Docaro

France : Clauses Essentielles D’un Contrat De Traitement Des Données

Créé:
Cet article vous aide à identifier les clauses indispensables pour encadrer un traitement de données en France. Il complète utilement notre page Contrat de traitement de données français généré par IA afin de mieux sécuriser vos obligations RGPD.
Clause
Description
Partie principalement concernée
Référence RGPD
Exemple de formulation
Objet du traitement
Décrit précisément les opérations confiées au sous-traitant.
Les deux parties
Article 28(3) RGPD
Le sous-traitant traite les données uniquement pour fournir les services décrits au contrat.
Durée du traitement
Fixe la période pendant laquelle le sous-traitant traite les données.
Les deux parties
Article 28(3) RGPD
Le traitement est autorisé pendant la durée du contrat et jusqu’à restitution ou suppression des données.
Nature des opérations
Identifie les actions réalisées sur les données : hébergement, maintenance, support, analyse ou sauvegarde.
Les deux parties
Article 28(3) RGPD
Les opérations autorisées incluent l’hébergement, la consultation, la sauvegarde et la maintenance applicative.
Finalités du traitement
Délimite les objectifs poursuivis par le traitement confié.
Responsable du traitement
Article 28(3) RGPD
Les données sont traitées pour gérer les comptes clients et fournir le service commandé.
Types de données personnelles
Énumère les catégories de données confiées au sous-traitant.
Responsable du traitement
Article 28(3) RGPD
Les données traitées comprennent les noms, coordonnées, identifiants, journaux de connexion et données de facturation.
Catégories de personnes concernées
Identifie les personnes dont les données sont traitées.
Responsable du traitement
Article 28(3) RGPD
Les personnes concernées sont les clients, prospects, utilisateurs, salariés ou contacts professionnels du responsable.
Instructions documentées
Oblige le sous-traitant à agir seulement sur instruction écrite du responsable.
Sous-traitant
Article 28(3)(a) RGPD
Le sous-traitant ne traite les données que sur instructions documentées du responsable du traitement.
Alerte sur instruction illicite
Impose au sous-traitant de signaler toute instruction semblant contraire au droit applicable.
Sous-traitant
Article 28(3) RGPD
Le sous-traitant informe immédiatement le responsable si une instruction viole le RGPD ou le droit français.
Confidentialité du personnel
Garantit que les personnes autorisées sont soumises à une obligation de confidentialité.
Sous-traitant
Article 28(3)(b) RGPD
Le sous-traitant veille à ce que son personnel autorisé soit tenu à la confidentialité.
Mesures de sécurité
Décrit les mesures techniques et organisationnelles protégeant les données.
Les deux parties
Articles 28(3)(c) et 32 RGPD
Le sous-traitant applique des mesures adaptées, incluant contrôle d’accès, journalisation, chiffrement et sauvegardes.
Chiffrement des données
Prévoit le chiffrement des données en transit ou au repos lorsque pertinent.
Sous-traitant
Article 32(1)(a) RGPD
Les données sensibles ou exposées sont chiffrées selon l’état de l’art et les clés sont protégées.
Pseudonymisation
Réduit l’identifiabilité des personnes lorsque les finalités le permettent.
Les deux parties
Articles 25 et 32(1)(a) RGPD
Lorsque possible, les identifiants directs sont remplacés par des identifiants techniques séparés.
Disponibilité et résilience
Organise la continuité du service et la capacité de restauration des données.
Sous-traitant
Article 32(1)(b)-(c) RGPD
Le sous-traitant maintient des sauvegardes et un plan de reprise adaptés aux risques.
Tests et évaluation de sécurité
Prévoit l’évaluation régulière des mesures de sécurité.
Sous-traitant
Article 32(1)(d) RGPD
Le sous-traitant teste et évalue périodiquement l’efficacité de ses mesures de sécurité.
Assistance pour les droits des personnes
Organise l’aide du sous-traitant pour répondre aux demandes d’accès, rectification, effacement ou opposition.
Les deux parties
Article 28(3)(e) RGPD
Le sous-traitant transmet sans délai toute demande reçue et assiste le responsable pour y répondre.
Assistance à la conformité
Prévoit l’aide du sous-traitant sur sécurité, violations, AIPD et consultations préalables.
Sous-traitant
Article 28(3)(f) RGPD
