MODÈLE DE Avenant RGPD au Contrat de Sous-Traitance
Ce que nous allons aborder
Qu'est-ce qu'un Avenant RGPD au Contrat de Sous-Traitance ?
Vous avez conclu un contrat de sous-traitance, et certaines données personnelles de vos clients ont été transférées au sous-traitant ? Vous devez à présent compléter le contrat de sous-traitance en rédigeant un avenant RGPD à ce contrat de sous-traitance. Comment le rédiger ? Quelles clauses y insérer ? Certaines clauses sont-elles obligatoires ? Rassurez-vous, nous allons vous aider à rédiger votre document.
Mais, l’avenant RGPD au contrat de sous-traitance, qu’est-ce que c’est ? Il s’agit tout simplement d’un contrat ayant pour but de compléter votre contrat de sous-traitance afin d’y inclure toutes les informations liées au traitement des données personnelles du salarié. L’avenant RGPD au contrat de sous-traitance doit contenir certaines informations, et notamment l’organisation des données, la consultation de données et l’utilisation de données.
Cette exigence est posée par le RGPD, entré en vigueur le 25 mai 2008.
Lisez bien la suite pour tout comprendre, et lancez-vous dans la réalisation de votre document, en répondant à quelques questions. Vous aurez en quelques minutes l’avenant RGPD au contrat de sous-traitance qui vous convient.
Le document que nous vous proposons est conforme aux obligations liées au RGPD sur la protection des données personnelles.
Quand devez-vous faire un Avenant RGPD au Contrat de Sous-Traitance ?
Si les obligations liées à la protection des données personnelles des clients n’ont pas été prévues dans le contrat de sous-traitance, vous devez rédiger un avenant RGPD à ce contrat dès lors que vous transférez ces données au sous-traitant.
Attention, ce document est exigé, quand bien même vous concluez un contrat de sous-traitance avec votre filiale.
Lisez notre guide sur la création d’un avenant RGPD au contrat de sous-traitance pour en savoir plus.
Aperçu Avenant RGPD au Contrat de Sous-Traitance
Les termes de votre document seront mis à jour en fonction des informations que vous fournirez.
Les membres de Rocket Lawyer ont créé plus de 2,5 millions de documents
Juridiquement fiable et applicable
Conforme à la loi et à la réglementation française
Posez des questions à un avocat concernant votre document
Signez ce document en ligne gratuitement avec RocketSign®
Avenant de protection des données RGPD
Parties :
ci-après dénommée " le Responsable ",
Et
ci-après dénommée « le Sous-traitant »
Considérant que :
les parties ont conclu un contrat à en date du aux termes duquel le Sous-traitant traite les données personnelles fournies par le Responsable visées à l'article 4, paragraphes 1 et 2, RGPD (ci-après "Contrat") ;
conformément à l'article 28, paragraphe 3, RGPD, les parties sont tenues de prendre des dispositions nécessaires à la protection des données à caractère personnel et de les fixer dans un avenant, ce qu'elles font dans le présent avenant (ci-après "Avenant") ;
les parties se communiqueront toutes les informations nécessaires en temps utile afin de permettre le respect de la législation et de la réglementation applicables en matière de protection des données à caractère personnel ;
les dispositions du présent accord sont applicables à tous les autres accords existant entre les parties, en ce qui concerne le traitement des données à caractère personnel. En cas de conflit avec un accord précédent, les dispositions du présent accord priment.
Les parties se sont accordées sur ce qui suit :
Article 1 - Durée de l'accord
Le présent Avenant entre en vigueur à la date de sa signature par les parties et prend fin après que le sous-traitant a effacé et/ou renvoyé toutes les données personnelles auxquelles le présent accord se rapporte conformément aux dispositions de l'article 13.
Cet Avenant reste en vigueur tant que le Contrat demeure en vigueur.
Les dispositions décrites à l'article 4 restent en vigueur après l'expiration du présent accord.
