Le minimum...

« Les parties se conformeront au règlement général sur la protection des données (RGPD – règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016). Elles collaboreront de bonne foi à cette fin, dans le cadre de l’exécution du présent contrat. [mon organisation] sera responsable du traitement et le prestataire sera son sous-traitant, au sens de l’article 28 du RGPD.»

Cette clause vous engage, vous et votre prestataire a respecter le Rgpd. Vous pourrez toujours vous appuyez dessus, si vous pensez qu’un de vos partenaires ne respecte pas ses engagements. Elle suffit donc pour les petits contrats ou les relations quasi partenariales.

Cependant, elle est tellement peu précise qu’en cas de litige, c’est celui ou celle qui aura les meilleurs avocats qui aura gain de cause.

L’avantage, c’est qu’en cas de contrôle de la CNIL, vous pourrez dire que vous avez une clause.

Pour aller plus loin...

De manière générale, pour les contrats un peu plus conséquents, il est préférable de mettre des clauses un peu plus complètes. En principe, de telles clauses doivent être rédigées ou validées par un ou une juriste. Mais nous vous proposons quand même quelques grand principes

L’Union Européenne proposent des clauses contractuelles type, accessibles ici en français, mais elles sont difficilement applicables à une TPE/PME, car difficiles à comprendre.

Si vous vouliez simplement compléter la clause minimale, nous vous conseillons d’ajouter vos propres clauses sur les quelques thématiques suivantes :

• Le prestataire s’engage à traiter les informations auxquelles il a accès dans le cadre de votre contrat, seulement pour les finalités qui font l’objet du contrat.
• Le prestataire est soumis à une obligation d’information et de conseil. S’il estime qu’un traitement mis en place pour le compte du client contrevient au règlement général sur la protection des données (RGPD – règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016), il est tenu d’en informer le client et de le conseiller pour la mise en conformité du traitement. Le prestataire doit alerter le client de tout manquement éventuel à la réglementation, pour que le client et le prestataire puissent prendre ensemble les dispositions nécessaires à la remise en conformité.
• Le prestataire doit informer le client de tout acte de sous-traitance. Il doit veiller à la conformité de ses partenaires. Si le prestataire doit faire appel à tiers, notamment si ce tiers n’est pas Européen, pour réaliser la prestation, il est tenu de vous en informer. Il doit s’engager à ce que cette externalisation soit elle aussi conforme au Rgpd.
• Le prestataire doit veiller à la confidentialité des données que lui confie le client et s’assurer que ses employés sont sensibilisés à la réglementation.
• Si le prestataire constate une violation de données à caractère personnel, il doit contacter le client dans un délai de 24h avec l’ensemble des éléments techniques permettant d’investiguer ladite violation. Le prestataire assiste le client dans la notification de la CNIL, dans les 72h après constatation de la violation.
• Le prestataire prend des mesures de sécurisation adaptées à la sensibilité des données qu’il traite pour le compte du client.
• Au terme de l’exécution du contrat, le prestataire et ses éventuels sous-traitants s’engagent à remettre au client, ou à supprimer, toutes les données ou leurs copies, en fonction du choix du client.
• Le prestataire s’engage à tenir un registre des traitements conformes aux recommandations de la CNIL.
• Le prestataire s’engage à dûment documenter tous les traitements qu’il exécute pour le compte du client. Le prestataire s’engage à assister le client en cas de contrôle de la CNIL et à remettre toute information jugée nécessaire par l’autorité.

Droit à l’information des partenaires