Avr 23, 2020

Comment rédiger un contrat de sous-traitance RGPD ?

Le RGPD impose l’encadrement et la formalisation des relations entre un Responsable de Traitement et un Sous-traitant. Traduction : pour chaque sous-traitant identifié, un contrat de sous-traitance (ou un acte juridique écrit) doit être rédigé.

DPO, Directeurs ou Responsables juridiques, c’est à vous de vous en assurer.

Dans cette vidéo, je vous présente comment aborder cette étape importante pour la sécurité juridique des données personnelles que vous traitez.

Quels sont les éléments à intégrer dans un contrat de sous-traitance ? 

Les éléments qui doivent être définis dans un contrat de sous-traitance

L’obligation imposée par la réglementation a pour objectif de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer, pour le compte du responsable de traitement, les opérations de traitement de données à caractère personnel. 

Cela signifie que le contrat avec un sous-traitant doit intégrer ces élements :

  • L’objet, la durée, la nature et la finalité du traitement ;
  • Les catégories de données à caractère personnel ;
  • Les catégories de personnes concernées et
  • Les droits et obligations du responsable de traitement.

Les obligations inhérentes à la qualité de Sous-Traitant 

L’article 28-3 du RGPD liste une série d’obligations pour le sous-traitant. Ces obligations doivent également figurer au contrat avec le sous-traitant :

  • Les obligations de transparence et de traçabilité
  • L’obligation de garantir la sécurité des données 
  • Les obligations d’Assistance, d’Alerte et de Conseil

La formalisation d’un contrat de sous-traitance : des bénéfices hors RGPD .

Cette obligation, de cadrer les rôles et responsabilités des acteurs, s’applique tant pour les nouveaux contrats que pour les contrats en cours. Ce chantier peut s’annoncer particulièrement lourd pour certains d’entre vous.

Il me semble difficile d’entamer cette action avec comme seul objectif la mise en conformité RGPD. Fort heureusement, des bénéfices hors RGPD ont pu déjà être identifiés par de nombreuses entreprises.

Par exemple, la cartographie des contrats qui est ainsi réalisée donne la possibilité de (re)découvrir des services non utilisés,  voir d’identifier des doublons dans les prestations achetées.

Sensibilisons ensemble les personnes au management des données personnelles.

Avec l’équipe Adequacy, nous nous attachons à proposer du contenu utile à ceux qui prennent le sujet du management des données personnelles au sérieux. 

Si vous trouvez cette vidéo utile, partagez la sur les réseaux sociaux ou à vos collègues pour les sensibiliser aux relations de sous-traitance. C’est ce qui nous aide le plus dans notre volonté de protéger les organisations des données personnelles qu’elles traitent.

La CJUE invalide le Privacy Shield

La CJUE invalide le Privacy Shield

La Cour de Justice de l'Union Européen invalide la décision 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis En revanche, elle juge que la décision 2010/87 de la Commission relative...