Blog Données personnelles

Adaptez dès maintenant les clauses de vos contrats au nouveau Règlement européen sur la protection des données personnelles

En rendant les sous-traitants également responsables du respect de la protection des données personnelles, le nouveau Règlement européen du 27 avril 2016 impose aux acteurs de revoir une partie des clauses de leurs contrats.

En effet, si le sous-traitant continue à agir sur instruction et sous la responsabilité du responsable de traitement (article 4 du Règlement européen), il se voit désormais attribuer certaines obligations qui traduisent également, à son niveau, le principe d’Accountability (article 28 du Règlement européen).

A côté du devoir d’assistance et de conseil qu’il doit au responsable de traitement, le sous-traitant doit lui-même mettre en place toutes les mesures de nature technique et organisationnelle permettant d’assurer le respect des principes de protection des données et en particulier, mettre en place et assurer le suivi et l’efficacité des mesures de sécurité.

Le contrat qui constitue la pièce maîtresse des relations entre responsable de traitement et sous-traitant doit donc être revu à la lumière de ces nouvelles obligations et de la répartition des tâches qui en découle. Les clauses contractuelles doivent être adaptées, d’autres doivent être ajoutées.

Par exemple, le sous-traitant a l’obligation d’alerter le responsable de traitement en cas d’instruction contraire au RGPD, ou de l’assister pour la réalisation de l’analyse d’impact lorsque celle-ci est obligatoire.

Il est intéressant de noter que parmi ces nouvelles obligations, certaines sont déjà présentes dans beaucoup de contrats de prestation ou les traduisent déjà. Ainsi en est-il des clauses relatives à l’obligation d’alerte en cas de problème de sécurité ou de la nécessité d’obtenir l’accord d’un responsable de traitement en cas de recours par le sous-traitant lui-même à un autre sous-traitant.

Quelques exemples de clauses à modifier : voir tableau.

Notons que pour accompagner les acteurs, la CNIL publie un Guide du sous-traitant qui reprend les principales dispositions du Règlement sur le sujet et qui leur propose une aide.

Ce guide a été publié le 29 septembre 2017 sur le site de la CNIL.

https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants