Exemple de clauses contractuelles de sous-traitance L’exemple de clauses de sous-traitance ci-dessous est proposé dans l’attente de l’adoption de clauses contractuelles types au sens de l’article 28.8du règlement européen.Ces exemples de clauses peuvent être insérés dans vos contrats.Elles doivent adaptées et précisées selon la prestation de sous-traitance concernée. A noter qu’elles ne constituent pas, à elles seules, un contrat de sous-traitance.[...], situé à [...] et représenté par [...] (ci-après, «le responsable de traitement»)d'une part, ET[...], situé à [...] et représenté par [...](ci-après,«le sous-traitant»)d’autre part, I.Objet Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personneldéfinies ci-après.Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement(UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018(ci-après, «le règlement européensur la protection des données»).II.Description du traitement faisant l’objet de la sous-traitanceLe sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) [...].La nature des opérations réalisées sur les données est [...].La ou les finalité(s) du traitement sont [...].Les données à caractère personnel traitées sont [...].Les catégories de personnes concernées sont [...].Pour l’exécution du service objet du présent contrat, le responsable de traitement met à la disposition du sous-traitant les informations nécessaires suivantes [...].Règlement européensur la protection des données personnelles-Guide du sous-traitant-Edition septembre201714III.Durée du contratLe présent contrat entre en vigueur à compter du [...] pour une durée de [...].IV.Obligations du sous-traitantvis-à-vis du responsable de traitementLe sous-traitants'engage à: 1.traiter les données uniquement pour laou lesseule(s)finalité(s)qui fait/fontl’objet de la sous-traitance2.traiter les données conformément aux instructions documentéesdu responsable de traitement figurant en annexe du présent contrat. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des donnéesou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatementle responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel ilest soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public3.garantir la confidentialitédes données à caractère personnel traitées dans le cadre du présent contrat4.veiller à ce que les personnes autorisées à traiter les donnéesà caractère personnelen vertu du présent contrat:s’engagent à respecter la confidentialitéou soient soumises à une obligation légale appropriée de confidentialité reçoiventla formationnécessaire en matière de protection des données à caractère personnel5.prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conceptionet de protection des données par défaut6.Sous-traitance Choisir l’une des deux optionsOption A(autorisation générale)Le sous-traitant peut faire appel àun autre sous-traitant (ci-après, «lesous-traitant ultérieur») pour mener des activités de traitement spécifiques. Dans ce cas, ilinformepréalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doitindiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance.Le responsable de traitement disposed’un délai minium de [...] à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peutêtre effectuée que si le responsable de traitement n'a pas émis d'objection pendant le délai convenu. Règlement européensur la protection des données personnelles-Guide du sous-traitant-Edition septembre201715Option B(autorisation spécifique)Le sous-traitant est autorisé à faire appel à l’entité [...] (ci-après, le «sous-traitant ultérieur») pour mener les activités de traitement suivantes: [...]En cas de recrutement d’autres sous-traitants ultérieurs, le sous-traitant doitrecueillir l’autorisation écrite, préalable et spécifique du responsable de traitement.Quelle que soit l’option(autorisation générale ou spécifique)Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.7.Droit d’information des personnes concernéesChoisir l’une des deux optionsOption A Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données. Option B Le sous-traitant, au moment de la collecte desdonnées, doit fourniraux personnes concernées par les opérations de traitementl’information relative aux traitements de données qu’il réalise. La formulation et le format de l’information doit être convenue avec leresponsable de traitement avant la collecte de données.8.Exercice des droits des personnes Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées: droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).Choisir l’une des deux optionsOption A Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à [...] (indiquer un contact au sein du responsable de traitement). Option B Le sous-traitant doit répondre, au nom et pour le compte du responsable de traitement et dans les délais prévus par le règlement européen sur la protection des données aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la sous-traitance prévue par le présent contrat.9.Notification des violations de données à caractère personnel Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de [...] heures après en avoir pris connaissance et par le moyen suivant [...]. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.Règlement européensur la protection des données personnelles-Guide du sous-traitant-Edition septembre201716Option possibleAprès accord du responsable de traitement, le sous-traitant notifieà l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable de traitement,les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.La notification contientau moins : la description dela nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;la description des conséquences probables de la violation de données à caractère personnel;la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.Après accord du responsable de traitement, le sous-traitant communique, au nom et pour le compte du responsable de traitement,la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cetteviolation est susceptibled'engendrer un risque élevé pour les droits et libertés d'une personne physique.La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient aumoins la description dela nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;la description des conséquences probables de la violation de données à caractère personnel;la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.10.Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligationsLe sous-traitant aide le responsable de traitement pour la réalisation d’analysesd’impact relative à la protection des données.Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.Règlement européensur la protection des données personnelles-Guide du sous-traitant-Edition septembre20171711.Mesures de sécurité Le sous-traitant s’engage à mettreen œuvre les mesures de sécurité suivantes:[Décrire les mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque, y compris, entre autres la pseudonymisation et le chiffrement des données à caractère personnelles moyens permettant de garantir la confidentialité,l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;une procédure visant à tester, à ’analyser et à ’évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement]Le sous-traitant s’engage à mettreen œuvre les mesures de sécurité prévues par [code de conduite, certification].[Dans la mesure où l’article 32 du règlement européensur la protection des donnéesprévoit que la mise en œuvre des mesures de sécurité incombe au responsable du traitement et ausous-traitant, il estrecommandé de déterminer précisément les responsabilités de chacune des parties au regard des mesures à mettre en œuvre]12.Sort des donnéesAu terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engageà:Au choixdes parties:détruiretoutes les données à caractère personnel ouà renvoyer toutes les données à caractère personnel au responsable de traitementouà renvoyerles données à caractère personnelau sous-traitant désigné par le responsable de traitementLe renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant.Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.13.Délégué à la protection des donnéesLe sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données14.Registre des catégories d’activités detraitementLe sous-traitant déclare tenirpar écrit un registrede toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant:le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant,du délégué à la protection des données;les catégories de traitements effectués pour le compte duresponsable du traitement;le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéadu règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées;Règlement européensur la protection des données personnelles-Guide du sous-traitant-Edition septembre201718dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins:ola pseudonymisation et le chiffrement des données à caractère personnel;odes moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;odesmoyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;oune procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.15.DocumentationLe sous-traitant met à la disposition du responsable de traitementla documentation nécessaire pour démontrer lerespect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.V.Obligations du responsable de traitementvis-à-vis du sous-traitantLe responsable de traitement s’engage à:1.fournir au sous-traitant les données visées au IIdes présentes clauses2.documenter par écrit toute instruction concernant le traitement des données par le sous-traitant3.veiller, au préalable et pendant toute la durée du traitement, au respectdes obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant4.superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant