France : Clauses Essentielles D’un Contrat De Traitement Des Données
Clause | Description | Partie principalement concernée | Référence RGPD | Exemple de formulation |
|---|---|---|---|---|
Objet du traitement | Décrit précisément les opérations confiées au sous-traitant. | Les deux parties | Article 28(3) RGPD | Le sous-traitant traite les données uniquement pour fournir les services décrits au contrat. |
Durée du traitement | Fixe la période pendant laquelle le sous-traitant traite les données. | Les deux parties | Article 28(3) RGPD | Le traitement est autorisé pendant la durée du contrat et jusqu’à restitution ou suppression des données. |
Nature des opérations | Identifie les actions réalisées sur les données : hébergement, maintenance, support, analyse ou sauvegarde. | Les deux parties | Article 28(3) RGPD | Les opérations autorisées incluent l’hébergement, la consultation, la sauvegarde et la maintenance applicative. |
Finalités du traitement | Délimite les objectifs poursuivis par le traitement confié. | Responsable du traitement | Article 28(3) RGPD | Les données sont traitées pour gérer les comptes clients et fournir le service commandé. |
Types de données personnelles | Énumère les catégories de données confiées au sous-traitant. | Responsable du traitement | Article 28(3) RGPD | Les données traitées comprennent les noms, coordonnées, identifiants, journaux de connexion et données de facturation. |
Catégories de personnes concernées | Identifie les personnes dont les données sont traitées. | Responsable du traitement | Article 28(3) RGPD | Les personnes concernées sont les clients, prospects, utilisateurs, salariés ou contacts professionnels du responsable. |
Instructions documentées | Oblige le sous-traitant à agir seulement sur instruction écrite du responsable. | Sous-traitant | Article 28(3)(a) RGPD | Le sous-traitant ne traite les données que sur instructions documentées du responsable du traitement. |
Alerte sur instruction illicite | Impose au sous-traitant de signaler toute instruction semblant contraire au droit applicable. | Sous-traitant | Article 28(3) RGPD | Le sous-traitant informe immédiatement le responsable si une instruction viole le RGPD ou le droit français. |
Confidentialité du personnel | Garantit que les personnes autorisées sont soumises à une obligation de confidentialité. | Sous-traitant | Article 28(3)(b) RGPD | Le sous-traitant veille à ce que son personnel autorisé soit tenu à la confidentialité. |
Mesures de sécurité | Décrit les mesures techniques et organisationnelles protégeant les données. | Les deux parties | Articles 28(3)(c) et 32 RGPD | Le sous-traitant applique des mesures adaptées, incluant contrôle d’accès, journalisation, chiffrement et sauvegardes. |
Chiffrement des données | Prévoit le chiffrement des données en transit ou au repos lorsque pertinent. | Sous-traitant | Article 32(1)(a) RGPD | Les données sensibles ou exposées sont chiffrées selon l’état de l’art et les clés sont protégées. |
Pseudonymisation | Réduit l’identifiabilité des personnes lorsque les finalités le permettent. | Les deux parties | Articles 25 et 32(1)(a) RGPD | Lorsque possible, les identifiants directs sont remplacés par des identifiants techniques séparés. |
Disponibilité et résilience | Organise la continuité du service et la capacité de restauration des données. | Sous-traitant | Article 32(1)(b)-(c) RGPD | Le sous-traitant maintient des sauvegardes et un plan de reprise adaptés aux risques. |
Tests et évaluation de sécurité | Prévoit l’évaluation régulière des mesures de sécurité. | Sous-traitant | Article 32(1)(d) RGPD | Le sous-traitant teste et évalue périodiquement l’efficacité de ses mesures de sécurité. |
Assistance pour les droits des personnes | Organise l’aide du sous-traitant pour répondre aux demandes d’accès, rectification, effacement ou opposition. | Les deux parties | Article 28(3)(e) RGPD | Le sous-traitant transmet sans délai toute demande reçue et assiste le responsable pour y répondre. |
