Un modèle type de contrat de sous-traitance RGPD

• Thiébaut Devergranne

Le règlement européen en matière de protection des données personnelles (RGPD) impose qu’un contrat soit conclu à chaque fois qu’un responsable de traitement fait appel à un sous-traitant. Ce contrat est très précisément règlementé par l’article 28 du règlement qui impose une série de condition qu’il est essentiel de respecter. Voici un modèle type qui vous permettra de vous aider et vous documenter dans votre mise en conformité (profitez-en ce type de contrat est classiquement vendu dans les eaux de 2.000€…).

Bien que l’essentiel des obligations soient imposées par le RGPD, notez que ce contrat tend un peu plus à protéger le responsable du traitement. Si l’on devait ré-rédiger ce contrat pour protéger le sous-traitant, certaines précisions ne seraient probablement pas ajoutées (ex : détails précis de la formation des équipes, etc.).

Nous avons pris l’exemple d’un responsable de traitement recourant à un sous-traitant pour l’envoi d’emails (exemple classique de la newsletter).

PREAMBULE

Considérant que le responsable du traitement souhaite recourir aux services du sous-traitant afin d’opérer le traitement de données personnelles pour son compte. Que cette relation de sous-traitance est encadrée strictement par le règlement 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).

Les parties s’engagent aux respect des obligations définies ci-après.

Article 1 - Garanties suffisantes

Le sous-traitant certifie présenter les garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées pour répondre aux exigences imposées par le règlement. En particulier le sous-traitant certifie avoir formé ses personnels internes afin que son organisation soit en mesure de respecter l’ensemble des obligations imposées dans ce cadre.

Le sous-traitant certifie également disposer des compétences techniques (IT, sécurité, infrastructure…) et juridiques pour appréhender l’ensemble des obligations qui sont imposées par le règlement pour le traitement des données personnelles qui lui seront transmises par le responsable du traitement. Il certifie également avoir les ressources suffisantes garantir en permamance son respect. A ces fins, et en tant que de besoin, le sous-traitant transmet l’ensemble des éléments probatoires nécessaires à cette démonstration.

Article 2 - Obligation juridique, objet et durée du traitement

Ce contrat lie juridiquement le sous-traitant au responsable de traitement dans la fourniture de prestations de service opérant le traitement de données personnelles pour son compte.

L’objet du contrat est __ (ex : la fourniture d’un service d’emailing réalisé pour le compte du responsable du traitement ).

La durée du traitement prévue au contrat est ___ (ex : définie par l’abonnement pris par le responsable du traitement / annuelle / jusqu’à notification d’arrêt des services, …)

Article 3 - Nature et finalité du traitement

Les services de traitement de données personnelles fournis par le sous-traitant sont opérés pour __ (ex : l’envoi de campagnes d’emailing - décrire ici les services proposés en détail par le ST).

Article 4 - Type de données traitées

Les données personnelles traitées seront :

Concernant les services d’emailing :

  • l’email
  • l’adresse IP des personnes s’inscrivant aux listes d’emailing
  • le nom des personnes

Concernant l’accès aux interfaces d’administration du logiciel :

  • l’email et le mot de passe du responsable du traitement

Concernant la facturation :

  • les coordonnées de la personne en charge de la gestion du compte

Article 5 - Catégories de personnes concernées

Les personnes concernées par le traitement sont __ (ex : les prospects du responsable de traitement, ainsi que pour l’accès à la gestion du service, les personnels internes du responsable du traitement opérant le traitement (administrateurs système, service marketing, …)).

Article 6 - Obligations et droits du responsable du traitement

Conformément à l’article 28.3 du règlement, il est rappelé que le responsable du traitement assume la responsabilité du traitement des données personnelles et que celui-ci dispose des droits, notamment définis à l’article 28 du règlement susvisé.

Article 7 - Traitement sur instruction du responsable du traitement

Le sous-traitant ne traite les données personnelles que sur instruction documentée du responsable du traitement.

Article 8 - Personnels opérant le traitement des données pour le compte du responsable du traitement

Le sous-traitant certifie que l’ensemble des personnes opérant le traitement des données personnelles pour son compte (personnels internes, salariés, intérimaires, …) est soumis à une obligation de confidentialité (accord de confidentialité spécifique dans les contrats de travail, charte informatique). Ces documents (ou les extraits pertinents) sont mis à disposition du responsable du traitement en tant que de besoin.

Article 9 - Respect des obligations de sécurité informatique

Le sous-traitant s’engage spécifiquement à respecter l’ensemble des obligations de sécurité (notamment imposées par l’article 32) dans le traitement des données personnelles opérées pour le compte du responsable de traitement.

Article 10 - Recrutement d’autres sous-traitants

Le sous-traitant s’engage à s’assurer du respect des conditions visées aux paragraphes 2 et 4 de l’article 28 du règlement susvisé pour le recrutement d’un autre sous-traitant dans le cadre de la présente relation contractuelle.

Article 11 - Assistance

Le sous-traitant s’engage à aider le responsable du traitement par des mesures techniques et organisa­tionnelles appropriées, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III du règlement.

Article 12 - Obligations des articles 32 à 36

Le sous-traitant s’engage à aider le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36.

Article 13 - Fin de prestation

Selon le choix défini par le responsable du traitement, le sous-traitant s’engager à supprimer toutes les données à caractère personnel ou les renvoyer au responsable du traitement au terme de la prestation de service, et s’engage à détruire les copies existantes (à moins d’en être obligé autrement de part la loi).

Article 14 - Démonstration du respect des exigences du RGPD

Le sous-traitant s’engage à mettre à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par le règlement susvisé et permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Le sous-traitant s’engage également à informer le responsable si une instruction constitue une violation du règlement ou une autre disposition relative à la protection des données.

Article 15 - Sous-sous-traitance

Le responsable du traitement confère une autorisation générale de sous-sous-traitance au sous-traitant, afin qu’il puisse mener ses missions à bien dans le cadre de la présente prestation de service.

En cas de sous-sous-traitance, le sous-traitant informe le responsable du traitement de tout changement concernant l’ajout ou le remplacement d’autres sous-traitants, au moins un mois avant le changement, afin de donner au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

Lorsqu’un sous-traitant recrute un autre sous-traitant, le sous-traitant s’engage à s’assurer que les mêmes obligations soient imposés à ce sous-traitant que celles fixées au présent contrat, relativement à la protection des données personnelles et afin que ce sous-sous-traitant réponde aux exigences du règlement susvisé.

Fait à __ Le ___ En deux exemplaires Signatures des parties

Rappel des dispositions de l’article 28

1.   Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. 2.   Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements. 3.   Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant: a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation interna­ tionale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public; b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confiden­ tialité ou soient soumises à une obligation légale appropriée de confidentialité; c) prend toutes les mesures requises en vertu de l’article 32; d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant; e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisa­ tionnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III; f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant; g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel; et h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données. 4.   Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations. 5.   L’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article. 6.   Sans préjudice d’un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu’elles font partie d’une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43. 7.   La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d’examen visée à l’article 93, paragraphe 2. 8.   Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l’article 63. 9.   Le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique. 10.   Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)