Contrat de traitement de données français généré par IA
PDF & Word - 2026 Mis à jour

Docaro Tarification
Quand avez-vous besoin d'un contrat de traitement de données en France ?
Règles légales françaises pour un Contrat de traitement de données
Utiliser le mauvais type ou la mauvaise structure d'accord de traitement des données peut entraîner une non-conformité au RGPD et des sanctions importantes.
Ce qu'un Contrat de traitement de données approprié doit inclure
- Identification des partiesLe contrat doit clairement définir qui est le responsable du traitement et qui est le sous-traitant.
- Description des traitementsIl faut détailler les opérations sur les données, comme la collecte ou le stockage, et leur finalité.
- Obligations du sous-traitantLe sous-traitant s'engage à traiter les données uniquement sur instructions du responsable et à assurer leur sécurité.
- Mesures de sécuritéLe contrat exige des protections techniques et organisationnelles pour éviter les fuites ou les pertes de données.
- Notification des incidentsLe sous-traitant doit informer rapidement le responsable en cas de violation ou d'incident de sécurité.
- Assistance et auditLe sous-traitant aide le responsable à respecter le RGPD et accepte des contrôles ou audits si nécessaire.
- Gestion des sous-traitantsToute utilisation d'autres sous-traitants doit être autorisée et respecter les mêmes règles.
- Suppression des donnéesÀ la fin du contrat, les données doivent être rendues ou détruites, sauf obligation légale contraire.
Générez Votre Document en 4 Étapes Faciles
Pourquoi utiliser Docaro ?
FranceExemple Gratuit Contrat de traitement de données Modèle
Voici un exemple de modèle gratuit d'un Contrat de traitement de données à utiliser dans la France généré par notre modèle d'IA.
Les clauses de votre Contrat de traitement de données réel varieront par rapport à cet exemple, car elles seront entièrement sur mesure selon vos exigences telles que décrites dans le questionnaire que vous remplirez.
Contrat de traitement de données entre Société XYZ et Prestataire ABC
1PRÉAMBULE
Le présent Contrat de traitement de données est conclu entre la Société XYZ, agissant en qualité de responsable du traitement, ci-après dénommée le Responsable du traitement, et le Prestataire ABC, agissant en qualité de sous-traitant, ci-après dénommé le Sous-traitant.
Ce contrat s'inscrit dans le cadre de la collaboration entre le Responsable du traitement et le Sous-traitant pour la gestion externalisée des données clients dans le secteur du e-commerce, conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ainsi qu'à la Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures en vue d'assurer un niveau commun élevé de sécurité des réseaux et de l'information dans l'Union.
Les principaux objectifs du présent contrat sont d'assurer la sécurisation et l'analyse des données personnelles des clients pour optimiser les campagnes marketing, améliorer l'expérience utilisateur et respecter les obligations légales en matière de protection des données.
Le présent contrat est régi par le droit français.
2DÉFINITIONS
Aux fins du présent contrat, les termes suivants ont la signification qui leur est attribuée ci-après.
Le Responsable du traitement désigne la Société XYZ qui détermine les finalités et les moyens du traitement des données à caractère personnel.
Le Sous-traitant désigne le Prestataire ABC qui traite les données à caractère personnel pour le compte du Responsable du traitement en respectant strictement les instructions fournies et les exigences du Règlement (UE) 2016/679.
Les Données personnelles désignent les informations relatives à une personne physique identifiée ou identifiable qui incluent les noms, adresses email, numéros de téléphone et adresses postales des clients, collectées pour la gestion des commandes.
Les Finalités du traitement sont la gestion des contrats clients, l'envoi de confirmations de commandes et l'analyse des performances commerciales, sur la base légale de l'exécution d'un contrat.
3CATÉGORIES DE PERSONNES CONCERNÉES
Les catégories de personnes concernées par les traitements effectués dans le cadre du présent contrat sont les clients, les prospects et les utilisateurs de la plateforme e-commerce du Responsable du traitement, conformément aux exigences de l'article 28 du RGPD et de la Loi n° 78-17 du 6 janvier 1978 modifiée.
4OBJET DU CONTRAT
Le présent contrat a pour objet de définir les conditions dans lesquelles le Sous-traitant fournit des services de traitement de Données personnelles pour le compte du Responsable du traitement.
Le Sous-traitant fournira des services d'hébergement et de maintenance d'une plateforme en ligne pour le traitement des données clients, incluant la sauvegarde quotidienne des bases de données et la mise à jour des systèmes de sécurité.
Les types de Données personnelles traités dans le cadre du présent contrat sont les Données d'identification, les Données de contact et les Données financières.