Le sous-traitant assiste le responsable pour satisfaire aux obligations des articles 32 à 36 du RGPD.
Notification des violations de données
Fixe le délai et le contenu de l’alerte en cas de violation de données.
Sous-traitant
Articles 28(3)(f), 33 et 34 RGPD
Le sous-traitant notifie toute violation sans délai indu avec les informations disponibles.
Délai d’alerte du responsable
Précise un délai contractuel court pour permettre la notification CNIL sous 72 heures.
Sous-traitant
Article 33(1)-(2) RGPD
Le sous-traitant alerte le responsable au plus tard 24 heures après connaissance de l’incident.
Information des personnes en cas de violation
Organise l’assistance nécessaire si une violation doit être communiquée aux personnes.
Les deux parties
Article 34 RGPD
Le sous-traitant fournit les éléments nécessaires à l’information des personnes concernées si requise.
Sous-traitance ultérieure
Encadre le recours par le sous-traitant à d’autres prestataires traitant les données.
Sous-traitant
Article 28(2) et 28(4) RGPD
Le sous-traitant ne recrute un sous-traitant ultérieur qu’avec autorisation écrite préalable ou générale.
Changement de sous-traitant ultérieur
Prévoit l’information préalable du responsable et son droit d’opposition.
Sous-traitant
Article 28(2) RGPD
Le sous-traitant informe le responsable de tout ajout ou remplacement afin de permettre une objection.
Obligations équivalentes des sous-traitants ultérieurs
Impose aux sous-traitants ultérieurs les mêmes obligations de protection des données.
Sous-traitant
Article 28(4) RGPD
Tout sous-traitant ultérieur est soumis par contrat aux mêmes obligations que le sous-traitant initial.
Responsabilité du sous-traitant initial
Précise que le sous-traitant initial reste responsable de ses sous-traitants ultérieurs.
Sous-traitant
Article 28(4) RGPD
Le sous-traitant demeure pleinement responsable de l’exécution des obligations par ses sous-traitants ultérieurs.
Sort des données en fin de contrat
Prévoit la restitution ou suppression des données après la prestation.
Les deux parties
Article 28(3)(g) RGPD
Au terme du contrat, le sous-traitant supprime ou restitue toutes les données selon le choix du responsable.
Preuve de suppression
Permet d’obtenir une attestation de suppression ou de purge des données.
Sous-traitant
Article 28(3)(g) RGPD
Le sous-traitant fournit une attestation écrite confirmant la suppression effective des données.
Conservation légale résiduelle
Réserve les cas où le droit impose au sous-traitant de conserver certaines données.
Sous-traitant
Article 28(3)(g) RGPD
La conservation résiduelle n’est permise que si le droit de l’Union ou français l’exige.
Audits et inspections
Autorise la vérification de la conformité du sous-traitant.
Les deux parties
Article 28(3)(h) RGPD
Le sous-traitant met à disposition les informations nécessaires et permet les audits raisonnables.
Modalités d’audit
Précise préavis, fréquence, périmètre, confidentialité et coûts des audits.
Les deux parties
Article 28(3)(h) RGPD
Les audits sont réalisés avec préavis raisonnable, pendant les heures ouvrées et sans compromettre la sécurité.
Documentation de conformité
Impose la conservation des preuves utiles à la conformité RGPD.
Sous-traitant
Articles 5(2), 24 et 28(3)(h) RGPD
Le sous-traitant conserve et fournit les éléments démontrant le respect de ses obligations contractuelles.
Registre des traitements du sous-traitant
Prévoit la tenue d’un registre des catégories d’activités réalisées pour les clients.
Sous-traitant
Article 30(2) RGPD
Le sous-traitant tient un registre des catégories d’activités de traitement effectuées pour le responsable.
Transferts hors UE/EEE
Encadre tout accès ou transfert de données vers un pays tiers.
Les deux parties
Articles 44 à 49 RGPD
Aucun transfert hors UE/EEE n’est réalisé sans garantie conforme au chapitre V du RGPD.
Clauses contractuelles types
Prévoit l’usage des CCT pour certains transferts internationaux.
Les deux parties
Article 46 RGPD
Décision UE 2021/914
Les parties concluent les CCT applicables lorsque le transfert repose sur l’article 46 du RGPD.
Décision d’adéquation
Identifie les transferts fondés sur une décision d’adéquation de la Commission européenne.
Les deux parties
Article 45 RGPD