Article 2 - Objet de l'Avenant
Le Responsable a fourni au Sous-traitant les informations suivantes pour l'exécution de l'Avenant :
- le service rendu par le sous-traitant ;
- la nature et le but des traitements de données ;
- les catégories de données personnelles traitées ;
- les catégories de personnes dont les données sont traitées ;
- les catégories de destinataires / utilisateurs de données personnelles.
Le document contenant ces informations est joint en annexe du présent Avenant.
Article 3 - Traitement et utilisation des données personnelles
- Le Responsable détermine la finalité du traitement et les données personnelles traitées à cette fin.
- Le Responsable donne des instructions écrites au Sous-traitant.
- Le Sous-traitant n'utilise les données personnelles obtenues qu'aux fins pour lesquelles elles ont été fournies et uniquement selon les instructions écrites du Responsable.
- Si le Responsable ordonne un traitement des données personnelles qui serait contraire aux obligations légales du Sous-traitant, celui-ci en informe le Responsable et trouve une solution avec lui qui ne soit pas en conflit avec ses obligations légales.
- Le Sous-traitant ne doit pas traiter les données d’une façon contraire aux lois et règlements applicables, sous peine d’engager sa responsabilité.
- Le Sous-traitant ne fournira pas les données personnelles à des tiers, à moins que cela ne soit fait sur ordre du Responsable ou lorsque cela est nécessaire pour se conformer à une obligation légale.
Article 4 - Confidentialité
Le Sous-traitant doit prendre toutes les mesures nécessaires pour assurer la confidentialité des données du Responsable.
L'obligation énoncée au paragraphe 1 ne s'applique pas si le Responsable a donné l'autorisation écrite préalable de fournir les données personnelles à un tiers ou si le Sous-traitant est légalement tenu de le faire.
Le Sous-traitant imposera la même obligation de confidentialité à son personnel, ainsi qu’aux personnes ou sous-traitants engagés à cet effet.
Article 5 - Sécurité
Le Responsable et le Sous-traitant prendront les mesures techniques et organisationnelles appropriées visées à l'article 32 du RGPD afin de garantir un niveau de sécurité adapté aux risques.
La Responsable informe le Sous-traitant des exigences juridiques de fiabilité applicables au traitement en fonction des conséquences possibles pour les parties concernées, telles que la perte, la corruption ou le traitement illicite, et fournit toutes les informations nécessaires pour permettre au Sous-traitant de s’y conformer.
Si le Responsable veut un niveau de sécurité supérieur à celui requis par la loi, le Sous-traitant peut facturer les coûts supplémentaires au Responsable.
Le Sous-traitant, lorsqu'il prend des mesures de sécurité, tient compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte, des objectifs de traitement, de la probabilité et de la gravité des différents risques pour les personnes prévus à l'article 28, paragraphe 3, du RGPD.
Si le Responsable souhaite procéder à une évaluation des traitements prévus par l'Avenant, le Sous-traitant doit coopérer pour effectuer cette évaluation conformément à la législation et à la réglementation applicables.
Le Sous-traitant coopère dans le cadre d'une consultation préalable avec l'autorité française de protection des données.
Article 6 - Audit
Le Responsable a le droit d'effectuer un audit annuel à ses propres frais afin de vérifier l’application conforme de cet Avenant par le Sous-traitant.
Le Sous-traitant accorde toute l'aide nécessaire à la réalisation de l'audit visé à l'alinéa 1 ci-dessus, par exemple en accordant l'accès aux bases de données et en mettant à disposition toutes les informations pertinentes.
Le Sous-traitant devra exécuter les recommandations issues de l'audit du Responsable dès que possible.
Si les ajustements prévus à l'alinéa 3 ci-dessus résultent d'une modification des connaissances techniques ou de la législation, les coûts raisonnables pour ces ajustements sont supportés par le Responsable.
