Accueil //Blog //RGPD //Comment intégrer les exigences RGPD à vos contrats

RGPD & Contrats : Comment intégrer vos exigences en matière de protection des données personnelles à vos contrats ?

Différents aspects du Règlement Général relatif à la Protection des Données Personnelles (RGPD) sont à prendre en compte pour garantir votre mise en conformité :

  • Tenir un registre de ses traitements de données
  • Réaliser des analyses d’impact
  • Garantir l’exercice des droits des personnes physiques, et notamment
  • Encadrer ses relations avec les tiers qui interviennent dans ses traitements de données personnelles

A ce titre, dès lors qu’un organisme en tant que responsable de traitements souhaite faire intervenir un tiers (qualifié de sous-traitant) pour réaliser tout ou partie d’un traitement de données pour son compte, plusieurs obligations lui incombent telles que :

  • S’assurer que le futur sous-traitant lui offre les garanties suffisantes sur son respect du RGPD
  • Vérifier que le futur sous-traitant sera en mesure de lui permettre d’assurer sa propre conformité
  • Encadrer la relation avec ce sous-traitant par un acte juridique, à l’aide d’un contrat, qui liste les différentes obligations de chacune des parties et précise les modalités du ou des traitements concernés par la prestation

Ce dernier point est facilité par le RGPD qui en son article 281 liste les différentes obligations qu’il faut faire apparaître dans le Contrat.

Toutefois, si par ce formalisme une standardisation des clauses de protection des données est possible, celle-ci nécessite une certaine adaptation au cas par cas, en faisant participer divers intervenants métiers, et un suivi dans le temps.

Découvrir DLD RGPD

Les exigences sine qua non d’une clause de protection des données personnelles

Le responsable de traitement doit impérativement s’assurer que son Contrat comporte a minima les éléments requis par l’article 28 du RGPD.

A) En premier lieu, le sous-traitant en charge de traiter les données doit s’engager à respecter les instructions écrites du responsable de traitement.

Cela permet de définir strictement le rôle du sous-traitant dans le traitement de données réalisé, ainsi que les modalités de son action (mesures de sécurité, volume et nature des données, moyens engagés etc.).

Ces instructions peuvent être fournies en amont de la réalisation de la prestation, et sous diverses formes dans la mesure où elles peuvent être tracées (afin de servir de preuves).

Le Sous-traitant doit, par ailleurs, avertir le responsable de traitement si l’une de ces instructions constitue une violation du RGPD ou est illégale.

Par ailleurs, cela créé un cadre vis-à-vis duquel tout écart pourrait engager la responsabilité du sous-traitant2.

B) Le sous-traitant doit aussi s’engager à ce que son personnel qui est en charge de réaliser les traitements de données pour le compte du responsable de traitement respecte la confidentialité des données.

C) Le sous-traitant doit également s’engager à mettre en œuvre toutes les mesures de sécurité techniques et organisationnelles permettant d’assurer la protection des données.

Ainsi, si le Sous-traitant doit, de sa propre initiative, assurer un niveau de sécurité au moins de niveau égal à l’état de l’art, le responsable peut également exiger des mesures de sécurité supplémentaires ou à minima spécifiques.

Ces exigences peuvent faire l’objet d’instructions écrites (voir point A).

D) Un sous-traitant peut être amené à faire appel à des prestataires ultérieurs (sous-traitants ultérieurs) intervenant dans le cadre de sa prestation pour des tâches spécifiques qu’il souhaite externaliser (par exemple, l’hébergement, la maintenance, le support, etc.)

A ce titre, et afin de garantir un niveau similaire de protection des données tout le long de la chaine contractuelle, le Sous-traitant s’oblige à :

  • Obtenir l’autorisation préalable du responsable de traitement pour l’appel à un sous-traitant ultérieur, ou l’avertir afin qu’il puisse s’y opposer légitimement
  • S’assurer que son sous-traitant ultérieur fournit des garanties suffisantes de protection des données personnelles
  • Reporter par contrat à son sous-traitant ultérieur toutes les obligations (et instructions pertinentes) pesant sur lui en vertu du Contrat

E) Le sous-traitant doit par ailleurs s’engager à assister le responsable de traitement pour un certain nombre de ses obligations en vertu du RGPD, si leur respect est lié aux traitements réalisés pour son compte tels que :

  • Le respect des droits des personnes concernées
  • La gestion et les éventuelles notifications de violations de données
  • La réalisation d’analyses d’impact

A noter que les modalités d’accompagnement du responsable de traitement par son sous-traitant sont aménageables (délais de réponses, articulation des actions de chacun, préavis, etc.). Elles font ainsi souvent l’objet d’une négociation entre les deux parties.