Les transferts vers un pays adéquat sont limités au périmètre reconnu par la décision d’adéquation.
Mesures complémentaires de transfert
Prévoit des garanties supplémentaires lorsque le droit du pays tiers crée un risque.
Les deux parties
Articles 44 et 46 RGPD
Recommandations CEPD 01/2020
Les parties documentent l’analyse du transfert et appliquent les mesures complémentaires nécessaires.
Accès distant depuis pays tiers
Traite les accès support ou administration depuis hors UE comme des transferts potentiels.
Sous-traitant
Articles 44 à 49 RGPD
Tout accès distant hors UE/EEE est soumis aux garanties prévues pour les transferts internationaux.
Localisation de l’hébergement
Indique les pays ou régions où les données sont hébergées ou sauvegardées.
Sous-traitant
Articles 28 et 44 RGPD
Les données sont hébergées dans l’Union européenne, sauf accord écrit contraire du responsable.
Minimisation des données
Limite les données traitées à ce qui est nécessaire aux services.
Responsable du traitement
Article 5(1)(c) RGPD
Le responsable ne transmet au sous-traitant que les données nécessaires à l’exécution des services.
Durées de conservation opérationnelles
Fixe les durées de conservation applicables chez le sous-traitant.
Les deux parties
Article 5(1)(e) RGPD
Les données ne sont conservées par le sous-traitant que pendant les durées définies en annexe.
Sauvegardes et restauration
Encadre les copies de sauvegarde, leur sécurité, leur durée et leur restauration.
Sous-traitant
Article 32(1)(c) RGPD
Les sauvegardes sont protégées, testées régulièrement et purgées selon les durées convenues.
Journalisation et traçabilité
Prévoit l’enregistrement des accès et opérations sensibles.
Sous-traitant
Article 32 RGPD
Les accès administrateurs et opérations sensibles sont journalisés, protégés et conservés pendant une durée limitée.
Gestion des habilitations
Organise l’attribution, la revue et le retrait des droits d’accès.
Sous-traitant
Article 32 RGPD
Les accès sont accordés selon le besoin d’en connaître et revus périodiquement.
Authentification et mots de passe
Fixe les exigences d’authentification des utilisateurs et administrateurs.
Sous-traitant
Article 32 RGPD
Les accès sensibles requièrent une authentification forte lorsque le risque le justifie.
Sécurité des systèmes
Couvre la protection des postes, serveurs, applications et environnements d’administration.
Sous-traitant
Article 32 RGPD
Le sous-traitant maintient les systèmes à jour et protégés contre les accès non autorisés.
Séparation des environnements
Sépare production, test et développement afin de limiter les risques.
Sous-traitant
Articles 25 et 32 RGPD
Les données de production ne sont pas utilisées en test sauf anonymisation ou accord écrit.
Données de test et recette
Encadre l’usage de données personnelles en développement, test ou recette.
Les deux parties
Articles 5(1)(c), 25 et 32 RGPD
Les données réelles ne sont utilisées en test qu’en cas de nécessité et avec protections adaptées.
Anonymisation
Définit les cas où les données peuvent être rendues irréversiblement anonymes.
Les deux parties
Considérant 26 RGPD
Toute anonymisation à des fins statistiques nécessite l’accord du responsable et une méthode documentée.
Assistance AIPD
Organise l’aide du sous-traitant pour réaliser une analyse d’impact si nécessaire.
Les deux parties
Articles 28(3)(f) et 35 RGPD
Le sous-traitant fournit les informations utiles à l’AIPD concernant ses moyens et mesures de sécurité.
Consultation préalable CNIL
Prévoit l’assistance si une consultation préalable de la CNIL est requise.
Les deux parties
Articles 28(3)(f) et 36 RGPD
Le sous-traitant coopère à toute consultation préalable auprès de la CNIL concernant le traitement confié.
Contacts DPO ou référent RGPD
Identifie les interlocuteurs chargés des questions de protection des données.
Les deux parties
Articles 37 à 39 RGPD
Chaque partie communique les coordonnées de son DPO ou référent confidentialité.
Coopération avec l’autorité de contrôle
Prévoit l’aide du sous-traitant en cas de contrôle ou demande de la CNIL.
Les deux parties
Articles 31 et 58 RGPD
Les parties coopèrent de bonne foi avec la CNIL pour toute demande relative au traitement.
Interdiction d’usage propre
Empêche le sous-traitant d’utiliser les données pour ses propres finalités.