Assistance à la conformité | Prévoit l’aide du sous-traitant sur sécurité, violations, AIPD et consultations préalables. | Sous-traitant | Article 28(3)(f) RGPD | Le sous-traitant assiste le responsable pour satisfaire aux obligations des articles 32 à 36 du RGPD. |
Notification des violations de données | Fixe le délai et le contenu de l’alerte en cas de violation de données. | Sous-traitant | Articles 28(3)(f), 33 et 34 RGPD | Le sous-traitant notifie toute violation sans délai indu avec les informations disponibles. |
Délai d’alerte du responsable | Précise un délai contractuel court pour permettre la notification CNIL sous 72 heures. | Sous-traitant | Article 33(1)-(2) RGPD | Le sous-traitant alerte le responsable au plus tard 24 heures après connaissance de l’incident. |
Information des personnes en cas de violation | Organise l’assistance nécessaire si une violation doit être communiquée aux personnes. | Les deux parties | Article 34 RGPD | Le sous-traitant fournit les éléments nécessaires à l’information des personnes concernées si requise. |
Sous-traitance ultérieure | Encadre le recours par le sous-traitant à d’autres prestataires traitant les données. | Sous-traitant | Article 28(2) et 28(4) RGPD | Le sous-traitant ne recrute un sous-traitant ultérieur qu’avec autorisation écrite préalable ou générale. |
Changement de sous-traitant ultérieur | Prévoit l’information préalable du responsable et son droit d’opposition. | Sous-traitant | Article 28(2) RGPD | Le sous-traitant informe le responsable de tout ajout ou remplacement afin de permettre une objection. |
Obligations équivalentes des sous-traitants ultérieurs | Impose aux sous-traitants ultérieurs les mêmes obligations de protection des données. | Sous-traitant | Article 28(4) RGPD | Tout sous-traitant ultérieur est soumis par contrat aux mêmes obligations que le sous-traitant initial. |
Responsabilité du sous-traitant initial | Précise que le sous-traitant initial reste responsable de ses sous-traitants ultérieurs. | Sous-traitant | Article 28(4) RGPD | Le sous-traitant demeure pleinement responsable de l’exécution des obligations par ses sous-traitants ultérieurs. |
Sort des données en fin de contrat | Prévoit la restitution ou suppression des données après la prestation. | Les deux parties | Article 28(3)(g) RGPD | Au terme du contrat, le sous-traitant supprime ou restitue toutes les données selon le choix du responsable. |
Preuve de suppression | Permet d’obtenir une attestation de suppression ou de purge des données. | Sous-traitant | Article 28(3)(g) RGPD | Le sous-traitant fournit une attestation écrite confirmant la suppression effective des données. |
Conservation légale résiduelle | Réserve les cas où le droit impose au sous-traitant de conserver certaines données. | Sous-traitant | Article 28(3)(g) RGPD | La conservation résiduelle n’est permise que si le droit de l’Union ou français l’exige. |
Audits et inspections | Autorise la vérification de la conformité du sous-traitant. | Les deux parties | Article 28(3)(h) RGPD | Le sous-traitant met à disposition les informations nécessaires et permet les audits raisonnables. |
Modalités d’audit | Précise préavis, fréquence, périmètre, confidentialité et coûts des audits. | Les deux parties | Article 28(3)(h) RGPD | Les audits sont réalisés avec préavis raisonnable, pendant les heures ouvrées et sans compromettre la sécurité. |
Documentation de conformité | Impose la conservation des preuves utiles à la conformité RGPD. | Sous-traitant | Articles 5(2), 24 et 28(3)(h) RGPD | Le sous-traitant conserve et fournit les éléments démontrant le respect de ses obligations contractuelles. |
Registre des traitements du sous-traitant | Prévoit la tenue d’un registre des catégories d’activités réalisées pour les clients. | Sous-traitant | Article 30(2) RGPD | Le sous-traitant tient un registre des catégories d’activités de traitement effectuées pour le responsable. |
Transferts hors UE/EEE | Encadre tout accès ou transfert de données vers un pays tiers. | Les deux parties | Articles 44 à 49 RGPD | Aucun transfert hors UE/EEE n’est réalisé sans garantie conforme au chapitre V du RGPD. |