Si les ajustements prévus à l'alinéa 3 ci-dessus résultent d'une lacune dans le respect des exigences de sécurité convenues, les coûts sont supportés par le Sous-traitant.
Si l'autorité française de protection des données ou une autre autorité compétente souhaite mener une enquête, le Sous-traitant doit coopérer avec elle et informer le Responsable dans les meilleurs délais.
Article 7 - Violation de données à caractère personnel
Si une violation de données, telle que définie à l'article 4, alinéa 12 du RGPD, survient, le Sous-traitant en informe le Responsable de la manière prévue à l'article 8.
Dans le cas d'une violation de données, le Sous-traitant prend toutes les mesures raisonnables et nécessaires pour limiter les conséquences et prévenir une nouvelle fuite.
Le Sous-traitant fournit au Responsable toute l'assistance nécessaire pour évaluer l'ampleur et les conséquences de la violation de données et pour se conformer à l’obligation de déclaration concernant les atteintes à la protection des données et au devoir d'information des personnes concernées.
Les parties ont convenu de la procédure à suivre en cas de violation de données dans une procédure de déclaration des fuites de données décrite à l'article 8. Cette procédure peut être adaptée si l'état de la technique l'exige ou si la réglementation relative à l'obligation de déclaration change.
Article 8 - Procédure de signalement des fuites de données
Article 9 - Demandes des parties intéressées
Toute demande d’accès, de rectification, d’effacement des données, de limitation ou d’opposition au traitement, ainsi que de portabilité des données, telle que visée aux articles 15 à 21 du RGPD que le Sous-traitant reçoit, doit immédiatement être transmise au Responsable.
Le Sous-traitant coopère avec le Responsable pour que celui-ci puisse se conformer à la demande visée à l'alinéa 1 ci-dessus dans les délais légaux impartis.
Le Responsable remboursera au Sous-traitant les coûts raisonnables que cette coopération implique.
Article 10 - Sous-traitants
Le Sous-traitant est responsable des actions des sous-traitants qu’il engage.
Si un de ses sous-traitants engage un sous-traitant, il est obligé de stipuler que ce nouveau sous-traitant devra remplir toutes les obligations imposées au Sous-traitant par le présent accord et conclura un accord avec les sous-traitants concernés conformément à cet accord.
Article 11 - Accès aux données personnelles
Le Sous-traitant veille à ce que le Responsable conserve à tout moment l'accès aux données personnelles pertinentes, même en cas de faillite ou de suspension des paiements.
Article 12 - Responsabilité et indemnité
Le Sous-traitant n'est pas responsable des dommages résultant de violations de ses obligations légales par le Responsable.
Le Responsable indemnise le Sous-traitant des réclamations de tiers et des frais encourus par le Sous-traitant à la suite d'une violation visée au paragraphe 1.
Le Responsable n'est pas responsable des dommages résultant de la violation de ses obligations légales par le Sous-traitant.
Le Sous-traitant indemnise le Responsable contre les réclamations de tiers et les frais encourus par le Responsable du fait d'une violation visée au paragraphe 3.
Article 13 - Résiliation et conséquences de la résiliation
En cas de non-respect des obligations contractuelles par l’une ou l’autre des parties, le présent Avenant et le Contrat pourront être résiliés de plein droit, TRENTE (30) jours après l'envoi d’une lettre recommandée avec accusé de réception de mise en demeure restée infructueuse, et ce sans préjudice de tous dommages et intérêts qui pourraient être réclamés à la partie défaillante.
Le Sous-traitant devra transmettre à titre gratuit toutes les données personnelles qui lui ont été fournies au Responsable ou à un tiers prévu par le Responsable, ainsi que toutes ses données restantes et de celles de ses éventuels Sous-traitants.
À la demande du Responsable, le Sous-traitant met les données à caractère personnel qui lui sont fournies à disposition dans un format différent de celui dans lequel elles ont été fournies contre le paiement des frais raisonnables.