Sous-traitant
Articles 5(1)(b), 28(3)(a) et 29 RGPD
Le sous-traitant s’interdit tout traitement pour ses propres besoins sans base juridique distincte.
Qualification des parties
Précise qui agit comme responsable, sous-traitant ou responsable conjoint.
Les deux parties
Articles 4(7), 4(8), 26 et 28 RGPD
Pour les traitements confiés, le client agit comme responsable et le prestataire comme sous-traitant.
Responsabilité conjointe éventuelle
Prévoit un accord distinct si les parties déterminent conjointement finalités et moyens.
Responsable conjoint
Article 26 RGPD
Si une finalité conjointe est identifiée, les parties concluent un accord de responsabilité conjointe.
Base juridique du traitement
Rappelle que le responsable détermine et documente la base légale du traitement.
Responsable du traitement
Article 6 RGPD
Le responsable garantit disposer d’une base juridique valable pour les traitements confiés.
Données sensibles
Encadre le traitement des catégories particulières de données ou l’interdit.
Les deux parties
Article 9 RGPD
Le traitement de données sensibles est interdit sauf mention expresse en annexe et garanties renforcées.
Données relatives aux condamnations
Encadre les données pénales, soumises à un régime spécifique.
Responsable du traitement
Article 10 RGPD
Loi Informatique et Libertés
Les données pénales ne peuvent être traitées que si le responsable y est légalement autorisé.
Données de mineurs
Prévoit des précautions lorsque les personnes concernées sont mineures.
Responsable du traitement
Articles 8 et 12 RGPD
Loi Informatique et Libertés
Les données de mineurs ne sont traitées que sur instruction spécifique et avec garanties adaptées.
Information des personnes concernées
Rappelle la répartition des rôles pour fournir les mentions d’information.
Responsable du traitement
Articles 12 à 14 RGPD
Le responsable fournit l’information requise
le sous-traitant transmet les éléments nécessaires sur ses services.
Portabilité des données
Organise l’extraction des données lorsque le droit à la portabilité s’applique.
Les deux parties
Article 20 RGPD
Le sous-traitant aide à extraire les données dans un format structuré et couramment utilisé.
Effacement et limitation
Prévoit l’assistance pour effacer ou limiter le traitement sur demande valable.
Les deux parties
Articles 17, 18 et 28(3)(e) RGPD
Le sous-traitant exécute les demandes d’effacement ou de limitation sur instruction du responsable.
Décision automatisée et profilage
Encadre les traitements produisant des décisions automatisées ou du profilage.
Responsable du traitement
Article 22 RGPD
Le sous-traitant ne met en œuvre aucun profilage sauf instruction écrite et garanties définies.
Privacy by Design et by Default
Intègre la protection des données dans la conception et les réglages par défaut.
Les deux parties
Article 25 RGPD
Le sous-traitant conçoit les services pour limiter par défaut la collecte, l’accès et la conservation.
Référentiels et certifications
Mentionne les certifications ou normes utiles, sans les substituer au contrat RGPD.
Sous-traitant
Articles 32 et 42 RGPD
Le sous-traitant maintient les certifications listées et informe le responsable de tout retrait significatif.
Politiques internes de sécurité
Prévoit l’existence de procédures internes de sécurité et de confidentialité.
Sous-traitant
Articles 24, 28 et 32 RGPD
Le sous-traitant maintient des politiques documentées de sécurité, confidentialité et gestion des incidents.
Sensibilisation du personnel
Prévoit la formation des personnes ayant accès aux données.
Sous-traitant
Articles 28(3)(b), 32 et 39 RGPD
Le personnel autorisé reçoit une sensibilisation régulière à la sécurité et à la protection des données.
Gestion des incidents
Décrit la détection, qualification, documentation et remédiation des incidents.
Sous-traitant
Articles 32 et 33 RGPD
Le sous-traitant maintient une procédure de gestion des incidents et documente les mesures correctrices.
Demandes d’autorités publiques
Organise l’information du responsable en cas de demande d’accès par une autorité.
Sous-traitant
Articles 28, 44 à 49 RGPD
Le sous-traitant informe le responsable de toute demande d’autorité, sauf interdiction légale.
Confidentialité contractuelle générale