Clauses contractuelles types | Prévoit l’usage des CCT pour certains transferts internationaux. | Les deux parties | Article 46 RGPD Décision UE 2021/914 | Les parties concluent les CCT applicables lorsque le transfert repose sur l’article 46 du RGPD. |
Décision d’adéquation | Identifie les transferts fondés sur une décision d’adéquation de la Commission européenne. | Les deux parties | Article 45 RGPD | Les transferts vers un pays adéquat sont limités au périmètre reconnu par la décision d’adéquation. |
Mesures complémentaires de transfert | Prévoit des garanties supplémentaires lorsque le droit du pays tiers crée un risque. | Les deux parties | Articles 44 et 46 RGPD Recommandations CEPD 01/2020 | Les parties documentent l’analyse du transfert et appliquent les mesures complémentaires nécessaires. |
Accès distant depuis pays tiers | Traite les accès support ou administration depuis hors UE comme des transferts potentiels. | Sous-traitant | Articles 44 à 49 RGPD | Tout accès distant hors UE/EEE est soumis aux garanties prévues pour les transferts internationaux. |
Localisation de l’hébergement | Indique les pays ou régions où les données sont hébergées ou sauvegardées. | Sous-traitant | Articles 28 et 44 RGPD | Les données sont hébergées dans l’Union européenne, sauf accord écrit contraire du responsable. |
Minimisation des données | Limite les données traitées à ce qui est nécessaire aux services. | Responsable du traitement | Article 5(1)(c) RGPD | Le responsable ne transmet au sous-traitant que les données nécessaires à l’exécution des services. |
Durées de conservation opérationnelles | Fixe les durées de conservation applicables chez le sous-traitant. | Les deux parties | Article 5(1)(e) RGPD | Les données ne sont conservées par le sous-traitant que pendant les durées définies en annexe. |
Sauvegardes et restauration | Encadre les copies de sauvegarde, leur sécurité, leur durée et leur restauration. | Sous-traitant | Article 32(1)(c) RGPD | Les sauvegardes sont protégées, testées régulièrement et purgées selon les durées convenues. |
Journalisation et traçabilité | Prévoit l’enregistrement des accès et opérations sensibles. | Sous-traitant | Article 32 RGPD | Les accès administrateurs et opérations sensibles sont journalisés, protégés et conservés pendant une durée limitée. |
Gestion des habilitations | Organise l’attribution, la revue et le retrait des droits d’accès. | Sous-traitant | Article 32 RGPD | Les accès sont accordés selon le besoin d’en connaître et revus périodiquement. |
Authentification et mots de passe | Fixe les exigences d’authentification des utilisateurs et administrateurs. | Sous-traitant | Article 32 RGPD | Les accès sensibles requièrent une authentification forte lorsque le risque le justifie. |
Sécurité des systèmes | Couvre la protection des postes, serveurs, applications et environnements d’administration. | Sous-traitant | Article 32 RGPD | Le sous-traitant maintient les systèmes à jour et protégés contre les accès non autorisés. |
Séparation des environnements | Sépare production, test et développement afin de limiter les risques. | Sous-traitant | Articles 25 et 32 RGPD | Les données de production ne sont pas utilisées en test sauf anonymisation ou accord écrit. |
Données de test et recette | Encadre l’usage de données personnelles en développement, test ou recette. | Les deux parties | Articles 5(1)(c), 25 et 32 RGPD | Les données réelles ne sont utilisées en test qu’en cas de nécessité et avec protections adaptées. |
Anonymisation | Définit les cas où les données peuvent être rendues irréversiblement anonymes. | Les deux parties | Considérant 26 RGPD | Toute anonymisation à des fins statistiques nécessite l’accord du responsable et une méthode documentée. |
Assistance AIPD | Organise l’aide du sous-traitant pour réaliser une analyse d’impact si nécessaire. | Les deux parties | Articles 28(3)(f) et 35 RGPD | Le sous-traitant fournit les informations utiles à l’AIPD concernant ses moyens et mesures de sécurité. |
Consultation préalable CNIL | Prévoit l’assistance si une consultation préalable de la CNIL est requise. | Les deux parties | Articles 28(3)(f) et 36 RGPD | Le sous-traitant coopère à toute consultation préalable auprès de la CNIL concernant le traitement confié. |
