Par Franck BEAUDOIN, avocat
Première publication sur idroit.co le 20 mai 2018
Publié sur droit.co le 3 juin 2021
Guide juridique: obligations du responsable du traitement et du sous-traitant
Quelles sont les obligations du responsable du traitement en cas de sous-traitance?
L’article 28 du RGPD impose au responsable d’un traitement de données personnelles de formaliser par écrit sa relation avec tout éventuel sous-traitant ayant accès aux données personnelles.
Quel formalisme s’impose en cas de sous-traitance de données personnelles?
Le sous-traitance doit faire l’objet d’un écrit entre les parties. L’article 28 du RGPD envisage prioritairement un contrat, mais il évoque également la possibilité d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement.
Quels modèles utiliser pour sous-traiter des données personnelles?
Nous publions sur droit.co un modèle de contrat de sous-traitance de données personnelles. Ce modèle de contrat est assez simple. Cependant, dans certaines circonstances, il peut être souhaitable de simplifier encore plus la formalisation exigée par le RGPD. Nous proposons donc ici trois autres modèles pouvant être utilisés alternativement.
Le premier est une lettre du responsable du traitement au sous-traitant pressenti. Le deuxième est une lettre du sous-traitant au responsable du traitement. Le troisième est une déclaration de conformité unilatérale du sous-traitant.
Modèles d’engagement de conformité au RGPD
Modèle 1 – Lettre du responsable du traitement au sous-traitant
XXX [en-tête du responsable du traitement]
XXX [destinataire]
XXX [lieu], le XXX [date]
Sous-traitance de données personnelles
Madame, Monsieur,
Nous effectuons un traitement de données personnelles dont les caractéristiques sont définies ci-dessous. Ce traitement est régi par le RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016).
Nous envisageons de vous confier la sous-traitance de certaines opérations relatives à ces données personnelles, à condition que vous garantissiez :
– que vous présentez les garanties requises quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée,
– que vous respecterez scrupuleusement les obligations mentionnées à l’article 28 du RGPD et, plus généralement, l’ensemble des règles imposées par le RGPD pour le traitement de données personnelles.
Caractéristiques du traitement de données personnelles
Objet du traitement : XXX [objet du traitement].
Durée du traitement : XXX [date].
Nature et finalité du traitement : XXX [compléter].
Type de données à caractère personnel : XXX [compléter].
Catégories de personnes concernées : XXX [compléter].
XXX [signataire : responsable du traitement]
***
Le sous-traitant soussigné déclare qu’il connaît parfaitement les règles fixées par le RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) pour le traitement de données personnelles. Il garantit qu’il satisfait aux conditions posées par l’article 28 du RGPD et qu’il se conformera strictement aux prescriptions du RGPD et aux instructions du responsable du traitement, pour le traitement des données personnelles définies ci-dessus.
XXX [signataire : sous-traitant]
Modèle 2 – Lettre du sous-traitant au responsable du traitement
XXX [en-tête du sous-traitant]
XXX [destinataire : responsable du traitement]
XXX [lieu], le XXX [date]
Sous-traitance de données personnelles
Madame, Monsieur,
Vous effectuez un traitement de données personnelles dont les caractéristiques sont définies ci-dessous. Vous envisagez de nous confier la sous-traitance de certaines opérations relatives à ces données personnelles.
Nous garantissons :
– que nous présentons les garanties requises quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) et garantisse la protection des droits de la personne concernée,
– que nous traiterons les données personnelles conformément au RGPD et à vos instructions,
– que nous respecterons scrupuleusement les obligations mentionnées à l’article 28 du RGPD et, plus généralement, l’ensemble des règles imposées par le RGPD pour le traitement de données personnelles.
Caractéristiques du traitement de données personnelles
Objet du traitement : XXX [objet du traitement].
Durée du traitement : XXX [date].
Nature et finalité du traitement : XXX [compléter].
Type de données à caractère personnel : XXX [compléter].
Catégories de personnes concernées : XXX [compléter].
XXX [signataire : sous-traitant]
Modèle 3 – Déclaration unilatérale de conformité au RGPD, souscrite par le sous-traitant
XXX [en-tête du sous-traitant]
Garantie de conformité au RGPD pour la sous-traitance de données personnelles
Le sous-traitant soussigné déclare :
– qu’il présente les garanties requises quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) et garantisse la protection des droits de la personne concernée,
– qu’il traitera les données personnelles conformément au RGPD et aux instructions du responsable du traitement,
– qu’il respectera scrupuleusement les obligations mentionnées à l’article 28 du RGPD et, plus généralement, l’ensemble des règles imposées par le RGPD pour le traitement de données personnelles.
Caractéristiques du traitement de données personnelles
Objet du traitement : XXX [objet du traitement].
Durée du traitement : XXX [date].
Nature et finalité du traitement : XXX [compléter].
Type de données à caractère personnel : XXX [compléter].
Catégories de personnes concernées : XXX [compléter].
XXX [lieu], le XXX [date]
XXX [signataire : sous-traitant]
Une réponse sur « RGPD – Engagement de conformité du sous-traitant »
[…] RGPD – Engagement de conformité du sous-traitant […]