser).

OU

La société (nom de la société), au capital de (montant du capital) Euros dont le siège social est à (Ville), immatriculée au Registre du commerce et des sociétés de (à préciser), sous le numéro (préciser le numéro) Le représentant légal est (Monsieur ou Madame) (Nom et Prénom) demeurant à (adresse).

Désigné(e) ci-après « le Sous-traitant ».

Les parties ont convenu et arrêté les dispositions suivantes :

Préambule

Le Responsable de traitement ainsi que le Sous-traitant s’engagent pendant toute la durée de leur relation contractuelle, à respecter la réglementation en vigueur et notamment le Règlement européen (UE) 2016/679 du 27 avril 2016 désigné ci-après le « RGPD » ou « le règlement européen sur la protection des données ».

Les parties s’engagent à exécuter leurs missions conformément aux dispositions prévues au présent contrat.

Article 1 – Objet du contrat

Le présent contrat prévoit les modalités selon lesquelles le Sous-traitant s’engage à effectuer une mission de traitement des données à caractère personnel pour le compte du Responsable de traitement et pour le ou les services suivants : (préciser).

Article 2 – Description du traitement

2.1 Nature du traitement

Le Sous-traitant s’engage à traiter les données à caractère personnel ayant les caractéristiques suivantes : (préciser et détailler au mieux les données traitées)

Le traitement des données à caractère personnel s’effectue dans le cadre de la collecte, de l’utilisation et de la gestion des informations relatives aux personnes concernées. Ce traitement englobe diverses opérations telles que (préciser : le stockage, la diffusion...).

2.2 Finalité du traitement

Le Sous-traitant devra respecter la finalité ou les finalités de traitement des données précisées ci-dessous, et plus précisément :

(préciser, par exemple, gestion des recrutements, enquête de satisfaction, surveillance des locaux... 

2.3 Catégories de personnes concernées

Le Sous-traitant limitera le traitement des données personnelles aux personnes concernées ci-dessous :

(préciser : hommes, femmes âgées de 18-35 ans, personnes âgées...)

2.4 Informations sur le traitement

Le Responsable de traitement s’engage à transmettre au Sous-traitant l’ensemble des informations nécessaires à l’exécution de la prestation, objet du présent contrat, à savoir :

(préciser).

Article 3 – Obligations des parties

3.1 Obligations du Responsable de traitement

3.1.1 Fournir les données

Le Responsable de traitement s’engage à fournir au Sous-traitant toutes les données prévues à l’article 2 du présent contrat, et ce, afin de lui permettre l’exécution de sa mission de traitement de ces données.

3.1.2 Instructions et vérifications

Le Responsable de traitement s’engage à indiquer au Sous-traitant toutes les spécifications et instructions qui sont précisées en Annexe 1 du présent contrat. Il s’engage également à vérifier que ce traitement par le Sous-traitant respecte toutes les dispositions légales, européennes en vigueur ainsi que les dispositions conventionnelles.

Le Responsable de traitement s’engage notamment à réaliser toutes les mesures de vérifications, audits et inspections concernant la bonne application de ses obligations par le Sous-traitant.

3.2 Obligations du Sous-traitant

3.2.1 Garanties

Conformément aux dispositions légales et notamment le RGPD, le Sous-traitant se doit de présenter les garanties suffisantes correspondant à la mise en œuvre des mesures techniques et organisationnelles adaptées au traitement des données.

3.2.2 Mesures de sécurité et confidentialité

Le Sous-traitant s’engage à prendre toutes les mesures permettant la sécurité du traitement des données précisées à l’article 2 du présent contrat.

Notamment, il s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires afin de garantir un niveau de sécurité adéquat pour ces données. L’article 32 du RGPD prévoit notamment les mesures suivantes :

« a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résiliation constantes des systèmes et services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. »

Ces mesures devront être proportionnées et appropriées aux données qui seront traitées par le Sous-traitant.

