RGPD – Sous-traitant : modèles d’engagement de conformité au RGPD

Par FB Juris et Franck Beaudoin, avocat
Publié le 20/05/2018sur idroit.co
Guide juridique
L’article 28 du RGPD impose au responsable d’un traitement de données personnelles de formaliser par écrit sa relation avec tout éventuel sous-traitant ayant accès aux données personnelles. Cet article envisage prioritairement un contrat, mais il évoque également la possibilité d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement.
Nous publions par ailleurs, sur idroit.co, un modèle de contrat de sous-traitance de données personnelles (cf. RGPD 8). Ce modèle de contrat est assez simple. Cependant, dans certaines circonstances, il peut être souhaitable de simplifier encore plus la formalisation exigée par le RGPD. Nous proposons donc ici trois autres modèles pouvant être utilisés alternativement.
Le premier est une lettre du responsable du traitement au sous-traitant pressenti. Le deuxième est une lettre du sous-traitant au responsable du traitement. Le troisième est une déclaration de conformité unilatérale du sous-traitant.
Modèles
Modèle 1 – Lettre du responsable du traitement au sous-traitant
XXX [en-tête du responsable du traitement]
XXX [destinataire]
XXX [lieu], le XXX [date]
Sous-traitance de données personnelles
Madame, Monsieur,
Nous effectuons un traitement de données personnelles dont les caractéristiques sont définies ci-dessous. Ce traitement est régi par le RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016).
Nous envisageons de vous confier la sous-traitance de certaines opérations relatives à ces données personnelles, à condition que vous garantissiez :
– que vous présentez les garanties requises quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée,
– que vous respecterez scrupuleusement les obligations mentionnées à l’article 28 du RGPD et, plus généralement, l’ensemble des règles imposées par le RGPD pour le traitement de données personnelles.
Caractéristiques du traitement de données personnelles
Objet du traitement : XXX [objet du traitement].
Durée du traitement : XXX [date].
Nature et finalité du traitement : XXX [compléter].
Type de données à caractère personnel : XXX [compléter].
Catégories de personnes concernées : XXX [compléter].
XXX [signataire : responsable du traitement]
***
Le sous-traitant soussigné déclare qu’il connaît parfaitement les règles fixées par le RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) pour le traitement de données personnelles. Il garantit qu’il satisfait aux conditions posées par l’article 28 du RGPD et qu’il se conformera strictement aux prescriptions du RGPD et aux instructions du responsable du traitement, pour le traitement des données personnelles définies ci-dessus.
XXX [signataire : sous-traitant]
Modèle 2 – Lettre du sous-traitant au responsable du traitement
XXX [en-tête du sous-traitant]
XXX [destinataire : responsable du traitement]
XXX [lieu], le XXX [date]
Sous-traitance de données personnelles
Madame, Monsieur,
Vous effectuez un traitement de données personnelles dont les caractéristiques sont définies ci-dessous. Vous envisagez de nous confier la sous-traitance de certaines opérations relatives à ces données personnelles.
Nous garantissons :
– que nous présentons les garanties requises quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) et garantisse la protection des droits de la personne concernée,
– que nous traiterons les données personnelles conformément au RGPD et à vos instructions,
– que nous respecterons scrupuleusement les obligations mentionnées à l’article 28 du RGPD et, plus généralement, l’ensemble des règles imposées par le RGPD pour le traitement de données personnelles.
Caractéristiques du traitement de données personnelles
Objet du traitement : XXX [objet du traitement].
Durée du traitement : XXX [date].
Nature et finalité du traitement : XXX [compléter].
Type de données à caractère personnel : XXX [compléter].
Catégories de personnes concernées : XXX [compléter].
XXX [signataire : sous-traitant]
Modèle 3 – Déclaration unilatérale de conformité au RGPD, souscrite par le sous-traitant
XXX [en-tête du sous-traitant]
Garantie de conformité au RGPD pour la sous-traitance de données personnelles
Le sous-traitant soussigné déclare :
– qu’il présente les garanties requises quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) et garantisse la protection des droits de la personne concernée,
– qu’il traitera les données personnelles conformément au RGPD et aux instructions du responsable du traitement,
– qu’il respectera scrupuleusement les obligations mentionnées à l’article 28 du RGPD et, plus généralement, l’ensemble des règles imposées par le RGPD pour le traitement de données personnelles.
Caractéristiques du traitement de données personnelles
Objet du traitement : XXX [objet du traitement].
Durée du traitement : XXX [date].
Nature et finalité du traitement : XXX [compléter].
Type de données à caractère personnel : XXX [compléter].
Catégories de personnes concernées : XXX [compléter].
XXX [lieu], le XXX [date]
XXX [signataire : sous-traitant]