Quelles sont les négociations possibles des clauses contractuelles en tant que sous-traitant

L’une des principales obligations des règles de protection des données, c’est de bien gérer les relations entre le responsable du traitement des données à caractère personnel et les sous-traitants, si des données sont transférées entre eux. Il convient donc de faire un audit des contrats qui existent, afin de s’assurer du niveau de protection et de la mise en conformité du RGPD pour s’assurer que les clauses adaptées y figurent bien.

Comment faut-il s’assurer du professionnalisme du sous-traitant ?

La première chose à faire est de lister l’ensemble des prestataires de services et les sous-traitants amenés aux traitements de données personnelles des clients et des employés de la société. Après cela, vous devez revoir les contrats de protection des données qui vous lient à ces prestataires. Si généralement, on se contente d’un bon de commande ou d’une entente orale, cela n’est pas de mise pour le règlement européen sur la protection des données personnelles.

Selon l’article 28 du règlement général, le contrat entre le DPO et le sous-traitant doit être sous forme écrite ou électronique. Il est donc important de faire une mise à jour des clauses relatives à la protection des données à caractère personnel.

Les diverses clauses relatives au traitement des données

Les clauses garantissant le respect des droits des personnes

Le responsable des traitements doit veiller à ce que les droits des personnes relatifs à la protection de leurs données personnelles soient respectés même si elles sont traitées par des prestataires. Dans cette clause concernant la politique de protection, le sous-traitant doit s’engager à répondre dans un délai rapide imposé par la loi informatique, aux demandes des personnes concernées.

Outre cela, il s’engage à transmettre au responsable de traitement toute demande d’exercice des droits et toute politique de protection des droits des personnes lors de la signature du contrat.

Les clauses de sécurité

Les nouvelles obligations en termes de RGPD, imposent de définir le niveau de sécurité exigé du sous-traitant dépendamment de la nature du traitement et de la catégorie des données. Selon l’article 29, il n’est tenu de traiter les données personnelles que sur instruction du responsable de traitement. Vous pouvez effectuer des tests pour prouver que les mesures de sécurité sont conformes aux exigences de la règlementation ou que l’accès aux données personnelles n’est réservé qu’aux personnes habilitées.

Les clauses d’audit

La clause d’audit est importante en termes de protection des données. L’audit permet de voir si les mesures mises en place par le sous-traitant sont bien appliquées et si elles sont adaptées aux normes RGPD. Il est conseillé de faire un audit par an et de stipuler dans la clause qu’un audit négatif peut entraîner la rupture du contrat. Le respect de la protection des données est une obligation essentielle du RGPD.

Les clauses de transfert

Les transferts hors de l’UE doivent être très encadrés. Il est conseillé de restreindre ces transferts dans la limite du possible étant donné que la plupart des sous-traitants se situent hors de la zone UE. Ils peuvent donc soumettre au responsable du traitement de données les pays dans lesquels les données sont traitées. Le responsable de traitement lui, doit en informer les personnes concernées.

Les clauses d’alerte de violation de données personnelles

C’est un atout majeur du RGPD. Toute faille de sécurité ou toute menace doit être notifiée dans un délai de 72h après la découverte de la violation. Le DPO doit donc s’assurer que le sous-traitant saura collaborer pleinement avec lui. En cas de manquement à cette obligation, le sous-traitant sera sanctionné au même titre que le responsable de traitement. Tout savoir sur la clause rgpd vous permettra de mieux mettre en place votre contrat.

Vous voulez en voir encore plus ?