Après avoir transféré les données au Responsable, le Sous-traitant devra les détruire.
Au lieu de transférer les données, le Responsable peut également demander au Sous-traitant de détruire les données.
La destruction des données visées au paragraphe 3 ne peut avoir lieu qu'après autorisation préalable écrite du Responsable.
Toutefois, les dispositions de l'article 4 restent pleinement en vigueur.
Article 14 - Conséquences de la nullité ou de l'annulation
Si un article de l'Avenant est écarté ou réputé non écrit, cela n'affectera pas les autres dispositions de l'Avenant. L’article sera dans ce cas remplacé par une disposition qui se rapproche le plus de la volonté des parties lors de la conclusion de l'Avenant.
Article 15 - Loi applicable et tribunal compétent
La loi française s'applique à cet Avenant.
Tous les litiges survenant dans le cadre du présent accord, qui ne peuvent être résolus à l'amiable, sont renvoyés devant le tribunal compétent.
Fait à , le ,
Un exemplaire est remis à chacune des parties.
Le client
Le sous-traitant
À propos du document Avenant RGPD au contrat de sous-traitance
En savoir plus sur la création de votre Avenant RGPD au Contrat de Sous-Traitance
-
Comment faire l’Avenant RGPD au Contrat de Sous-Traitance ?
Faire l’Avenant RGPD au contrat de sous-traitance en ligne est simple. Répondez simplement à quelques questions et Rocket Lawyer créera votre document pour vous. Lorsque vous avez préparé tous les détails à l'avance, la création de votre document est un processus rapide et facile.
Pour créer l’Avenant RGPD au contrat de sous-traitance, vous aurez besoin des informations suivantes :
Informations sur le contrat d’origine
-
Indiquez la date et le lieu de signature du contrat d’origine
Informations sur le client
-
Qui est le client ?
-
Identité du client
Informations sur le sous-traitant
-
Qui est le sous-traitant ?
-
Identité du sous-traitant
Informations sur le traitement des données personnelles
-
Où vont être traitées les données personnelles ?
-
Le sous-traitant fera-t-il appel lui-même à des sous-traitants ?
-
Le sous-traitant a-t-il déjà mis en place une procédure pour signaler les fuites de données ?
-
Date et lieu de signature de l’Avenant
-
-
Termes courants dans l’Avenant RGPD au Contrat de Sous-Traitance
Clause : article contenu dans le contrat de sous-traitance.
Client : acquéreur d’une prestation de services ou d'un produit en échange de la remise du prix au prestataire.
Cnil : la Commission nationale de l'informatique et des libertés est un organisme public qui vise à protéger les données personnelles.
Données personnelles : les données à caractère personnel sont des informations qui peuvent être rattachées à un individu identifiable (adresse postale, numéro de téléphone…).
Mentions obligatoires RGPD : obligations légales imposées aux sites internet qui collectent des données personnelles, précisées par le règlement général sur la protection des données.
Parties : toutes les personnes qui signent le contrat de sous-traitance.
Protection des données personnelles : obligations pesant sur les responsables de traitement (organisations, entreprises, états, administrations…). Elles encadrent le traitement des données à caractère personnel, par exemple la durée de conservation des données, afin de protéger la vie privée des individus.
RGPD : Le règlement général sur la protection des données est un texte juridique constituant l’un des piliers de la protection des données personnelles au sein de l’Union européenne.
Sous-traitance : opération par laquelle une entreprise, appelée le donneur d'ordre ou entrepreneur principal, confie à une autre entreprise, appelée le sous-traitant, la mission d'exécuter pour elle une partie de ses actes de production ou des services dont elle a besoin.
