CRÉEZ GRATUITEMENT Avenant RGPD au contrat de sous-traitance

  • Créez votre document en quelques minutes
  • Accessible sur tout appareil
  • Signez en ligne de manière sécurisée
Créez votre document

Avenant RGPD au contrat de sous-traitance

Certifié par ELS, éditeur des codes Dalloz

Vous avez conclu un contrat de sous-traitance, et un certain nombre de données personnelles ont été transférées par le client auprès du sous-traitant, pour les besoins du contrat.

Ce contrat de sous-traitance doit être en conformité avec le règlement général sur la protection des données (RGPD), qui est la nouvelle législation sur la protection des données personnelles, entré en vigueur le 25 mai 2018. Si le contrat a déjà été conclu, et qu’il ne comporte pas de mentions spécifiques sur la protection des données transférées, vous êtes tenu de faire un avenant, pour respecter les nouvelles obligations.

Si vous ne le faites pas, vous risquez une amende pouvant aller jusqu’à 10 millions d’euros. Évitez cela en utilisant notre modèle d’avenant de protection des données RGPD.

Cet avenant de protection des données RGPD contient, notamment :

  • le fait que le sous-traitant ne traite les données que pour le compte du client  ;

  • les types de données personnelles et les buts de leur traitement ;

  • comment les données personnelles sont traitées ;

  • une obligation de confidentialité de la part du sous-traitant et des personnes employées par lui aux fins du traitement ;

  • les accords sur la sécurité des données personnelles ;

  • la procédure à suivre en cas de fuite de données ;

  • les accords sur la restitution ou la destruction des données à la fin de l’accord.

L’avenant permet de compléter un contrat de sous-traitance déjà existant où le client demande à un sous-traitant de traiter pour lui des données personnelles collectées. Cela peut impliquer des activités de marketing, la livraison de colis postaux, la gestion des ressources humaines, etc.

Dès qu’une entreprise transfère des données personnelles à une autre entreprise afin de les traiter, il est nécessaire de prévoir un avenant de données personnelles RGPD, dès lors que les obligations relatives à la protection des données n’ont pas été incluses sur le contrat initial. Pensez, non seulement au traitement des données à des fins de marketing, mais aussi à l’externalisation de l’administration de la paie ou à la livraison des commandes de votre boutique en ligne. Vous avez même besoin d’un avenant de données personnelles RGPD si vous faites sous-traiter des tâches à votre propre filiale.

Le traitement des données personnelles comprend tout ce que vous pouvez faire avec les données personnelles. Par exemple sont des traitements :  

  • l’organisation des données ;
  • la saisie de données relatives au personnel ou aux clients, par exemple pour l’établissement de factures ou de fiches de paie ;
  • la consultation de données (comme la recherche du numéro de téléphone de quelqu’un pour l’appeler) ;
  • l’utilisation des données (par exemple, l’utilisation des données d’adresse pour l’envoi d’un colis) ;
  • l’analyse de données, par exemple dans le but de prédire le comportement d’achat d’un client.

Vous avez besoin d’un avenant de protection des données depuis l'entrée en vigueur du RGPD le 25 mai 2018. Il s’agit de la nouvelle législation européenne en matière de protection de la vie privée. Selon ce règlement, dès que vous transférez des données personnelles à une autre organisation, vous êtes tenu de conclure un avenant de protection des données RGPD. Ce avenant va venir inclure un certain nombre de clauses, notamment, ce que le sous-traitant peut et ne peut pas en faire, ce qui doit se produire en cas de fuite de données, etc.

L’avenant de protection des données existait déjà dans la législation française. Ce qui est nouveau dans ce avenant, c’est qu’avec le RGPD :

  • il y a davantage de dispositions obligatoires dedans, comme le consentement préalable du client concernant le recours à des sous-traitants par son sous-traitant ;
  • le sous-traitant ne peut plus limiter ou exclure sa responsabilité.

L’absence d’avenant peut entraîner une amende pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial (le montant le plus élevé étant retenu).

Oui, vous devez joindre un document avec les informations suivantes :

  • le(s) but(s) des traitements de données (ex : édition de feuille de paie, gestion de l’avancement des salariés, gestion des données clients, envoi de newsletters) ;

  • les catégories de données personnelles traitées (ex : le nom, prénom, l’adresse mail, le numéro de sécurité sociale, les diplômes) ;

  • les catégories de personnes dont les données sont traitées (ex : les clients, les salariés, les usagers) ;

  • les catégories de destinataires de données personnelles (les gestionnaires des ressources humaines, le service financier).

Pour vous aider dans l'écriture de cette annexe, lisez notre guide pour réaliser l’annexe de l’avenant pour la protection des données RGPD.

Vous pouvez demander de l'aide à un avocat si :

  • les dispositions prévues dans le contrat de sous-traitance ne sont pas respectées ;
  • la CNIL mène une enquête sur vos traitements des données à caractère personnel ;
  • vous n’êtes pas certain d’être obligé d’utiliser le contrat de sous-traitance ;
  • ou pour toute autre raison.

Si vous voulez en savoir plus sur les données personnelles et vos obligations, vous pouvez consulter notre guide RGPD : check-list pour se mettre en conformité.