Contacts DPO ou référent RGPD | Identifie les interlocuteurs chargés des questions de protection des données. | Les deux parties | Articles 37 à 39 RGPD | Chaque partie communique les coordonnées de son DPO ou référent confidentialité. |
Coopération avec l’autorité de contrôle | Prévoit l’aide du sous-traitant en cas de contrôle ou demande de la CNIL. | Les deux parties | Articles 31 et 58 RGPD | Les parties coopèrent de bonne foi avec la CNIL pour toute demande relative au traitement. |
Interdiction d’usage propre | Empêche le sous-traitant d’utiliser les données pour ses propres finalités. | Sous-traitant | Articles 5(1)(b), 28(3)(a) et 29 RGPD | Le sous-traitant s’interdit tout traitement pour ses propres besoins sans base juridique distincte. |
Qualification des parties | Précise qui agit comme responsable, sous-traitant ou responsable conjoint. | Les deux parties | Articles 4(7), 4(8), 26 et 28 RGPD | Pour les traitements confiés, le client agit comme responsable et le prestataire comme sous-traitant. |
Responsabilité conjointe éventuelle | Prévoit un accord distinct si les parties déterminent conjointement finalités et moyens. | Responsable conjoint | Article 26 RGPD | Si une finalité conjointe est identifiée, les parties concluent un accord de responsabilité conjointe. |
Base juridique du traitement | Rappelle que le responsable détermine et documente la base légale du traitement. | Responsable du traitement | Article 6 RGPD | Le responsable garantit disposer d’une base juridique valable pour les traitements confiés. |
Données sensibles | Encadre le traitement des catégories particulières de données ou l’interdit. | Les deux parties | Article 9 RGPD | Le traitement de données sensibles est interdit sauf mention expresse en annexe et garanties renforcées. |
Données relatives aux condamnations | Encadre les données pénales, soumises à un régime spécifique. | Responsable du traitement | Article 10 RGPD Loi Informatique et Libertés | Les données pénales ne peuvent être traitées que si le responsable y est légalement autorisé. |
Données de mineurs | Prévoit des précautions lorsque les personnes concernées sont mineures. | Responsable du traitement | Articles 8 et 12 RGPD Loi Informatique et Libertés | Les données de mineurs ne sont traitées que sur instruction spécifique et avec garanties adaptées. |
Information des personnes concernées | Rappelle la répartition des rôles pour fournir les mentions d’information. | Responsable du traitement | Articles 12 à 14 RGPD | Le responsable fournit l’information requise le sous-traitant transmet les éléments nécessaires sur ses services. |
Portabilité des données | Organise l’extraction des données lorsque le droit à la portabilité s’applique. | Les deux parties | Article 20 RGPD | Le sous-traitant aide à extraire les données dans un format structuré et couramment utilisé. |
Effacement et limitation | Prévoit l’assistance pour effacer ou limiter le traitement sur demande valable. | Les deux parties | Articles 17, 18 et 28(3)(e) RGPD | Le sous-traitant exécute les demandes d’effacement ou de limitation sur instruction du responsable. |
Décision automatisée et profilage | Encadre les traitements produisant des décisions automatisées ou du profilage. | Responsable du traitement | Article 22 RGPD | Le sous-traitant ne met en œuvre aucun profilage sauf instruction écrite et garanties définies. |
Privacy by Design et by Default | Intègre la protection des données dans la conception et les réglages par défaut. | Les deux parties | Article 25 RGPD | Le sous-traitant conçoit les services pour limiter par défaut la collecte, l’accès et la conservation. |
Référentiels et certifications | Mentionne les certifications ou normes utiles, sans les substituer au contrat RGPD. | Sous-traitant | Articles 32 et 42 RGPD | Le sous-traitant maintient les certifications listées et informe le responsable de tout retrait significatif. |
Politiques internes de sécurité | Prévoit l’existence de procédures internes de sécurité et de confidentialité. | Sous-traitant | Articles 24, 28 et 32 RGPD | Le sous-traitant maintient des politiques documentées de sécurité, confidentialité et gestion des incidents. |