Si vous souhaitez que votre Avenant RGPD au contrat de sous-traitance comporte des dispositions supplémentaires ou plus détaillées, vous pouvez modifier votre document. Toutefois, si vous faites cela, vous souhaiterez peut-être qu'un avocat examine le contrat pour vous (ou effectue les modifications pour vous) afin de vous assurer que votre contrat modifié est conforme à toutes les lois pertinentes et répond à vos besoins spécifiques. Utilisez le service Poser une question juridique de Rocket Lawyer pour obtenir de l'aide. -
Conseils juridiques pour la réalisation de l’Avenant RGPD au Contrat de Sous-Traitance
Voici quelques conseils utiles pour vous aider à rédiger un avenant RGPD au contrat de sous-traitance clair et complet :
-
Faites signer par le sous-traitant l’avenant en deux exemplaires.
-
Joignez à l’avenant les annexes suivantes :
-
le service rendu par le sous-traitant ;
-
le(s) but(s) des traitements de données ;
-
les catégories de données personnelles traitées ;
-
les catégories de personnes dont les données sont traitées ;
-
les catégories de destinataires de données personnelles.
-
Conservez une copie de l’avenant ;
-
Si vous transférez des données personnelles en dehors de l’Union européenne, de la Suisse, d’Andorre et du Canada par exemple, il faut prévoir des mesures spécifiques.
-
-
Posez nous une question juridique
Posez une question juridique sur notre site :
-
si vous vous posez d’autres questions sur l’avenant RGPD au contrat de sous-traitance ;
-
si vous voulez adapter les règles à votre cas.
-
FAQ sur le document Avenant RGPD au contrat de sous-traitance
-
Que contient l'Avenant RGPD au Contrat de Sous-Traitance ?
Cet avenant de protection des données RGPD contient, notamment :
-
le fait que le sous-traitant ne traite les données que pour le compte du client ;
-
les types de données personnelles et les buts de leur traitement ;
-
comment les données personnelles sont traitées ;
-
une obligation de confidentialité de la part du sous-traitant et des personnes employées par lui aux fins du traitement ;
-
les accords sur la sécurité des données personnelles ;
-
la procédure à suivre en cas de fuite de données ;
-
les accords sur la restitution ou la destruction des données à la fin de l’accord.
-
-
À quoi sert cet Avenant de Données Personnelles RGPD ?
L’avenant permet de compléter un contrat de sous-traitance déjà existant où le client demande à un sous-traitant de traiter pour lui des données personnelles collectées. Cela peut impliquer des activités de marketing, la livraison de colis postaux, la gestion des ressources humaines, etc.
-
Quand ai-je besoin d’un Avenant de Données Personnelles RGPD ?
Dès qu’une entreprise transfère des données personnelles à une autre entreprise afin de les traiter, il est nécessaire de prévoir un avenant de données personnelles RGPD, dès lors que les obligations relatives à la protection des données n’ont pas été incluses sur le contrat initial. Pensez, non seulement au traitement des données à des fins de marketing, mais aussi à l’externalisation de l’administration de la paie ou à la livraison des commandes de votre boutique en ligne. Vous avez même besoin d’un avenant de données personnelles RGPD si vous faites sous-traiter des tâches à votre propre filiale.
-
Qu’est-ce qui est inclus dans le traitement des données personnelles ?
Le traitement des données personnelles comprend tout ce que vous pouvez faire avec les données personnelles. Par exemple sont des traitements :
-
l’organisation des données ;
-
la saisie de données relatives au personnel ou aux clients, par exemple pour l’établissement de factures ou de fiches de paie ;
-
la consultation de données (comme la recherche du numéro de téléphone de quelqu’un pour l’appeler) ;
-
l’utilisation des données (par exemple, l’utilisation des données d’adresse pour l’envoi d’un colis) ;
-
l’analyse de données, par exemple dans le but de prédire le comportement d’achat d’un client.
-
-
Pourquoi ai-je besoin d’un Avenant de Données Personnelles RGPD ?