3.2.3 Formation et confidentialité

Le Sous-traitant s’engage également à maintenir la confidentialité de l’ensemble des données à caractère personnel qu’il détient et à assurer en permanence la sécurité de ses services de traitement.

Cette obligation s’étend à toute personne qui traite les données ainsi qu’au personnel dont il a la charge.

Le Sous-traitant promet de dispenser une formation au personnel sous sa responsabilité, portant sur le traitement et la protection des données à caractère personnel.

De plus, il s’engage à vérifier lors du transfert de ses données avec un tiers, que ce dernier a été au préalable autorisé à traiter les données à caractère personnel conformément aux dispositions conventionnelles et légales. Ce transfert devra notamment faire l’objet d’une autorisation exprès et préalable du Responsable de traitement.

3.2.4 Assistance, alerte et conseil

Le Sous-traitant s’engage à assister et conseiller le Responsable de traitement dans le traitement des données. Le Sous-traitant s’engage également à aider le Responsable de traitement dans son obligation de sécurité du traitement des données.

Le Sous-traitant se doit d’informer et alerter, et ce, dans un délai maximum de (préciser), toute violation qui serait intervenue dans le cadre du traitement des données et plus précisément celles ayant un caractère personnel. Ce signalement devra être accompagné de la documentation nécessaire à la notification de la violation à l’autorité de contrôle compétente, en l’occurrence, la Commission nationale de l’informatique et des libertés (CNIL). 

Commentaire : Le Sous-traitant peut signaler toute violation auprès de la CNIL sur accord du responsable de traitement, tout dépend du choix des parties. Dans ce cas, la notification devra contenir un certain nombre d’informations comme la description de la violation, des conséquences éventuelles, des mesures prises...

Le Sous-traitant communiquera au nom et pour le compte du Responsable de traitement, ladite violation de données à caractère personnel aux personnes concernées dans les plus brefs délais, lorsque cette violation représente un risque élevé pour les droits et libertés des personnes physiques.

Cette notification devra être rédigée en des termes clairs et simples et devra fournir une description détaillée de la violation des données.

3.2.5 Droit d’information – Exercice du droit des personnes

Dès lors qu’une collecte de données a lieu, le Sous-traitant s’engage à fournir aux personnes concernées, toute information relative au traitement qui est réalisé. Cette information se fera selon les spécifications données par le Responsable de traitement détaillées en Annexe 1 du présent contrat.

Commentaire : Le Responsable de traitement peut également fournir ces informations.

Le Sous-traitant s’engage à apporter son soutien au Responsable de traitement concernant l’obligation de donner suite aux demandes d’exercice des droits des personnes concernées. Cette obligation concerne spécifiquement le droit de rectification des données, le droit d’accès, le droit à l’effacement, le droit d’opposition ou à la portabilité des données. Cette aide du Sous-traitant se caractérise par le fait de (préciser par exemple : traiter au nom et pour le compte du Responsable de traitement toute demande OU d’informer directement le Responsable de traitement par (moyen de communication) toute demande qui lui serait directement adressée).

3.2.6 Registre

Le Sous-traitant s’engage à tenir un registre des catégories d’activités et de toutes les données traitées au cours du présent contrat.

Article 4 – Sous-traitance

Le Sous-traitant a la possibilité de faire appel à un autre sous-traitant dans le cadre de sa mission, à condition d’en informer préalablement par écrit le Responsable de traitement et d’obtenir ultérieurement son autorisation.

Dans le cas où un nouveau sous-traitant entre dans la présente relation contractuelle, ce dernier devra se conformer à toutes les dispositions prévues au sein du présent contrat, et ce, sous la responsabilité du Sous-traitant.

Article 5 – Délégué à la protection des données

Le Sous-traitant devra désigner un délégué à la protection des données conformément à l’article 37 du RGPD. Suite à cela, le Sous-traitant communiquera au Responsable de traitement, son nom et ses coordonnées afin de faciliter la collaboration et d’assurer une communication efficace.