Protège les informations non personnelles échangées dans le cadre de la prestation.
Les deux parties
Hors RGPD
utile en droit des contrats
Chaque partie protège les informations confidentielles reçues et les utilise uniquement pour le contrat.
Responsabilité et indemnisation
Répartit les conséquences contractuelles des manquements à la protection des données.
Les deux parties
Article 82 RGPD
Chaque partie répond des dommages causés par ses manquements aux obligations qui lui incombent.
Plafond de responsabilité
Détermine si les manquements RGPD sont inclus ou exclus du plafond contractuel.
Les deux parties
Article 82 RGPD
droit commun des contrats
Les exclusions ou plafonds de responsabilité ne limitent pas les droits des personnes concernées.
Assurance
Prévoit une couverture d’assurance adaptée aux risques de données.
Sous-traitant
Non spécifique au RGPD
Le sous-traitant maintient une assurance couvrant les risques liés à la sécurité des données.
Hiérarchie contractuelle
Établit la priorité entre DPA, contrat principal, annexes sécurité et CCT.
Les deux parties
Articles 28 et 46 RGPD
En cas de conflit, les CCT prévalent pour les transferts, puis le DPA pour la protection des données.
Annexe descriptive des traitements
Regroupe les détails obligatoires : finalités, données, personnes, durée et mesures de sécurité.
Les deux parties
Article 28(3) RGPD
Les caractéristiques détaillées du traitement figurent en annexe et font partie intégrante du contrat.
Mise à jour des caractéristiques du traitement
Prévoit comment modifier les traitements autorisés pendant la relation.
Les deux parties
Article 28(3) RGPD
Toute modification substantielle des traitements fait l’objet d’une mise à jour écrite de l’annexe.
Changements de sécurité significatifs
Impose une information en cas de changement pouvant affecter le niveau de sécurité.
Sous-traitant
Articles 28 et 32 RGPD
Le sous-traitant informe le responsable de tout changement réduisant substantiellement les garanties de sécurité.
Utilisation d’outils d’IA
Encadre l’usage d’IA par le sous-traitant sur les données du responsable.
Sous-traitant
Articles 5, 6, 25, 28 et 32 RGPD
Aucune donnée du responsable n’est utilisée pour entraîner un modèle d’IA sans accord écrit.
Statistiques et amélioration du service
Détermine si le sous-traitant peut produire des statistiques agrégées ou anonymes.
Sous-traitant
Articles 5(1)(b), 6 et considérant 26 RGPD
Les statistiques ne peuvent être produites qu’à partir de données anonymes ou sur instruction du responsable.
Cookies et traceurs
Encadre les traceurs déposés ou gérés par le sous-traitant pour le responsable.
Les deux parties
RGPD
article 82 Loi Informatique et Libertés
Le sous-traitant ne dépose des traceurs non essentiels que selon les instructions et paramètres de consentement.
Prospection électronique
Encadre les traitements de campagnes e-mail, SMS ou prospection confiés au prestataire.
Responsable du traitement
Article 6 RGPD
article L34-5 CPCE
Le responsable garantit la licéité des listes de prospection confiées au sous-traitant.
Gestion du consentement
Prévoit la collecte, l’enregistrement et la preuve du consentement lorsque requis.
Responsable du traitement
Articles 6(1)(a), 7 et 13 RGPD
Le sous-traitant conserve les journaux de consentement selon les instructions du responsable.
Traitements RH externalisés
Précise les garanties pour paie, recrutement, gestion du personnel ou formation.
Responsable du traitement
Articles 5, 6, 9, 28 et 32 RGPD
Les données RH sont traitées uniquement pour les finalités décrites en annexe RH.
Données de santé et HDS
Prévoit les garanties renforcées et l’hébergement certifié HDS si applicable en France.
Les deux parties
Article 9 RGPD
article L1111-8 Code de la santé publique
Les données de santé sont hébergées chez un prestataire certifié HDS lorsque la loi l’exige.
Données de paiement
Encadre la collecte, sécurité et conservation des données de carte ou paiement.
Les deux parties
Articles 5, 6 et 32 RGPD
Les données de paiement sont traitées selon les normes de sécurité applicables et les durées convenues.
Données administratives ou publiques
Adapte les obligations lorsque le responsable est une collectivité ou organisme public français.
Responsable du traitement
RGPD
Loi Informatique et Libertés
