Réalisez l’annexe de l’avenant pour la protection des données RGPD

Réalisez l'annexe de l'avenant pour la protection des données RGPD simplement.

Le RGPD (règlement général sur la protection des données) est applicable depuis le 25 mai 2018. Parmi les nombreuses obligations qui en découlent, vous devez dorénavant prévoir des mesures, dans vos contrats de sous-traitance qui concernent les données personnelles, afin de les protéger.

C’est un contrat par lequel vous faites appel à un prestataire (le sous-traitant) et qui implique le transfert de données personnelles. Par exemple, lorsque vous faites appel à une agence pour vos opérations de  marketing, un service extérieur pour gérer vos salariés ou un expert-comptable qui va gérer les dossiers de vos salariés. Dans ces exemples, il s’agira donc de transfert des données personnelles de vos salariés, de vos clients ou prospects.

Dès lors que vous envoyez à un prestataire des données personnelles, le RGPD vous impose de faire un avenant de protection des données personnelles RGPD à votre contrat d’origine pour intégrer cette protection.

Si vous avez fait votre avenant ou que vous allez le faire, vous avez sûrement vu que vous devez joindre un document décrivant le traitement des données.

Vous allez donc devoir écrire un document que vous allez joindre au contrat et que vous appellerez “ Annexe : descriptions des traitements de données à caractère personnel ”.

Vous devez y faire figurer les buts (finalités) des traitements de données. Par exemple : l’édition de feuille de paie, la gestion des données clients, l'envoi de newsletters). Il faut être précis, par exemple dans le cas d’une prestation d’externalisation de ressources humaines, le prestataire peut traiter les données pour : éditer des feuilles de paie, répondre aux obligations légales de déclaration, gérer l’avancement des salariés, organiser les plannings de travail, etc. Il faut préciser chaque mission pour laquelle le prestataire traite les données.

Ensuite, il faut détailler les catégories de données personnelles traitées. C’est le type de données que le sous-traitant va utiliser. Cela va être par exemple : le nom, le prénom, l’adresse mail, le numéro de sécurité sociale, les diplômes, la date de naissance, etc.

Après cela, vous devez noter les catégories de personnes dont les données sont traitées. Concrètement, c’est les catégories de personnes dont les données vont être utilisées par le sous-traitant. Par exemple : les clients, les salariés, les usagers.
Enfin, vous devez déterminer les catégories de destinataires de données personnelles. Donc dans notre exemple, cela peut être les gestionnaires des ressources humaines, le service comptable, le service juridique, etc. Cela en fonction des missions confiées au prestataire.

Vous pouvez le présenter de la façon suivante, en prenant comme exemple l’externalisation des ressources humaines.

Annexe : descriptions des traitements de données à caractère personnel

Le sous-traitant traite les données personnelles du client dans le cadre du contrat d’externalisation des ressources humaines. Il le fait dans le cadre prévu par cette annexe, l’avenant, ainsi que le contrat d’origine d’externalisation de ressources humaines. Les finalités des traitements sont les suivantes :

  • l’édition des feuilles de paie ;

  • répondre aux obligations légales de déclaration ;

  • gérer l’avancement des salariés ;

  • organiser les plannings de travail.

Les catégories de données traitées sont les suivantes :  

  • les nom et prénom ;

  • l’adresse postale ;

  • le numéro de téléphone ;

  • le mail ;

  • le relevé d’identité bancaire ;

  • le numéro de sécurité sociale.

Les catégories de personnes dont les données sont traitées sont le client et les collaborateurs de la société XX.

Les personnes réceptionnaires des données dans la société sous-traitante sont les gestionnaires des ressources humaines, le service comptable, le service juridique.

Demandez à un avocat

Obtenez une réponse juridique d'un avocat

Avocats À votre écoute Rocket Lawyer

Nombre de caractères restants : 600

Votre question dépasse les 600 caractères autorisés. Veuillez reformuler puis soumettre votre question à nouveau.

Obtenez une réponse