Qu’est-ce qu’un contrat de sous-traitance qui concerne des données personnelles ?
C’est un contrat par lequel vous faites appel à un prestataire (le sous-traitant) et qui implique le transfert de données personnelles. Par exemple, lorsque vous faites appel à une agence pour vos opérations de marketing, un service extérieur pour gérer vos salariés ou un expert-comptable qui va gérer les dossiers de vos salariés. Dans ces exemples, il s’agira donc de transfert des données personnelles de vos salariés, de vos clients ou prospects.
Dès lors que vous envoyez à un prestataire des données personnelles, le RGPD vous impose de faire un avenant de protection des données personnelles à votre contrat d’origine pour intégrer cette protection.
Quel document devez-vous joindre à l’avenant ?
Si vous avez fait votre avenant ou que vous allez le faire, vous avez sûrement vu que vous devez joindre un document décrivant le traitement des données.
Vous allez donc devoir écrire un document que vous allez joindre au contrat et que vous appellerez « Annexe : descriptions des traitements de données à caractère personnel ».
Que doit figurer sur ce document ?
Vous devez y faire figurer les buts (finalités) des traitements de données. Par exemple : l’édition de feuille de paie, la gestion des données clients, l'envoi de newsletters). Il faut être précis, par exemple dans le cas d’une prestation d’externalisation de ressources humaines, le prestataire peut traiter les données pour : éditer des feuilles de paie, répondre aux obligations légales de déclaration, gérer l’avancement des salariés, organiser les plannings de travail, etc. Il faut préciser chaque mission pour laquelle le prestataire traite les données.
Ensuite, il faut détailler les catégories de données personnelles traitées. C’est le type de données que le sous-traitant va utiliser. Cela va être par exemple : le nom, le prénom, l’adresse mail, le numéro de sécurité sociale, les diplômes, la date de naissance, etc.
Après cela, vous devez noter les catégories de personnes dont les données sont traitées. Concrètement, c’est les catégories de personnes dont les données vont être utilisées par le sous-traitant. Par exemple : les clients, les salariés, les usagers.
Enfin, vous devez déterminer les catégories de destinataires de données personnelles. Donc dans notre exemple, cela peut être les gestionnaires des ressources humaines, le service comptable, le service juridique, etc. Cela en fonction des missions confiées au prestataire.
Comment devez-vous présenter cela ?
Vous pouvez le présenter de la façon suivante, en prenant comme exemple l’externalisation des ressources humaines.
Annexe : descriptions des traitements de données à caractère personnel
Le sous-traitant traite les données personnelles du client dans le cadre du contrat d’externalisation des ressources humaines. Il le fait dans le cadre prévu par cette annexe, l’avenant, ainsi que le contrat d’origine d’externalisation de ressources humaines. Les finalités des traitements sont les suivantes :
-
l’édition des feuilles de paie ;
-
répondre aux obligations légales de déclaration ;
-
gérer l’avancement des salariés ;
-
organiser les plannings de travail.
Les catégories de données traitées sont les suivantes :
-
les nom et prénom ;
-
l’adresse postale ;
-
le numéro de téléphone ;
-
le mail ;
-
le relevé d’identité bancaire ;
-
le numéro de sécurité sociale.
Les catégories de personnes dont les données sont traitées sont le client et les collaborateurs de la société XX.
Les personnes réceptionnaires des données dans la société sous-traitante sont les gestionnaires des ressources humaines, le service comptable, le service juridique.
Cet article contient des informations juridiques générales et ne contient pas de conseils juridiques. Rocket Lawyer n'est pas un cabinet d'avocats et ne remplace pas un avocat ou un cabinet d'avocats. Le droit est complexe et change souvent. Pour des obtenir des conseils juridiques,demandez à un avocat.