Le sous-traitant respecte les contraintes propres aux traitements du secteur public indiquées en annexe.
Services cloud
Précise les garanties propres à l’hébergement, l’administration et la réversibilité cloud.
Sous-traitant
Articles 28, 32 et 44 à 49 RGPD
Le prestataire cloud fournit la localisation, les sous-traitants, les garanties de sécurité et les modalités de réversibilité.
Réversibilité
Organise l’export, la migration et l’assistance en fin de service.
Les deux parties
Articles 20 et 28(3)(g) RGPD
Le sous-traitant fournit un export exploitable des données avant suppression définitive.
Formats d’export
Définit les formats utilisables pour restituer les données.
Sous-traitant
Articles 20 et 28(3)(g) RGPD
Les données sont restituées en format CSV, JSON, XML ou autre format documenté convenu.
Supports physiques
Encadre stockage, transport, inventaire et destruction des supports contenant des données.
Sous-traitant
Article 32 RGPD
Les supports amovibles sont chiffrés, inventoriés et détruits de manière sécurisée en fin d’usage.
Sécurité physique des locaux
Précise les contrôles d’accès physique aux zones traitant les données.
Sous-traitant
Article 32 RGPD
L’accès aux locaux et salles techniques est contrôlé et réservé aux personnes autorisées.
Télétravail et accès nomade
Encadre les accès distants des salariés ou prestataires du sous-traitant.
Sous-traitant
Article 32 RGPD
Les accès nomades utilisent des canaux sécurisés, équipements maîtrisés et authentification adaptée.
Maintenance et support
Définit les accès support, leur traçabilité et leur encadrement.
Sous-traitant
Articles 28 et 32 RGPD
Les accès de maintenance sont limités au nécessaire, autorisés, tracés et fermés après intervention.
Comptes à privilèges
Encadre les droits administrateurs et comptes techniques à haut risque.
Sous-traitant
Article 32 RGPD
Les comptes à privilèges sont nominatifs lorsque possible, fortement authentifiés et journalisés.
Correctifs et vulnérabilités
Prévoit l’identification, la priorisation et la correction des vulnérabilités.
Sous-traitant
Article 32 RGPD
Le sous-traitant applique les correctifs de sécurité dans des délais proportionnés à la criticité.
Tests d’intrusion
Prévoit des audits techniques ou pentests selon le niveau de risque.
Sous-traitant
Article 32(1)(d) RGPD
Des tests d’intrusion sont réalisés périodiquement ou après changement majeur sur les systèmes exposés.
Rapports de sécurité
Organise le partage de rapports, attestations ou résumés d’audit avec le responsable.
Sous-traitant
Article 28(3)(h) RGPD
Le sous-traitant peut fournir des rapports d’audit récents sous engagement de confidentialité.
Traçabilité des instructions
Conserve la preuve des instructions reçues et exécutées.
Les deux parties
Articles 28(3)(a) et 29 RGPD
Les instructions sont conservées par écrit, y compris via ticket, e-mail ou interface d’administration.
Demandes directes au sous-traitant
Prévoit la transmission rapide des demandes reçues directement par le sous-traitant.
Sous-traitant
Article 28(3)(e) RGPD
Toute demande d’une personne concernée est transmise au responsable sans réponse de fond, sauf instruction.
Coûts d’assistance RGPD
Détermine si l’assistance RGPD est incluse ou facturée séparément.
Les deux parties
Article 28(3)(e)-(f) RGPD
L’assistance raisonnable est incluse
les demandes exceptionnelles peuvent être facturées selon le devis accepté.
Droit applicable et juridiction
Détermine le droit contractuel applicable et le tribunal compétent, utile en France.
Les deux parties
Hors RGPD
Code civil et droit international privé
Le contrat est régi par le droit français, sous réserve des règles impératives du RGPD.
Langue des documents
Précise la langue des instructions, notifications et preuves de conformité.
Les deux parties
Non spécifique au RGPD
Les notifications RGPD et documents contractuels sont rédigés en français, sauf accord contraire.
Survie des obligations
Maintient certaines obligations après la fin du contrat, notamment confidentialité et preuve.
Les deux parties
Articles 28 et 32 RGPD
Les obligations de confidentialité, suppression et preuve survivent tant que des données sont conservées.
Résiliation pour manquement RGPD
Permet de mettre fin au contrat en cas de manquement grave à la protection des données.