F) De manière générale, le sous-traitant doit s’engager à fournir toute information permettant au responsable de traitement de démontrer sa conformité au RGPD ainsi qu’au Contrat, et de permettre la réalisation d’audit ou d’inspections.

Ici encore, les modalités d’audit peuvent faire l’objet d’une négociation entre les deux parties.

G) Le Sous-traitant doit s’engager à ce qu’en fin de prestation, les données soient, supprimées, anonymisées ou retournées (réversibilité) au responsable de traitement, en fonction du choix de ce dernier.

H) Enfin, toutes ces obligations devant s’appliquer à une prestation donnée, il est impératif que chaque contrat de sous-traitance de données comporte une description des modalités du ou des traitements.

Cette description est, en général, faite dans une annexe au contrat (ou à la clause) et doit comporter à minima les informations suivantes :

  • L’objet et la durée du traitement de données
  • La nature et les objectifs des opérations de traitements à réaliser
  • Le type de données que le Sous-traitant est amené à traiter
  • Les catégories de personnes dont les données sont traitées

La description des modalités du traitement est un élément essentiel de la clause de protection des données qu’il est impératif de prendre en compte. Toutefois, cette partie n’est pas nécessairement sous la responsabilité du Data Protection Officer ou des juristes en charge de la clause. En effet, il s’agit là d’une retranscription écrite des éléments opérationnels du ou des traitements concernés.

Afin de s’assurer que les exigences en matière de protection des données sont complète, il est donc nécessaire de faire participer les équipes métiers (techniques, opérationnelles, …) qui ont, in fine, besoin de la prestation externalisée auprès des sous-traitants.

Pour aller plus loin

Au-delà de ces obligations « standards » définies à l’article 28 du RGPD, certains éléments sont propres à chacun des cas dans lesquels une sous-traitance est prévue.

Par exemple, dans le cas où un transfert de données personnelles a lieu car le sous-traitant est établi dans un pays tiers, ou que l’un de ses sous-traitants ultérieurs est établi dans un pays tiers, alors un encadrement juridique devra être mis en œuvre3.

La question de la responsabilité juridique et financière en cas de défaillance du sous-traitant pourra également être ajoutée à la clause si cette question n’est pas déjà réglée dans le corps du contrat principal le cas échéant.

Télécharger le modèle

Le suivi nécessaire du respect des exigences RGPD dans le temps

Afin de s’assurer du respect de ses exigences par son sous-traitant, il est absolument nécessaire de réaliser un suivi de l’exécution de la clause et de son respect dans le temps.

En effet, si le sous-traitant s’engage au moment de la signature du contrat, le traitement pourrait être continu. Ainsi tous les aspects liés à la collecte des données, à leur durée de conservation, les techniques de leur traitement, les mesures de sécurité liées… , pourront évoluer.

Il sera donc nécessaire d’amender la clause pour l’ajuster si nécessaire, de vérifier que les instructions du responsable de traitement sont suivies pendant toute la durée de la prestation, et de réexaminer la conformité du sous-traitant.

Par ailleurs, en fin de contrat, la question de la réversibilité des données ou de leur suppression doit être gérée.

Les contrats de prestations incluant une externalisation de traitements de données personnelles et donc des interactions avec des sous-traitants peuvent être nombreuses. Le suivi dans le temps des prestations pour les raisons évoquées ci-dessus implique une gestion efficace des contrats concernés.

Afin de garantir que les différentes exigences listées dans cet article sont respectées, il est vivement conseillé d’utiliser une solution de gestion de contrats. Cela permet notamment de les centraliser, être alerté automatiquement lors de leurs échéances, ou encore de faciliter les nombreux échanges avec les sous-traitants.

Sources

1 RGPD article 28

2 Voir la Délibération Commentée CNIL vs Dedalus Biologie

3 Article dédié aux flux transfrontaliers de Données de Data Legal Drive

À lire aussi

Démarrez ou continuer votre conformité RGPD efficacement grâce à Data Legal Drive

Profitez gratuitement des 10 conseils de nos experts, ainsi que les 5 modèles types exclusifs que vous pourrez réutiliser au quotidien

Télécharger le guide