Sensibilisation du personnel | Prévoit la formation des personnes ayant accès aux données. | Sous-traitant | Articles 28(3)(b), 32 et 39 RGPD | Le personnel autorisé reçoit une sensibilisation régulière à la sécurité et à la protection des données. |
Gestion des incidents | Décrit la détection, qualification, documentation et remédiation des incidents. | Sous-traitant | Articles 32 et 33 RGPD | Le sous-traitant maintient une procédure de gestion des incidents et documente les mesures correctrices. |
Demandes d’autorités publiques | Organise l’information du responsable en cas de demande d’accès par une autorité. | Sous-traitant | Articles 28, 44 à 49 RGPD | Le sous-traitant informe le responsable de toute demande d’autorité, sauf interdiction légale. |
Confidentialité contractuelle générale | Protège les informations non personnelles échangées dans le cadre de la prestation. | Les deux parties | Hors RGPD utile en droit des contrats | Chaque partie protège les informations confidentielles reçues et les utilise uniquement pour le contrat. |
Responsabilité et indemnisation | Répartit les conséquences contractuelles des manquements à la protection des données. | Les deux parties | Article 82 RGPD | Chaque partie répond des dommages causés par ses manquements aux obligations qui lui incombent. |
Plafond de responsabilité | Détermine si les manquements RGPD sont inclus ou exclus du plafond contractuel. | Les deux parties | Article 82 RGPD droit commun des contrats | Les exclusions ou plafonds de responsabilité ne limitent pas les droits des personnes concernées. |
Assurance | Prévoit une couverture d’assurance adaptée aux risques de données. | Sous-traitant | Non spécifique au RGPD | Le sous-traitant maintient une assurance couvrant les risques liés à la sécurité des données. |
Hiérarchie contractuelle | Établit la priorité entre DPA, contrat principal, annexes sécurité et CCT. | Les deux parties | Articles 28 et 46 RGPD | En cas de conflit, les CCT prévalent pour les transferts, puis le DPA pour la protection des données. |
Annexe descriptive des traitements | Regroupe les détails obligatoires : finalités, données, personnes, durée et mesures de sécurité. | Les deux parties | Article 28(3) RGPD | Les caractéristiques détaillées du traitement figurent en annexe et font partie intégrante du contrat. |
Mise à jour des caractéristiques du traitement | Prévoit comment modifier les traitements autorisés pendant la relation. | Les deux parties | Article 28(3) RGPD | Toute modification substantielle des traitements fait l’objet d’une mise à jour écrite de l’annexe. |
Changements de sécurité significatifs | Impose une information en cas de changement pouvant affecter le niveau de sécurité. | Sous-traitant | Articles 28 et 32 RGPD | Le sous-traitant informe le responsable de tout changement réduisant substantiellement les garanties de sécurité. |
Utilisation d’outils d’IA | Encadre l’usage d’IA par le sous-traitant sur les données du responsable. | Sous-traitant | Articles 5, 6, 25, 28 et 32 RGPD | Aucune donnée du responsable n’est utilisée pour entraîner un modèle d’IA sans accord écrit. |
Statistiques et amélioration du service | Détermine si le sous-traitant peut produire des statistiques agrégées ou anonymes. | Sous-traitant | Articles 5(1)(b), 6 et considérant 26 RGPD | Les statistiques ne peuvent être produites qu’à partir de données anonymes ou sur instruction du responsable. |
Cookies et traceurs | Encadre les traceurs déposés ou gérés par le sous-traitant pour le responsable. | Les deux parties | RGPD article 82 Loi Informatique et Libertés | Le sous-traitant ne dépose des traceurs non essentiels que selon les instructions et paramètres de consentement. |
Prospection électronique | Encadre les traitements de campagnes e-mail, SMS ou prospection confiés au prestataire. | Responsable du traitement | Article 6 RGPD article L34-5 CPCE | Le responsable garantit la licéité des listes de prospection confiées au sous-traitant. |