Les deux parties
Articles 28, 32 et 82 RGPD
Un manquement grave ou non corrigé aux obligations RGPD peut justifier la résiliation du contrat.
Sanctions et coopération en défense
Organise la coopération si une procédure CNIL ou réclamation concerne le traitement.
Les deux parties
Articles 58, 83 et 84 RGPD
Les parties coopèrent pour répondre à toute réclamation, contrôle ou procédure administrative liée au traitement.
Évolution réglementaire
Prévoit l’adaptation du contrat en cas de changement du droit applicable.
Les deux parties
RGPD et Loi Informatique et Libertés
Les parties renégocient de bonne foi les clauses nécessaires à la conformité légale.
Modalités de notification
Définit les canaux officiels pour instructions, incidents et demandes RGPD.
Les deux parties
Articles 28, 33 et 34 RGPD
Les notifications RGPD sont envoyées aux contacts désignés par e-mail avec accusé de réception lorsque possible.
Point de contact incident
Désigne l’adresse ou canal à utiliser pour signaler une violation de données.
Les deux parties
Article 33 RGPD
Chaque partie maintient un contact joignable pour les incidents de sécurité affectant les données.
Annexe mesures techniques et organisationnelles
Détaille les mesures de sécurité au lieu de les résumer dans une formule générale.
Sous-traitant
Articles 28(3)(c) et 32 RGPD
Les mesures techniques et organisationnelles applicables sont décrites en annexe sécurité.
Liste des sous-traitants ultérieurs
Recense les prestataires autorisés, leurs rôles et localisations.
Sous-traitant
Article 28(2) et 28(4) RGPD
La liste des sous-traitants ultérieurs autorisés figure en annexe et est tenue à jour.
Droit d’opposition aux sous-traitants ultérieurs
Définit le délai et la procédure pour s’opposer à un nouveau sous-traitant.
Responsable du traitement
Article 28(2) RGPD
Le responsable dispose de 15 jours pour formuler une objection motivée au nouveau sous-traitant.
Sous-traitants ultérieurs hors UE
Combine l’autorisation de sous-traitance ultérieure et les garanties de transfert international.
Sous-traitant
Articles 28(4) et 44 à 49 RGPD
Tout sous-traitant ultérieur hors UE doit bénéficier d’une garantie de transfert valable.
Métadonnées et logs
Précise que certains logs, adresses IP et identifiants techniques peuvent être personnels.
Les deux parties
Article 4(1) RGPD
Les journaux techniques contenant des identifiants ou adresses IP sont traités comme des données personnelles.
Distinction données personnelles et anonymes
Clarifie le régime applicable aux données anonymes et aux données pseudonymisées.
Les deux parties
Article 4(1) et considérant 26 RGPD
Les données pseudonymisées restent soumises au RGPD
seules les données anonymes en sont exclues.
Opérations interdites
Liste les traitements que le sous-traitant ne peut jamais réaliser sans accord.
Sous-traitant
Articles 28(3)(a) et 29 RGPD
Sont interdits la vente, l’enrichissement, l’entraînement IA ou la prospection avec les données confiées.
Exactitude et qualité des données
Détermine qui corrige les données inexactes et comment les corrections sont propagées.
Responsable du traitement
Article 5(1)(d) RGPD
Le responsable reste chargé de l’exactitude
le sous-traitant applique les corrections demandées.
Fin des opérations de traitement
Formalise la date de fin effective des traitements confiés.
Les deux parties
Article 28(3)(g) RGPD
Les parties constatent par écrit la fin des traitements et le déclenchement des opérations de restitution ou suppression.
Caches et copies temporaires
Encadre les copies techniques temporaires générées par les systèmes.
Sous-traitant
Articles 5(1)(e), 28 et 32 RGPD
Les caches et copies temporaires sont protégés et purgés automatiquement dans des délais courts.
Destruction sécurisée
Définit les méthodes de suppression ou destruction empêchant la récupération non autorisée.
Sous-traitant
Articles 5(1)(e), 28(3)(g) et 32 RGPD
La suppression est réalisée par effacement sécurisé, purge logique ou destruction physique selon le support.
Preuves électroniques et horodatage
Organise la conservation probante des instructions, notifications et attestations.
Les deux parties
Articles 5(2) et 28 RGPD
Code civil
Les parties peuvent conserver les échanges RGPD sous forme électronique horodatée.