Les activités de traitement effectuées par le Sous-traitant incluront la collecte, le stockage, l'analyse et la transmission sécurisée des Données personnelles via des serveurs dédiés, en conformité avec le Règlement (UE) 2016/679.
Le traitement des Données personnelles est prévu pour la durée du contrat, soit douze (12) mois renouvelables. Les types de Données personnelles incluent les données d'identification, de contact, financières, ainsi que les données inférées ou dérivées (telles que les profils comportementaux, scores de crédit ou préférences marketing). Les activités de traitement comprennent la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction des Données personnelles, conformément à l'article 28(3) du RGPD.
5OBLIGATIONS DU SOUS-TRAITANT
Le Sous-traitant s'engage à traiter les Données personnelles uniquement sur instruction documentée du Responsable du traitement, y compris en ce qui concerne les transferts de données vers un pays tiers ou une organisation internationale.
Le Sous-traitant mettra en place les mesures de sécurité techniques suivantes : chiffrement des données, contrôles d'accès et sauvegardes régulières.
Le Sous-traitant appliquera les mesures de sécurité organisationnelles suivantes : formation du personnel, politiques de confidentialité et audits internes.
Le Sous-traitant s'engage à imposer une obligation stricte de confidentialité à toutes les personnes autorisées à traiter les Données personnelles.
Le Sous-traitant assistera le Responsable du traitement dans la tenue de registres des activités de traitement et dans la consultation éventuelle du délégué à la protection des données.
En cas de violation de données à caractère personnel, le Sous-traitant notifiera le Responsable du traitement sans retard excessif et, en tout état de cause, dans un délai de vingt-quatre (24) heures après en avoir pris connaissance.
Le Sous-traitant gèrera les demandes des personnes concernées relatives à leurs droits en vertu du Règlement (UE) 2016/679 en les transmettant immédiatement au Responsable du traitement.
A la fin du contrat, le Sous-traitant s'engage à retourner ou détruire toutes les Données personnelles conformément aux instructions du Responsable du traitement.
Le Sous-traitant assistera le Responsable du traitement dans la réalisation d'analyses d'impact relatives à la protection des données (AIPD ou DPIA) lorsque cela est requis par le RGPD, en fournissant toutes les informations nécessaires sur les traitements effectués.
Le Sous-traitant garantit qu'il respecte l'ensemble des obligations prévues par le RGPD et qu'il mettra en œuvre toutes les mesures techniques et organisationnelles appropriées pour assurer la conformité au présent contrat et à la réglementation applicable.
6OBLIGATIONS DU RESPONSABLE DU TRAITEMENT
Le Responsable du traitement fournira des instructions écrites au Sous-traitant concernant le traitement des Données personnelles.
Le Responsable du traitement communiquera au Sous-traitant les mesures de sécurité à mettre en œuvre pour assurer la protection des Données personnelles.
Les instructions spécifiques que le Responsable du traitement fournira au Sous-traitant incluront les directives précises sur la collecte, le stockage et la suppression des Données personnelles, en conformité avec le Règlement (UE) 2016/679.
Le Responsable du traitement fournira au Sous-traitant les informations suivantes : les finalités du traitement, les catégories de Données personnelles, les droits des personnes concernées et la durée du traitement.
Le contact désigné par le Responsable du traitement pour les instructions est Marie Dupont, joignable par email à marie.dupont@entreprise.fr ou par téléphone au +33 1 23 45 67 89.
7DURÉE DU CONTRAT
Le présent contrat prend effet à compter du 1er janvier 2024 pour une durée déterminée de douze mois.
Le contrat se renouvellera automatiquement pour des périodes successives de même durée sauf dénonciation par l'une des parties avec un préavis de trente jours avant l'échéance.
La prolongation du contrat peut également intervenir par accord mutuel écrit entre le Responsable du traitement et le Sous-traitant.
8SOUS-TRAITANCE
Le Sous-traitant ne peut recourir à un autre sous-traitant (sous-traitant ultérieur) que sur autorisation écrite préalable spécifique ou générale du Responsable du traitement, conformément à l'article 28(2) du RGPD.
En cas d'autorisation générale, le Sous-traitant informera le Responsable du traitement de tout projet d'ajout ou de remplacement d'autres sous-traitants, laissant ainsi au Responsable du traitement la possibilité de s'opposer à ces changements.
Le Sous-traitant s'assure que tout sous-traitant ultérieur est lié par les mêmes obligations que celles prévues dans le présent contrat, notamment en matière de sécurité et de confidentialité.
L'ensemble des stipulations du présent Contrat de traitement de données s'appliquent de manière égale aux sous-traitants ultérieurs (flux descendant des obligations).
