RGPD 8 – Modèle de contrat de sous-traitance de données personnelles (article 28 du RGPD)

Par FB Juris et Franck Beaudoin, avocat

Publié le 20/05/2018 sur idroit.co – Mis à jour le 24/05/2018

Guide juridique

Le RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) encadre strictement la possibilité, pour le responsable d’un traitement de données personnelles, de recourir à un sous-traitant pour le traitement des données.

Ainsi, l’article 28 du RGPD dispose que, lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.

Le RGPD impose que la sous-traitance soit régie par un contrat ou un autre acte juridique contraignant. Le contrat ou l’acte juridique doit être écrit et il doit définir l’objet, la nature, la finalité, la durée du traitement, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement. Il doit également stipuler certaines obligations du sous-traitant qui sont imposées par l’article 28 du RGPD.

Le modèle de contrat de sous-traitance qui suit répond à ces exigences. Il s’agit d’un modèle conçu pour être simple, qui comporte les mentions obligatoires et seulement quelques autres clauses essentielles (garanties du responsable du traitement, durée du contrat, droit applicable, compétence juridictionnelle). À dessein, ce modèle simple s’éloigne le moins possible du texte officiel (RGPD). Il doit être complété en fonction des besoins, le cas échéant. Comme toujours, il doit être vérifié et adapté à chaque situation particulière par une personne compétente.

Modèle de contrat de sous-traitant

Contrat de sous-traitance de données personnelles

Le présent contrat est conclu entre les personnes désignées ci-dessous.

AXXX, XXX [identification],

ci-après désigné le responsable du traitement.

BXXX, XXX [identification],

ci-après désigné le sous-traitant.

Préambule

AXXX [dénomination] est responsable d’un traitement de données personnelles régi par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Ce règlement est ci-après désigné le RGPD.

Le traitement de données personnelles est également régi par la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée).

Le responsable du traitement souhaite confier au sous-traitant un traitement de données personnelles, conformément à l’article 28 du RGPD. Les parties s’engagent à se conformer strictement au RGPD, qui s’appliquera en toute circonstance, nonobstant toute éventuelle stipulation contraire.

Déclaration du sous-traitant

Le sous-traitant déclare qu’il présente les garanties nécessaires quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.

Caractéristiques du traitement de données personnelles

Le responsable du traitement en définit comme suit les caractéristiques.

Objet du traitement – Le traitement a pour objet XXX [objet du traitement].

Durée du traitement – Le traitement est effectué à compter du XXX [date], jusqu’au XXX [date].

Nature et finalité du traitement – XXX [compléter].

Type de données à caractère personnel – XXX [compléter].

Catégories de personnes concernées – XXX [compléter].

Obligations et droits du responsable du traitement

Le responsable du traitement détermine les finalités et les moyens du traitement de données personnelles.

Le responsable du traitement garantit que le traitement est licite et que les données personnelles sont collectées et traitées par ses soins conformément au RGPD et à la loi française. Le responsable du traitement garantit en particulier qu’il fournit les informations requises aux personnes concernées par les opérations de traitement, au moment de la collecte de données lorsque des données à caractère personnel sont collectées auprès de la personne concernée, ou dans les délais requis lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, conformément aux articles 12 à 14 du RGPD. Le responsable du traitement garantit le sous-traitant contre les conséquences d’un éventuel manquement du responsable du traitement à ses obligations au titre du RGPD.

Le responsable du traitement communiquera au sous-traitant toutes les informations nécessaires pour lui permettre d’effectuer ses services en conformité avec le RGPD et la loi française.

Obligations du sous-traitant

Le sous-traitant ne détermine en aucun cas les finalités et les moyens du traitement. À défaut, il est considéré comme un responsable du traitement pour ce qui concerne le traitement concerné.

Le sous-traitant et toute personne agissant sous son autorité ayant accès à des données à caractère personnel, ne peuvent pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligés par le droit de l’Union européenne ou le droit d’un État membre.

Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers à l’Union européenne ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union européenne ou du droit de l’État membre de l’Union européenne auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

Le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

Le sous-traitant prend toutes les mesures requises en vertu de l’article 32 du RGPD.

Le sous-traitant tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées par le traitement le saisissent en vue d’exercer leurs droits prévus au chapitre III du RGPD.

Le sous-traitant aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant.

Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du RGPD ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

Conservation et destruction des données

Selon le choix du responsable du traitement, le sous-traitant supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union européenne ou le droit applicable d’un État membre n’exige la conservation des données à caractère personnel.

Audit

Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent contrat et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Autre sous-traitant

Le sous-traitant respecte les conditions suivantes pour recruter un autre sous-traitant.

Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le présent contrat, sont imposées à cet autre sous-traitant par contrat ou le cas échéant au moyen d’un autre acte juridique au titre du droit de l’Union européenne ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

Durée

Le présent contrat sera en vigueur pendant toute la durée de détention des données personnelles par le sous-traitant. Il régira la sous-traitance des données personnelles visées ici, à toute époque y compris après son terme.

Droit applicable et clause attributive de compétence

Le présent contrat est soumis au droit français et à la compétence exclusive des juridictions territorialement compétentes pour la ville de XXX [ville], France.

© FB Juris / idroit.co