Vous avez besoin d’un avenant de protection des données depuis l'entrée en vigueur du RGPD le 25 mai 2018. Il s’agit de la nouvelle législation européenne en matière de protection de la vie privée. Selon ce règlement, dès que vous transférez des données personnelles à une autre organisation, vous êtes tenu de conclure un avenant de protection des données RGPD. Cet avenant va venir inclure un certain nombre de clauses, et notamment, ce que le sous-traitant peut et ne peut pas en faire, ce qui doit se produire en cas de fuite de données, etc.
L’avenant de protection des données existait déjà dans la législation française. Ce qui est nouveau dans ce avenant, c’est qu’avec le RGPD :
-
il y a davantage de dispositions obligatoires dedans, comme le consentement préalable du client concernant le recours à des sous-traitants par son sous-traitant ;
-
le sous-traitant ne peut plus limiter ou exclure sa responsabilité.
-
-
Dois-je joindre des documents à l’Avenant ?
Oui, vous devez joindre un document avec les informations suivantes :
-
le(s) but(s) des traitements de données (ex : édition de feuille de paie, gestion de l’avancement des salariés, gestion des données clients, envoi de newsletters) ;
-
les catégories de données personnelles traitées (ex : le nom, prénom, l’adresse mail, le numéro de sécurité sociale, les diplômes) ;
-
les catégories de personnes dont les données sont traitées (ex : les clients, les salariés, les usagers) ;
-
les catégories de destinataires de données personnelles (les gestionnaires des ressources humaines, le service financier).
Pour vous aider dans l'écriture de cette annexe, lisez notre guide pour réaliser l’annexe de l’avenant pour la protection des données RGPD.
-
-
Quel est le risque encouru en cas de non-respect de l'obligation d'établir cet Avenant ?
L’absence d’avenant peut entraîner une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial (le montant le plus élevé étant retenu).
Notre garantie de qualité
Nous garantissons que notre service est sûr et sécurisé, et que les documents de Rocket Lawyer correctement signés sont légalement applicables en confirmité avec les lois françaises.
Besoin d'aide ? Pas de problème !
Posez une question juridique et obtenez des conseils juridiques abordables de la part de nos partenaires avocats.
Checklist du document Avenant RGPD au contrat de sous-traitance
Complétez votre document Avenant RGPD au contrat de sous-traitance avec notre checklist juridique
Créez votre document en 3 étapes simples
Créez votre document
Répondez à quelques questions pour personnaliser votre document en quelques minutes
Sauvegardez, imprimez & partagez
Sauvegardez votre progression, finalisez sur tout type d'appareil, téléchargez et imprimez à tout moment
Signez le document et mettez-le en application
Signez en ligne en toute sécurité juridique et invitez d'autres personnes à signer votre document
Documents associés
Les utilisateurs de Rocket Lawyer qui ont créé un document Avenant RGPD au contrat de sous-traitance ont également fait:
Politique de Cookies
Créez une politique de cookies conforme au RGPD (Règlement général sur la protection des données)
Règlement Européen sur la Protection des Données (RGPD)
Respectez les obligations liées au RGPD
Notification aux Clients en cas de Violation de Données Personnelles
Prévenez vos clients d'une violation de leurs données personnelles
Registre de Traitement des Données Personnelles RGPD
Rédigez votre registre de traitement des données personnelles RGPD
Demandez à un avocat
#REF!
Bénéficiez de services juridiques fiables à des prix abordables. Services inclus :
Tous les documents juridiques dont vous avez besoin : personnalisez, partagez, imprimez, et plus encore.
RocketSign® : signature en ligne illimitée de tous vos documents
Posez votre question juridique à un avocat et obtenez une réponse dans un délai d'un jour ouvrable
Accédez à des guides juridiques sur des centaines de sujets
Une consultation juridique de 30 minutes avec un avocat* sur toute nouvelle question
33 % de réduction sur les tarifs horaires ou un tarif forfaitaire, si vous avez besoin d'une aide juridique plus importante
*Dans le cadre de nos conditions générales