Article 6 – Durée et renouvellement

Le présent contrat est conclu pour une durée de (indiquer le nombre d'années) à compter de sa signature en date du (date).

Le contrat pourra être tacitement renouvelable dans les mêmes conditions pour une durée de (à préciser), sauf si l'une des parties notifie par lettre recommandée avec accusé de réception la résiliation du présent contrat.

Cette notification devra se faire au moins (préciser le délai : (nombre) jours/mois) avant l'échéance du présent contrat.

Article 7 – Expiration

Le contrat cessera de plein droit à l'arrivée de son terme, fixé d'un commun accord entre les parties à la date du (date de fin du contrat), comme il en est convenu à l'article 6 des présentes, sauf renouvellement de la convention.

Article 8 – Résiliation

En cas d'inexécution par l'une des parties d'une seule de ses obligations contractuelles, la résiliation du contrat serait encourue de plein droit, (nombre) jours après une mise en demeure restée sans effet.

La résiliation a lieu de plein droit notamment dans les cas suivants : (préciser les cas).

Cette résiliation se fera aux torts de la partie ayant la charge de la ou des obligations contractuelles non exécutées, sauf cas de force majeure.

Le présent contrat prendra fin également à tout moment sur accord des parties avant l’expiration dudit contrat.

Article 9 – Effets de l’expiration ou de la résiliation

Au terme du présent contrat, le Sous-traitant s’engage à procéder à la destruction de l’ensemble des données à caractère personnel qu’il détient.

OU

Au terme ou à la date d’effet de la résiliation, le Sous-traitant a l’obligation de renvoyer l’ensemble des données à caractère personnel qu’il a en sa possession au Responsable de traitement.

Article 10 – Confidentialité

Les parties s’engagent, et ce, pendant toute la durée du contrat et au-delà, à garder confidentielles toutes les informations indiquées comme telles.

Les parties s’engagent à ne pas divulguer ces informations confidentielles, sauf toute personne autorisée au préalable.

Article 11 – Cession du contrat

Le présent contrat est conclu intuitu personae et ne saurait, à titre principal ou accessoire, faire l’objet d’aucune cession ou transmission à titre gratuit ou onéreux.

Article 12 – Litiges

La loi applicable au présent contrat est la loi française.

Lorsqu’un litige survient, les parties chercheront en premier lieu un accord amiable.

À défaut d’accord et pour toute contestation des parties au contrat, les parties donnent compétence au Tribunal (préciser la juridiction) de (indiquer la ville).

Article 13 – Élection du domicile

Pour l'exécution du présent contrat, les parties font respectivement élection de leur domicile en leurs sièges sociaux ou adresses indiqués à la première page.

Toute modification de domicile devra être signifiée par les parties par lettre recommandée avec accusé de réception afin que cela lui soit opposable.

Fait à (ville), le (date), en (nombre) exemplaires originaux

Le Responsable de traitement Le Sous-traitant

Annexe 1 – Instructions et spécifications

À préciser ici toutes les instructions du Responsable de traitement concernant le traitement des données par le Sous-traitant.

×
Ce document est garanti à jour par notre équipe de juriste expérimentés
  • Ce modèle de document est garanti à jour le
    15juin2024
  • Élaboré et veillé par nos juristes expérimentés
  • Garantie satisfait ou remboursé
×
Signez tous vos documents avec la solution Comod
  • Ce modèle de document peut être accompagné de notre système de signature éléctronique
  • Signature électronique disponible pour tous vos documents
  • Gagnez du temps avec notre signature électronique à valeur légale
×
Modèle de document au format Word, facile à personnaliser
  • Modèle de document entièrement éditable sous Word (format de fichier .docx)
  • Copiez-collez les contenus sans limite
  • Des commentaires dans les documents vous aident pour la compréhension de certains documents complexes