Menu
Vous êtes ici : Accueil > Actualités > Comment bien rédiger un contrat de sous-traitance RGPD ? Quelles obligations ?

Comment bien rédiger un contrat de sous-traitance RGPD ? Quelles obligations ?

Le 10 juillet 2020
La rédaction d'un contrat de sous-traitance conforme au RGPD est obligatoire à partir du moment ou vous sous-traitez tout ou partie de vos activités de traitement à un sous-traitant: votre avocat RGPD vous éclaire, vous conseille et vous accompagne !

Votre Avocat RGPD vous informe que la rédaction d'un contrat de sous-traitance est obligatoire pour tous les responsables du traitement qui souhaitent avoir recours à un prestataire dans le cadre d'un traitement de données personnelles pour leur compte. La rédaction d'un contrat de sous-traitance est également obligatoire si un sous-traitant souhaite sous-traiter tout ou partie de sa mission à un autre sous-traitant et ainsi de suite.

La rédaction d'un contrat de sous-traitance RGPD

Quelles sont les clauses obligatoires ?

Le responsable du traitement (ou le sous-traitant) qui souhaite avoir recours à un sous-traitant pour lui confier un traitement de données personnelles doit impérativement respecter les mentions obligatoires décrites à l'article 28.3 du RGPD.

Votre Avocat RGPD vous informe que le contrat de sous-traitance doit notamment comporter une mention spécifique dans l'hypothèse d'un recours à un sous-traitant ultérieur, préciser les mesures de sécurité mises en place, les conditions de réalisation d'un audit de conformité, les hypothèses de transfert en dehors de l'Union etc... 

L'objectif est de permettre aux parties d'une part de déterminer et de définir leurs droits et obligations dans le cadre du contrat, et d'autre part de définir de manière claire leurs statuts et leurs responsabilité : votre Avocat RGPD à Paris peut vous conseiller au cas par cas dans l'hypothèse où vous auriez un doute sur la qualification juridique des parties.

Les traitements faisant l'objet de la sous-traitance doivent nécessairement être encadrés (à savoir notamment l'objet du contrat, sa durée, la nature et les finalités du traitement, les catégories de personnes concernées ainsi que les catégories de données à caractère personnelles traitées) : votre avocat RGPD peut vous accompagner pour encadrer vos opérations de sous-traitance.

Comment déterminer le statut des parties ?

Il n'est pas toujours aisé de faire facilement la distinction entre un sous-traitant, un responsable du traitement et un co-responsable du traitement : n'hésitez pas à contacter un avocat RGPD pour vous éclairer.

De manière générale, il est d'usage de considérer que lorsqu'un prestataire, fournisseur, entreprise, développeur, traite les données pour le compte d'un responsable du traitement il agit en qualité de sous-traitant. Bien entendu, il existe de exceptions par exemple dans le cadre de la maitrise d'oeuvre.

La CNIL considère également qu'un prestataire fournissant une solution clé en main permettant un traitement de données personnelles agit en qualité de sous-traitant, de la même manière qu'un prestataire effectuant des opérations de maintenance ponctuelles.

Le responsable du traitement est assimilable à un donneur d'ordres, il doit communiquer au sous-traitant des directives claires sur le traitement et ce dernier doit agir sur la base de ses instructions : n'hésitez pas à vous faire accompagner par un avocat RGPD pour vous aiguiller.

La CNIL a rappelé récemment que les parties ne pouvaient pas "choisir" la qualification juridique qui les arrange. Les parties au contrat doivent nécessairement respecter la réalité des activités de traitement mises en oeuvre.

Les obligations du sous-traitant 

Respect du RGPD par le sous-traitant

Le sous-traitant n'est en aucun cas exonéré de respecter le RGPD. Le responsable du traitement doit avant même de recruter un sous-traitant, s'assurer que ce dernier présente des garanties suffisantes quant au respect du RGPD.

En plus de la conclusion et du respect du contrat de sous-traitance, le sous-traitant doit veiller à:

  • respecter scrupuleusement les directives du responsable du traitement et être en mesure de démontrer qu'il agit sur la base de ses instructions ;
  • tenir un registre des activités de traitement qu'il effectue pour le compte du responsable du traitement ;
  • tenir à la disposition du responsable du traitement les preuves de sa conformité au RGPD en cas de contrôle ou d'audit.

Votre Avocat RGPD à Paris peut vous assister, vous accompagner et vous soutenir dans vos démarches de mise en conformité au RGPD.

Assistance, information et conseil du responsable du traitement 

Le sous-traitant a une véritable obligation d'assistance auprès du responsable du traitement notamment dans le cadre des demandes d'exercice des droits des personnes concernées ainsi que dans le cas ou le responsable du traitement souhaiterait réaliser une analyse d'impact sur la vie privée sur laquelle le sous-traitant aurait un rôle sur les traitements soumis à l'analyse d'impact.

Le sous-traitant a également un rôle d'information et de conseil notamment s'il considère qu'une de ses instruction est en contradiction avec le RGPD et en cas de violation des données personnelles.

Le sous-traitant a un véritable rôle actif et proactif dans le cadre du respect de la réglementation applicable : votre avocat RGPD peut vous accompagner facilement et au cas par cas.

Le sous-traitant doit être en mesure de proposer des outils, un produit, un service, une plateforme qui soient conformes au RGPD. Il appartient au responsable du traitement de faire preuve de vigilance quant au choix de son sous-traitant. 

N'hésitez pas à faire appel à Maitre Mathilde Barbour avocat RGPD à Paris pour vous assister sur la rédaction de votre contrat de sous-traitance, pour l'encadrement de vos relations avec vos sous-traitants, pour le choix de vos sous-traitants ainsi que pour la mise en conformité au RGPD de vos activités de traitement.