Le Sous-traitant demeure pleinement responsable des actes et omissions des sous-traitants ultérieurs agissant pour son compte, conformément à l'article 28(4) du RGPD.
La liste des sous-traitants approuvés au jour de la signature est annexée au présent contrat (Annexe 3). Toute modification de cette liste doit faire l'objet d'une approbation écrite du Responsable du traitement.
9AUDIT ET CONTRÔLE
Le Responsable du traitement est autorisé à effectuer des audits sur les activités du Sous-traitant afin de vérifier la conformité du traitement des Données personnelles avec le présent contrat et le Règlement (UE) 2016/679.
Les audits autorisés peuvent être effectués sur site ou à distance, après notification préalable de quinze jours au service juridique du Sous-traitant à l'adresse email audits@sous-traitant.fr ou par téléphone au 01 23 45 67 89.
Le Sous-traitant s'engage à coopérer pleinement lors de ces audits et à fournir tous les documents et informations nécessaires.
10TRANSFERTS DE DONNÉES HORS UE
Le Sous-traitant s'engage à ne pas transférer de Données personnelles en dehors de l'Union européenne ou de l'Espace économique européen, sauf autorisation préalable écrite du Responsable du traitement et mise en place de garanties appropriées conformément au Chapitre V du RGPD.
Aucun transfert de Données personnelles hors UE/EEE n'est prévu dans le cadre du présent contrat. Si un tel transfert devait être envisagé, il serait encadré par les Clauses Contractuelles Types adoptées par la Commission européenne, des Règles d'entreprise contraignantes (BCR), une décision d'adéquation ou tout autre mécanisme valide prévu par le RGPD.
11NOTIFICATION D'INCIDENTS
Le Sous-traitant est tenu de distinguer les incidents de sécurité internes (ne constituant pas une violation de données à caractère personnel) des violations de Données personnelles au sens des articles 4(12), 33 et 34 du RGPD.
Toute violation de Données personnelles doit être notifiée au Responsable du traitement sans retard excessif et, en tout état de cause, dans un délai de vingt-quatre (24) heures après en avoir pris connaissance.
Le Sous-traitant assistera le Responsable du traitement pour la notification à la CNIL dans les soixante-douze (72) heures suivant la prise de connaissance de la violation (article 33 du RGPD), en fournissant toutes les informations requises, y compris la nature de la violation, les catégories et le nombre approximatif de personnes concernées et de données, les conséquences probables et les mesures prises ou proposées.
Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le Sous-traitant assistera le Responsable du traitement dans la communication de cette violation aux personnes concernées conformément à l'article 34 du RGPD.
Les notifications d'incidents de sécurité (non qualifiés de violations) doivent être adressées à Monsieur Jean Dupont, Délégué à la protection des données, joignable au 01 23 45 67 89 ou à l'adresse dpo@responsable.fr, par e-mail urgent suivi d'un appel téléphonique dans l'heure suivant la détection.
Le Sous-traitant fournira un rapport détaillé des incidents ainsi que les mesures correctives mises en œuvre dans les cinq (5) jours suivant la notification.
12ASSISTANCE AU RESPONSABLE
Le Sous-traitant assistera le Responsable du traitement dans le traitement des demandes des personnes concernées relatives à leurs droits d'accès, de rectification et à l'effacement des Données personnelles.
Le Sous-traitant assistera également le Responsable du traitement dans la réponse aux demandes ou enquêtes des autorités de contrôle, telles que la Commission nationale de l'informatique et des libertés.
Le Sous-traitant fournira une assistance spécifique au Responsable du traitement pour le respect des droits des personnes concernées prévus aux articles 12 à 22 du RGPD (accès, rectification, effacement, limitation du traitement, portabilité des données, opposition, y compris au profilage), dans un délai maximal de cinq (5) jours ouvrés à compter de la réception de la demande transmise par le Responsable du traitement.
Le Sous-traitant coopérera avec les autorités de contrôle compétentes (telles que la CNIL) sur demande du Responsable du traitement, en fournissant toutes les informations et assistances nécessaires conformément à l'article 31 du RGPD.
This example shows approximately 70% of a typical document and is provided for illustrative purposes only. The remaining content has been omitted.
Every document generated by Docaro is tailored to your specific circumstances, jurisdiction and the information you provide. The completed document includes all applicable clauses and provisions required for your situation.
Pour générer le document complet et personnalisé, répondez à une courte série de questions et votre document sera créé instantanément.
Ressources utiles lors de la considération d'un Contrat de traitement de données en la France
France Législation de Référence
FAQ
FAQ sur la génération de documents
Articles associés

