051 – Les éléments du contrat de sous-traitant

En cas de recours à un sous-traitant dans la mise en œuvre d’un traitement de données personnelles, le contrat doit contenir une clause relative à la protection des données

En cas de sous-traitance, le responsable de traitement doit faire appel uniquement à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du GDPR.

La relation avec un sous-traitant est régie par un contrat qui prévoit l’objet, la durée, la finalité du traitement et les obligations des parties. Il doit par ailleurs contenir (liste non exhaustive) :

  • Les obligations des parties en matière de confidentialité des données personnelles confiées ;
  • Le fait que le sous-traitant ne peut agir que sur instructions documentées du responsable de traitement
  • Les contraintes minimales en matière d’authentification des utilisateurs ;
  • Les conditions de restitution et/ou de destruction des données en fin du contrat ;
  • Les règles de gestion et de notification des incidents. Celles-ci devraient comprendre une information du responsable de traitement en cas de découverte de faille de sécurité ou d’incident de sécurité et cela dans les plus brefs délais lorsqu’il s’agit d’une violation de données à caractère personnel.

Ce contrat doit également prévoir que le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au GDPR, pour permettre la réalisation d’audits et inspections par le responsable du traitement ou un autre auditeur qu’il a mandaté et contribuer à ces audits.

Enfin, le sous-traitant doit veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation de confidentialité légale appropriée.