Contrat obligatoire encadrant la relation entre un responsable de traitement et son sous-traitant pour garantir la protection des données personnelles.
Définition complète
Le contrat de sous-traitance, régi par l'article 28 du RGPD, est l'acte juridique indispensable dès lors qu'une entreprise (le responsable de traitement) confie tout ou partie du traitement de données personnelles à un prestataire externe (le sous-traitant). Ce document ne se limite pas à un accord commercial classique ; il doit impérativement définir l'objet, la durée, la nature et la finalité du traitement, ainsi que le type de données concernées.
Sur le plan juridique, ce contrat impose des obligations strictes au prestataire. Le sous-traitant s'engage notamment à ne traiter les données que sur instructions documentées du client, à garantir la confidentialité des personnes habilitées, et à mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées (Art. 32). Il doit également assister le responsable de traitement pour répondre aux demandes d'exercice de droits des personnes concernées et notifier toute violation de données dans les meilleurs délais.
L'absence de ce contrat ou l'utilisation d'un document incomplet expose l'entreprise à des sanctions administratives lourdes de la part de la CNIL. Le contrat sert de preuve de la conformité et permet de répartir clairement les responsabilités en cas de contrôle ou de litige, assurant ainsi que la chaîne de traitement reste sécurisée et transparente.
Exemple concret en PME
Une PME française utilise un logiciel de paie en mode SaaS. L'éditeur du logiciel est le sous-traitant. La PME doit signer un contrat (ou un addendum RGPD) stipulant que l'éditeur ne peut pas utiliser les données des salariés pour son propre compte, doit héberger les données en Europe et s'engage à supprimer toutes les informations à la fin du contrat.
L'erreur fréquente à éviter
L'erreur majeure consiste à se contenter des Conditions Générales de Vente (CGV) du prestataire. Les CGV sont souvent trop vagues ou protectrices pour le fournisseur. Un contrat conforme à l'article 28 doit être spécifique, détaillé et contraignant, incluant des clauses précises sur le droit d'audit et la gestion des sous-traitants ultérieurs.