Quelles Clauses Sont Indispensables Dans Un Contrat De Traitement De Données En France ?

Un contrat de sous-traitance conforme au RGPD doit au minimum encadrer l’objet, la durée, la nature et les finalités du traitement, les catégories de données et de personnes concernées, les obligations documentées du responsable du traitement et les engagements du sous-traitant. En pratique, ces clauses doivent être suffisamment précises pour démontrer la conformité en cas de contrôle de la CNIL.

Pourquoi Les Clauses De Sécurité Et De Confidentialité Sont-Elles Centrales ?

Les clauses relatives à la confidentialité, aux mesures de sécurité, à la gestion des violations de données et à l’assistance du sous-traitant sont essentielles car elles traduisent les exigences des articles 28, 32, 33 et 34 du RGPD. Elles doivent éviter les formules vagues et décrire les mesures attendues, les délais de notification et les responsabilités opérationnelles.

Comment Encadrer La Sous-Traitance Ultérieure Et Les Transferts Hors UE ?

En France, l’autorisation des sous-traitants ultérieurs et les transferts hors Union européenne doivent être vérifiés avec attention. Le contrat doit prévoir une autorisation spécifique ou générale, une information préalable en cas de changement, ainsi que les garanties applicables comme une décision d’adéquation, des clauses contractuelles types ou des mesures complémentaires.

Que Prévoir À La Fin De La Prestation ?

Le contrat doit organiser la suppression ou la restitution des données à caractère personnel à la fin des services, sauf obligation légale de conservation. Cette clause est importante pour éviter une conservation résiduelle injustifiée chez le sous-traitant ou ses propres sous-traitants.

Quels Points Sont Souvent Oubliés Mais Utiles ?

  • Audit et preuve de conformité : prévoir l’accès aux informations nécessaires et les modalités d’audit.
  • Registre et documentation : imposer une traçabilité des traitements réalisés pour le compte du client.
  • Sort des données de test, sauvegardes et journaux : préciser leur protection, conservation et purge.
  • Notification des demandes des personnes : organiser rapidement la coopération sur les droits d’accès, d’effacement, d’opposition ou de portabilité.
Clauses essentielles d\u2019un contrat de traitement des données
Voulez-vous générer votre propre Contrat de traitement de données ?
Docaro AI peut vous aider à rédiger votre propre Contrat de traitement de données à utiliser dans la France en quelques minutes.
Générez Votre Document Maintenant

FAQs

Les clauses essentielles sont l’objet du traitement, sa durée, les données concernées, les finalités, les obligations du sous-traitant, la sécurité, les sous-traitants ultérieurs, les transferts hors UE, l’assistance au responsable de traitement et les conditions de fin de contrat.
Afficher toutes les FAQ

Vous Pourriez Aussi Être Intéressé Par

Opérations de traitement couvertes par un accord
Comprendre les opérations de traitement couvertes par un accord en France et leur utilité pour encadrer les données personnelles.

Références et sources d'information