Gestion du consentement | Prévoit la collecte, l’enregistrement et la preuve du consentement lorsque requis. | Responsable du traitement | Articles 6(1)(a), 7 et 13 RGPD | Le sous-traitant conserve les journaux de consentement selon les instructions du responsable. |
Traitements RH externalisés | Précise les garanties pour paie, recrutement, gestion du personnel ou formation. | Responsable du traitement | Articles 5, 6, 9, 28 et 32 RGPD | Les données RH sont traitées uniquement pour les finalités décrites en annexe RH. |
Données de santé et HDS | Prévoit les garanties renforcées et l’hébergement certifié HDS si applicable en France. | Les deux parties | Article 9 RGPD article L1111-8 Code de la santé publique | Les données de santé sont hébergées chez un prestataire certifié HDS lorsque la loi l’exige. |
Données de paiement | Encadre la collecte, sécurité et conservation des données de carte ou paiement. | Les deux parties | Articles 5, 6 et 32 RGPD | Les données de paiement sont traitées selon les normes de sécurité applicables et les durées convenues. |
Données administratives ou publiques | Adapte les obligations lorsque le responsable est une collectivité ou organisme public français. | Responsable du traitement | RGPD Loi Informatique et Libertés | Le sous-traitant respecte les contraintes propres aux traitements du secteur public indiquées en annexe. |
Services cloud | Précise les garanties propres à l’hébergement, l’administration et la réversibilité cloud. | Sous-traitant | Articles 28, 32 et 44 à 49 RGPD | Le prestataire cloud fournit la localisation, les sous-traitants, les garanties de sécurité et les modalités de réversibilité. |
Réversibilité | Organise l’export, la migration et l’assistance en fin de service. | Les deux parties | Articles 20 et 28(3)(g) RGPD | Le sous-traitant fournit un export exploitable des données avant suppression définitive. |
Formats d’export | Définit les formats utilisables pour restituer les données. | Sous-traitant | Articles 20 et 28(3)(g) RGPD | Les données sont restituées en format CSV, JSON, XML ou autre format documenté convenu. |
Supports physiques | Encadre stockage, transport, inventaire et destruction des supports contenant des données. | Sous-traitant | Article 32 RGPD | Les supports amovibles sont chiffrés, inventoriés et détruits de manière sécurisée en fin d’usage. |
Sécurité physique des locaux | Précise les contrôles d’accès physique aux zones traitant les données. | Sous-traitant | Article 32 RGPD | L’accès aux locaux et salles techniques est contrôlé et réservé aux personnes autorisées. |
Télétravail et accès nomade | Encadre les accès distants des salariés ou prestataires du sous-traitant. | Sous-traitant | Article 32 RGPD | Les accès nomades utilisent des canaux sécurisés, équipements maîtrisés et authentification adaptée. |
Maintenance et support | Définit les accès support, leur traçabilité et leur encadrement. | Sous-traitant | Articles 28 et 32 RGPD | Les accès de maintenance sont limités au nécessaire, autorisés, tracés et fermés après intervention. |
Comptes à privilèges | Encadre les droits administrateurs et comptes techniques à haut risque. | Sous-traitant | Article 32 RGPD | Les comptes à privilèges sont nominatifs lorsque possible, fortement authentifiés et journalisés. |
Correctifs et vulnérabilités | Prévoit l’identification, la priorisation et la correction des vulnérabilités. | Sous-traitant | Article 32 RGPD | Le sous-traitant applique les correctifs de sécurité dans des délais proportionnés à la criticité. |
Tests d’intrusion | Prévoit des audits techniques ou pentests selon le niveau de risque. | Sous-traitant | Article 32(1)(d) RGPD | Des tests d’intrusion sont réalisés périodiquement ou après changement majeur sur les systèmes exposés. |
Rapports de sécurité | Organise le partage de rapports, attestations ou résumés d’audit avec le responsable. | Sous-traitant | Article 28(3)(h) RGPD | Le sous-traitant peut fournir des rapports d’audit récents sous engagement de confidentialité. |
Traçabilité des instructions | Conserve la preuve des instructions reçues et exécutées. | Les deux parties | Articles 28(3)(a) et 29 RGPD | Les instructions sont conservées par écrit, y compris via ticket, e-mail ou interface d’administration. |
