Comment mettre mes contrats en conformité avec le RGPD ?
L’une des obligations principales du Règlement Général sur la Protection des Données est d’encadrer les relations entre responsables de traitement et sous-traitants, si des données personnelles sont transférées entre ceux-ci.
Il est donc nécessaire de faire un audit des contrats existants, pour s’assurer que les clauses adéquates y figurent.
A défaut, un avenant doit être signé pour les y intégrer. Nous pouvons vous assister pour vérifier votre conformité au RGPD et pour rédiger ou négocier les avenants à vos contrats en cas de besoin.
Il existe des spécificités en cas de transfert de données personnelles hors de l’Union Européenne.
Quelles sont les clauses qui doivent y figurer au sein de mon avenant RGPD ?
L’Article 28 du RGPD indique les mentions qui doivent obligatoirement figurer dans tous les contrats entre les responsables de traitement et les sous-traitants :
- L’obligation du sous-traitant de se conformer aux instructions du responsable de traitement, et l’interdiction de traiter les données en l’absence d’instructions.
- L’obligation de respecter la confidentialité.
- Le détail des mesures de sécurité à mettre en œuvre.
- Les conditions pour faire appel à un sous-traitant ultérieur.
- L’assistance à fournir par le sous-traitant au responsable de traitement, en cas de demande d’exercice de ses droits par une personne physique.
- L’assistance apportée par le sous-traitant au responsable de traitement pour respecter ses obligations au titre du RGPD.
- L’obligation de suppression ou de renvoi des données personnelles.
- La fourniture de toutes les informations utiles au responsable de traitement par le sous-traitant.
Il est donc nécessaire de détailler de manière très précise l’étendue des obligations de chaque partie.
En cas de contrôle de la CNIL, ces informations devront être présentées sur demande.
Le non-respect de ces obligations est susceptible de justifier la mise en œuvre des sanctions prévues au RGPD.
Quelles ressources pour la mise en conformité des contrats au RGPD ?
La ressource principale reste le site de la CNIL.
Des clauses de sous-traitance type ont été rédigées par les juristes de la CNIL et sont disponibles à l’adresse suivante : https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses
Elles peuvent s’adapter à la plupart des traitements de données personnelles non sensibles et proposent diverses options de répartition des responsabilités et engagements.
Il convient donc, a minima, de rédiger un avenant à vos contrats pour y intégrer ces éléments.
Les spécificités des contrats régissant le transfert de données personnelles hors de l’Union Européenne
Si la relation de sous-traitance entraîne le transfert de données personnelles hors de l’Union Européenne, ce contrat peut être soumis à des conditions particulières.
La Commission Européenne a prévu que dans ce cas, et sauf si le tiers installé hors de l’UE fait partie d’un pays disposant d’une protection en matière de données personnelles considérée comme adéquate, il est nécessaire de conclure les clauses contractuelles types.
Cela n’est pas nécessaire pour les prestataires installés aux Etats-Unis s’ils sont titulaires de la certification Privacy Shield.
Elles doivent être complétées et signées sur le modèle fourni par la Commission Européenne, et disponible sur le site de la CNIL : https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne
Toute modification de ces clauses contractuelles types est soumise à l’accord préalable de la CNIL.