Contrat de sous-traitance de traitement de données personnelles

Maëlle Roulet
Auteure: Maëlle Roulet
Publié: 29 Mars 2024

Il est fort probable que votre entreprise sous-traite certains traitements de données personnelles.

Est qualifié de sous-traitant, « la personne privée qui traite des données personnelles pour le compte du responsable de traitement » (art. 5 let. k nLPD).

La sous-traitance est possible si :

1. Elle autorisée par un contrat ou par une base légale ; et

2. Le sous-traitant ne traite pas plus ou différemment les données que le responsable de traitement ; et

3. Il n’existe aucune autre obligation (légale ou contractuelle) de garder le secret (art. 9 nLPD).

Quelles sont les clauses qui doivent figurer dans le contrat de sous-traitance ?

  • Objet et durée du contrat (déterminé, indéterminé, etc.)
  • Description du traitement de données faisant l’objet de la sous-traitance (quel traitement est autorisé, selon quelles finalités, quelles sont les données personnelles traitées, etc.)
  • Obligations du sous-traitant (traitement uniquement dans les finalités annoncées, traitement conforme aux instructions du responsable de traitement, garantie de la confidentialité des données, garantie de la formation de ses employés, devoir d’informer le responsable de traitement, devoir de mettre en place les mesures techniques et organisationnelles nécessaires, obligation de tenir un registre des traitements, obligation de mettre à disposition la documentation nécessaire, devoir de notification des violations de données personnelles, etc.)
  • Procédure en cas de sous-traitant ultérieur (déterminer s’il existe une autorisation générale de sous-traiter ou s’il convient de demander à chaque fois l’autorisation du responsable de traitement)
  • Éventuels transferts de données à l’étranger (garanties adéquates de l’État, problématique de transfert des données aux USA)
  • Résiliation (préavis, sort des données, etc.)
  • Droit applicable et for
  • Etc.

Nos recommandations

– contractualisez votre responsabilité : que vous soyez sous-traitant ou responsable de traitement, rédiger un contrat de sous-traitance solide permet de limiter votre responsabilité et de vous éviter de mauvaises surprises, notamment des amendes pour la violation de certaines obligations

– mettez en œuvre des audits de conformité de votre sous-traitant : cela vous permettra de vous assurer que ses activités respectent les obligations légales et contractuelles

Informations sur la mise en conformité d’une entreprise en matière de protection des données et assistance de nos avocats et experts en protection des données personnelles et cybersécurité.

Codeplus bien plus qu'un conseil juridique.

Grâce à ces compétences transversales, le réseau Codeplus+ offre un accompagnement juridique et technique stratégique à chaque étape du cycle de vie d'un projet, d'une entreprise, d'un produit, d'un service technologiques ou de tout événement lié au numérique.

Contactez-nous