Demandes directes au sous-traitant | Prévoit la transmission rapide des demandes reçues directement par le sous-traitant. | Sous-traitant | Article 28(3)(e) RGPD | Toute demande d’une personne concernée est transmise au responsable sans réponse de fond, sauf instruction. |
Coûts d’assistance RGPD | Détermine si l’assistance RGPD est incluse ou facturée séparément. | Les deux parties | Article 28(3)(e)-(f) RGPD | L’assistance raisonnable est incluse les demandes exceptionnelles peuvent être facturées selon le devis accepté. |
Droit applicable et juridiction | Détermine le droit contractuel applicable et le tribunal compétent, utile en France. | Les deux parties | Hors RGPD Code civil et droit international privé | Le contrat est régi par le droit français, sous réserve des règles impératives du RGPD. |
Langue des documents | Précise la langue des instructions, notifications et preuves de conformité. | Les deux parties | Non spécifique au RGPD | Les notifications RGPD et documents contractuels sont rédigés en français, sauf accord contraire. |
Survie des obligations | Maintient certaines obligations après la fin du contrat, notamment confidentialité et preuve. | Les deux parties | Articles 28 et 32 RGPD | Les obligations de confidentialité, suppression et preuve survivent tant que des données sont conservées. |
Résiliation pour manquement RGPD | Permet de mettre fin au contrat en cas de manquement grave à la protection des données. | Les deux parties | Articles 28, 32 et 82 RGPD | Un manquement grave ou non corrigé aux obligations RGPD peut justifier la résiliation du contrat. |
Sanctions et coopération en défense | Organise la coopération si une procédure CNIL ou réclamation concerne le traitement. | Les deux parties | Articles 58, 83 et 84 RGPD | Les parties coopèrent pour répondre à toute réclamation, contrôle ou procédure administrative liée au traitement. |
Évolution réglementaire | Prévoit l’adaptation du contrat en cas de changement du droit applicable. | Les deux parties | RGPD et Loi Informatique et Libertés | Les parties renégocient de bonne foi les clauses nécessaires à la conformité légale. |
Modalités de notification | Définit les canaux officiels pour instructions, incidents et demandes RGPD. | Les deux parties | Articles 28, 33 et 34 RGPD | Les notifications RGPD sont envoyées aux contacts désignés par e-mail avec accusé de réception lorsque possible. |
Point de contact incident | Désigne l’adresse ou canal à utiliser pour signaler une violation de données. | Les deux parties | Article 33 RGPD | Chaque partie maintient un contact joignable pour les incidents de sécurité affectant les données. |
Annexe mesures techniques et organisationnelles | Détaille les mesures de sécurité au lieu de les résumer dans une formule générale. | Sous-traitant | Articles 28(3)(c) et 32 RGPD | Les mesures techniques et organisationnelles applicables sont décrites en annexe sécurité. |
Liste des sous-traitants ultérieurs | Recense les prestataires autorisés, leurs rôles et localisations. | Sous-traitant | Article 28(2) et 28(4) RGPD | La liste des sous-traitants ultérieurs autorisés figure en annexe et est tenue à jour. |
Droit d’opposition aux sous-traitants ultérieurs | Définit le délai et la procédure pour s’opposer à un nouveau sous-traitant. | Responsable du traitement | Article 28(2) RGPD | Le responsable dispose de 15 jours pour formuler une objection motivée au nouveau sous-traitant. |
Sous-traitants ultérieurs hors UE | Combine l’autorisation de sous-traitance ultérieure et les garanties de transfert international. | Sous-traitant | Articles 28(4) et 44 à 49 RGPD | Tout sous-traitant ultérieur hors UE doit bénéficier d’une garantie de transfert valable. |
Métadonnées et logs | Précise que certains logs, adresses IP et identifiants techniques peuvent être personnels. | Les deux parties | Article 4(1) RGPD | Les journaux techniques contenant des identifiants ou adresses IP sont traités comme des données personnelles. |
