Tableau de bord
Tableau de bord Créez un document Demandez à un avocat Suivez nos guides Accueil
Informations du profil Paramètres du compte
Se déconnecter
Aide
Assistance sur le site Contactez-nous Appelez-nous: 08 01 84 15 64
Parcourir
Créez des documents Demandez à un avocat Suivez nos guides Partenaires Signez en ligne
S'inscrire Se connecter
Aide
Assistance sur le site Contactez-nous Appelez-nous: 08 01 84 15 64

CRÉEZ GRATUITEMENT Avenant RGPD au contrat de sous-traitance

  • Créez votre document en quelques minutes
  • Accessible sur tout appareil
  • Signez en ligne de manière sécurisée
Créez votre document
Avenant RGPD au contrat de sous-traitance

Avenant RGPD au contrat de sous-traitance

Certifié par le groupe Lefebvre Dalloz.

Vous avez conclu un contrat de sous-traitance, et un certain nombre de données personnelles ont été transférées par le client auprès du sous-traitant, pour les besoins du contrat.

Ce contrat de sous-traitance doit être en conformité avec le règlement général sur la protection des données (RGPD), qui est la nouvelle législation sur la protection des données personnelles, entré en vigueur le 25 mai 2018. Si le contrat a déjà été conclu, et qu’il ne comporte pas de mentions spécifiques sur la protection des données transférées, vous êtes tenu de faire un avenant, pour respecter les nouvelles obligations.

Si vous ne le faites pas, vous risquez une amende pouvant aller jusqu’à 10 millions d’euros. Évitez cela en utilisant notre modèle d’avenant de protection des données RGPD.

  1. Que contient l'avenant RGPD au contrat de sous-traitance ?
  2. À quoi sert cet avenant de données personnelles RGPD ?
  3. Quand ai-je besoin d’un avenant de données personnelles RGPD ?
  4. Qu’est-ce qui est inclus dans le traitement des données personnelles ?
  5. Pourquoi ai-je besoin d’un avenant de données personnelles RGPD ?
  6. Dois-je joindre des documents à l’avenant ?
  7. Quel est le risque encouru en cas de non respect de l'obligation d'établir cet avenant ?
  8. Pour plus d'informations

 

Cet avenant de protection des données RGPD contient, notamment :

  • le fait que le sous-traitant ne traite les données que pour le compte du client  ;

  • les types de données personnelles et les buts de leur traitement ;

  • comment les données personnelles sont traitées ;

  • une obligation de confidentialité de la part du sous-traitant et des personnes employées par lui aux fins du traitement ;

  • les accords sur la sécurité des données personnelles ;

  • la procédure à suivre en cas de fuite de données ;

  • les accords sur la restitution ou la destruction des données à la fin de l’accord.

L’avenant permet de compléter un contrat de sous-traitance déjà existant où le client demande à un sous-traitant de traiter pour lui des données personnelles collectées. Cela peut impliquer des activités de marketing, la livraison de colis postaux, la gestion des ressources humaines, etc.

Dès qu’une entreprise transfère des données personnelles à une autre entreprise afin de les traiter, il est nécessaire de prévoir un avenant de données personnelles RGPD, dès lors que les obligations relatives à la protection des données n’ont pas été incluses sur le contrat initial. Pensez, non seulement au traitement des données à des fins de marketing, mais aussi à l’externalisation de l’administration de la paie ou à la livraison des commandes de votre boutique en ligne. Vous avez même besoin d’un avenant de données personnelles RGPD si vous faites sous-traiter des tâches à votre propre filiale.

Le traitement des données personnelles comprend tout ce que vous pouvez faire avec les données personnelles. Par exemple sont des traitements :  

  • l’organisation des données ;
  • la saisie de données relatives au personnel ou aux clients, par exemple pour l’établissement de factures ou de fiches de paie ;
  • la consultation de données (comme la recherche du numéro de téléphone de quelqu’un pour l’appeler) ;
  • l’utilisation des données (par exemple, l’utilisation des données d’adresse pour l’envoi d’un colis) ;
  • l’analyse de données, par exemple dans le but de prédire le comportement d’achat d’un client.

Vous avez besoin d’un avenant de protection des données depuis l'entrée en vigueur du RGPD le 25 mai 2018. Il s’agit de la nouvelle législation européenne en matière de protection de la vie privée. Selon ce règlement, dès que vous transférez des données personnelles à une autre organisation, vous êtes tenu de conclure un avenant de protection des données RGPD. Ce avenant va venir inclure un certain nombre de clauses, notamment, ce que le sous-traitant peut et ne peut pas en faire, ce qui doit se produire en cas de fuite de données, etc.

L’avenant de protection des données existait déjà dans la législation française. Ce qui est nouveau dans ce avenant, c’est qu’avec le RGPD :

  • il y a davantage de dispositions obligatoires dedans, comme le consentement préalable du client concernant le recours à des sous-traitants par son sous-traitant ;
  • le sous-traitant ne peut plus limiter ou exclure sa responsabilité.

Oui, vous devez joindre un document avec les informations suivantes :

  • le(s) but(s) des traitements de données (ex : édition de feuille de paie, gestion de l’avancement des salariés, gestion des données clients, envoi de newsletters) ;

  • les catégories de données personnelles traitées (ex : le nom, prénom, l’adresse mail, le numéro de sécurité sociale, les diplômes) ;

  • les catégories de personnes dont les données sont traitées (ex : les clients, les salariés, les usagers) ;

  • les catégories de destinataires de données personnelles (les gestionnaires des ressources humaines, le service financier).

Pour vous aider dans l'écriture de cette annexe, lisez notre guide pour réaliser l’annexe de l’avenant pour la protection des données RGPD.

L’absence d’avenant peut entraîner une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial (le montant le plus élevé étant retenu). 

Vous pouvez poser une question juridique si :

  • les dispositions prévues dans le contrat de sous-traitance ne sont pas respectées ;
  • la CNIL mène une enquête sur vos traitements des données à caractère personnel ;
  • vous n’êtes pas certain d’être obligé d’utiliser le contrat de sous-traitance ;
  • ou pour toute autre raison.

Si vous voulez en savoir plus sur les données personnelles et vos obligations, vous pouvez consulter notre guide RGPD : check-list pour se mettre en conformité.

Clause : article contenu dans le contrat de sous-traitance. 

Client : acquéreur d’une prestation de services ou d'un produit en échange de la remise du prix au prestataire.

Cnil : la Commission nationale de l'informatique et des libertés est un organisme public qui vise à protéger les données personnelles.

Données personnelles : les données à caractère personnel sont des informations qui peuvent être rattachées à un individu identifiable (adresse postale, numéro de téléphone…).

Mentions obligatoires RGPD : obligations légales imposées aux sites internet qui collectent des données personnelles, précisées par le règlement général sur la protection des données.

Parties : toutes les personnes qui signent le contrat de sous-traitance.

Protection des données personnelles : obligations pesant sur les responsables de traitement (organisations, entreprises, états, administrations…). Elles encadrent le traitement des données à caractère personnel, par exemple la durée de conservation des données, afin de protéger la vie privée des individus.

RGPD :  Le règlement général sur la protection des données est un texte juridique constituant l’un des piliers de la protection des données personnelles au sein de l’Union européenne.

Sous-traitance : opération par laquelle une entreprise, appelée le donneur d'ordre ou entrepreneur principal, confie à une autre entreprise, appelée le sous-traitant, la mission d'exécuter pour elle une partie de ses actes de production ou des services dont elle a besoin.

Suivez-nous