Par FB Juris et Franck Beaudoin, avocat

Publié le 20/05/2018sur idroit.co

Guide juridique

L’article 28 du RGPD impose au responsable d’un traitement de données personnelles de formaliser par écrit sa relation avec tout éventuel sous-traitant ayant accès aux données personnelles. Cet article envisage prioritairement un contrat, mais il évoque également la possibilité d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement.

Nous publions par ailleurs, sur idroit.co, un modèle de contrat de sous-traitance de données personnelles (cf. RGPD 8). Ce modèle de contrat est assez simple. Cependant, dans certaines circonstances, il peut être souhaitable de simplifier encore plus la formalisation exigée par le RGPD. Nous proposons donc ici trois autres modèles pouvant être utilisés alternativement.

Le premier est une lettre du responsable du traitement au sous-traitant pressenti. Le deuxième est une lettre du sous-traitant au responsable du traitement. Le troisième est une déclaration de conformité unilatérale du sous-traitant.

Modèles

Modèle 1 – Lettre du responsable du traitement au sous-traitant

XXX [en-tête du responsable du traitement]

XXX [destinataire]

XXX [lieu], le XXX [date]

Sous-traitance de données personnelles

Madame, Monsieur,

Nous effectuons un traitement de données personnelles dont les caractéristiques sont définies ci-dessous. Ce traitement est régi par le RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016).

Nous envisageons de vous confier la sous-traitance de certaines opérations relatives à ces données personnelles, à condition que vous garantissiez :

– que vous présentez les garanties requises quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée,

– que vous respecterez scrupuleusement les obligations mentionnées à l’article 28 du RGPD et, plus généralement, l’ensemble des règles imposées par le RGPD pour le traitement de données personnelles.

Caractéristiques du traitement de données personnelles

Objet du traitement : XXX [objet du traitement].

Durée du traitement : XXX [date].

Nature et finalité du traitement : XXX [compléter].

Type de données à caractère personnel : XXX [compléter].

Catégories de personnes concernées : XXX [compléter].

XXX [signataire : responsable du traitement]

***

Le sous-traitant soussigné déclare qu’il connaît parfaitement les règles fixées par le RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) pour le traitement de données personnelles. Il garantit qu’il satisfait aux conditions posées par l’article 28 du RGPD et qu’il se conformera strictement aux prescriptions du RGPD et aux instructions du responsable du traitement, pour le traitement des données personnelles définies ci-dessus.

XXX [signataire : sous-traitant]

Modèle 2 – Lettre du sous-traitant au responsable du traitement

XXX [en-tête du sous-traitant]

XXX [destinataire : responsable du traitement]

XXX [lieu], le XXX [date]

Sous-traitance de données personnelles

Madame, Monsieur,

Vous effectuez un traitement de données personnelles dont les caractéristiques sont définies ci-dessous. Vous envisagez de nous confier la sous-traitance de certaines opérations relatives à ces données personnelles.

Nous garantissons :

– que nous présentons les garanties requises quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) et garantisse la protection des droits de la personne concernée,

– que nous traiterons les données personnelles conformément au RGPD et à vos instructions,

– que nous respecterons scrupuleusement les obligations mentionnées à l’article 28 du RGPD et, plus généralement, l’ensemble des règles imposées par le RGPD pour le traitement de données personnelles.

Caractéristiques du traitement de données personnelles

Objet du traitement : XXX [objet du traitement].

Durée du traitement : XXX [date].

Nature et finalité du traitement : XXX [compléter].

Type de données à caractère personnel : XXX [compléter].

Catégories de personnes concernées : XXX [compléter].

XXX [signataire : sous-traitant]

Modèle 3 – Déclaration unilatérale de conformité au RGPD, souscrite par le sous-traitant

XXX [en-tête du sous-traitant]

Garantie de conformité au RGPD pour la sous-traitance de données personnelles

Le sous-traitant soussigné déclare :

– qu’il présente les garanties requises quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) et garantisse la protection des droits de la personne concernée,

– qu’il traitera les données personnelles conformément au RGPD et aux instructions du responsable du traitement,

– qu’il respectera scrupuleusement les obligations mentionnées à l’article 28 du RGPD et, plus généralement, l’ensemble des règles imposées par le RGPD pour le traitement de données personnelles.

Caractéristiques du traitement de données personnelles

Objet du traitement : XXX [objet du traitement].

Durée du traitement : XXX [date].

Nature et finalité du traitement : XXX [compléter].

Type de données à caractère personnel : XXX [compléter].

Catégories de personnes concernées : XXX [compléter].

XXX [lieu], le XXX [date]

XXX [signataire : sous-traitant]