Distinction données personnelles et anonymes | Clarifie le régime applicable aux données anonymes et aux données pseudonymisées. | Les deux parties | Article 4(1) et considérant 26 RGPD | Les données pseudonymisées restent soumises au RGPD seules les données anonymes en sont exclues. |
Opérations interdites | Liste les traitements que le sous-traitant ne peut jamais réaliser sans accord. | Sous-traitant | Articles 28(3)(a) et 29 RGPD | Sont interdits la vente, l’enrichissement, l’entraînement IA ou la prospection avec les données confiées. |
Exactitude et qualité des données | Détermine qui corrige les données inexactes et comment les corrections sont propagées. | Responsable du traitement | Article 5(1)(d) RGPD | Le responsable reste chargé de l’exactitude le sous-traitant applique les corrections demandées. |
Fin des opérations de traitement | Formalise la date de fin effective des traitements confiés. | Les deux parties | Article 28(3)(g) RGPD | Les parties constatent par écrit la fin des traitements et le déclenchement des opérations de restitution ou suppression. |
Caches et copies temporaires | Encadre les copies techniques temporaires générées par les systèmes. | Sous-traitant | Articles 5(1)(e), 28 et 32 RGPD | Les caches et copies temporaires sont protégés et purgés automatiquement dans des délais courts. |
Destruction sécurisée | Définit les méthodes de suppression ou destruction empêchant la récupération non autorisée. | Sous-traitant | Articles 5(1)(e), 28(3)(g) et 32 RGPD | La suppression est réalisée par effacement sécurisé, purge logique ou destruction physique selon le support. |
Preuves électroniques et horodatage | Organise la conservation probante des instructions, notifications et attestations. | Les deux parties | Articles 5(2) et 28 RGPD Code civil | Les parties peuvent conserver les échanges RGPD sous forme électronique horodatée. |
Quelles Clauses Sont Indispensables Dans Un Contrat De Traitement De Données En France ?
Un contrat de sous-traitance conforme au RGPD doit au minimum encadrer l’objet, la durée, la nature et les finalités du traitement, les catégories de données et de personnes concernées, les obligations documentées du responsable du traitement et les engagements du sous-traitant. En pratique, ces clauses doivent être suffisamment précises pour démontrer la conformité en cas de contrôle de la CNIL.
Pourquoi Les Clauses De Sécurité Et De Confidentialité Sont-Elles Centrales ?
Les clauses relatives à la confidentialité, aux mesures de sécurité, à la gestion des violations de données et à l’assistance du sous-traitant sont essentielles car elles traduisent les exigences des articles 28, 32, 33 et 34 du RGPD. Elles doivent éviter les formules vagues et décrire les mesures attendues, les délais de notification et les responsabilités opérationnelles.
Comment Encadrer La Sous-Traitance Ultérieure Et Les Transferts Hors UE ?
En France, l’autorisation des sous-traitants ultérieurs et les transferts hors Union européenne doivent être vérifiés avec attention. Le contrat doit prévoir une autorisation spécifique ou générale, une information préalable en cas de changement, ainsi que les garanties applicables comme une décision d’adéquation, des clauses contractuelles types ou des mesures complémentaires.
Que Prévoir À La Fin De La Prestation ?
Le contrat doit organiser la suppression ou la restitution des données à caractère personnel à la fin des services, sauf obligation légale de conservation. Cette clause est importante pour éviter une conservation résiduelle injustifiée chez le sous-traitant ou ses propres sous-traitants.
Quels Points Sont Souvent Oubliés Mais Utiles ?
- Audit et preuve de conformité : prévoir l’accès aux informations nécessaires et les modalités d’audit.
- Registre et documentation : imposer une traçabilité des traitements réalisés pour le compte du client.
- Sort des données de test, sauvegardes et journaux : préciser leur protection, conservation et purge.
- Notification des demandes des personnes : organiser rapidement la coopération sur les droits d’accès, d’effacement, d’opposition ou de portabilité.

FAQs
Vous Pourriez Aussi Être Intéressé Par
