L’une des obligations principales du Règlement Général sur la Protection des Données est d’encadrer les relations entre responsables de traitement et sous-traitants, si des données personnelles sont transférées entre ceux-ci.

Il est donc nécessaire de faire un audit des contrats existants, pour s’assurer que les clauses adéquates y figurent.

A défaut, un avenant doit être signé pour les y intégrer. Nous pouvons vous assister pour vérifier votre conformité au RGPD et pour rédiger ou négocier les avenants à vos contrats en cas de besoin.

Il existe des spécificités en cas de transfert de données personnelles hors de l’Union Européenne.

L’Article 28 du RGPD indique les mentions qui doivent obligatoirement figurer dans tous les contrats entre les responsables de traitement et les sous-traitants :

• L’obligation du sous-traitant de se conformer aux instructions du responsable de traitement, et l’interdiction de traiter les données en l’absence d’instructions.
• L’obligation de respecter la confidentialité.
• Le détail des mesures de sécurité à mettre en œuvre.
• Les conditions pour faire appel à un sous-traitant ultérieur.
• L’assistance à fournir par le sous-traitant au responsable de traitement, en cas de demande d’exercice de ses droits par une personne physique.
• L’assistance apportée par le sous-traitant au responsable de traitement pour respecter ses obligations au titre du RGPD.
• L’obligation de suppression ou de renvoi des données personnelles.
• La fourniture de toutes les informations utiles au responsable de traitement par le sous-traitant.

Il est donc nécessaire de détailler de manière très précise l’étendue des obligations de chaque partie.

En cas de contrôle de la CNIL, ces informations devront être présentées sur demande.

Le non-respect de ces obligations est susceptible de justifier la mise en œuvre des sanctions prévues au RGPD.

La ressource principale reste le site de la CNIL.

Des clauses de sous-traitance type ont été rédigées par les juristes de la CNIL et sont disponibles à l’adresse suivante : https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses

Elles peuvent s’adapter à la plupart des traitements de données personnelles non sensibles et proposent diverses options de répartition des responsabilités et engagements.

Il convient donc, a minima, de rédiger un avenant à vos contrats pour y intégrer ces éléments.

Si la relation de sous-traitance entraîne le transfert de données personnelles hors de l’Union Européenne, ce contrat peut être soumis à des conditions particulières.

La Commission Européenne a prévu que dans ce cas, et sauf si le tiers installé hors de l’UE fait partie d’un pays disposant d’une protection en matière de données personnelles considérée comme adéquate, il est nécessaire de conclure les clauses contractuelles types.

Cela n’est pas nécessaire pour les prestataires installés aux Etats-Unis s’ils sont titulaires de la certification Privacy Shield.

Elles doivent être complétées et signées sur le modèle fourni par la Commission Européenne, et disponible sur le site de la CNIL : https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne

Toute modification de ces clauses contractuelles types est soumise à l’accord préalable de la CNIL.

Il est désormais presque impossible, pour toute entreprise, de se passer d’une phase de développement informatique. Qu’il s’agisse d’un site internet, d’un logiciel métier ou d’un service SaaS, il est parfois difficile de procéder à ces développements en interne. Vous devez donc faire appel à un prestataire informatique, ou un développeur.

Nous voyons trop souvent des cas où le processus de développement n’a pas été clairement défini, ce qui entraîne des contestations à la livraison, ou au paiement, si les livrables ne correspondent pas en tous points à vos demandes. De même, il n’est souvent rien prévu pour la cession des droits de propriété intellectuelle sur les développements.

Il est donc préférable de conclure un contrat de prestations régissant ces diverses problématiques. Cet article n’a pas vocation à être exhaustif mais plutôt à promouvoir de bonnes pratiques contractuelles.

Le contenu du contrat de développement informatique peut varier selon les cas, mais des clauses communes s’y retrouvent généralement :

• Planning des développements : le planning peut être ferme ou plus large, mais il est préférable de l’inclure pour éviter que les développements dépassent les délais convenus.
• Contenu des développements et livrables : il est essentiel que le contenu des développements soit détaillé au sein d’une annexe spécifique précise (un cahier des charges, une proposition commerciale, etc).
• Procédure de validation des livrables (« recette ») : cette procédure prévoit le délai au cours duquel le client peut transmettre ses réserves, puis le délai de correction par le prestataire. Il est également possible de prévoir une limite de nombre de présentations en recette, si les développements ne sont pas satisfaisants.
• Étendue des obligations des parties : obligations de résultat, obligation de moyens, cette dernière n’étant pas recommandée pour le client.
• Paiement : paiement au forfait, paiement au jour, échéancier de paiement, retard de paiement. Une annexe financière peut également être prévue (proposition commerciale, conditions financières).
• Cession de la propriété intellectuelle : voir ci-après pour plus d’informations.
• Garanties du développeur quant à l’absence de contrefaçon au sein des livrables.
• Confidentialité.
• Responsabilité des parties : il convient de s’assurer que la responsabilité du développeur n’est pas trop limitée.
• Résiliation pour faute : ceci permet de mettre fin au contrat si les développements ne se passent pas comme prévue.
• Gestion des litiges et droit applicable (notamment en cas de contrat non franco-français).

Des clauses spécifiques peuvent également être ajoutées selon les particularités du projet (maintenance, données personnelles, etc).

Le code informatique, qu’il s’agisse de celui qui compose un site web, un logiciel, ou tout autre développement, mais également l’interface, sont susceptibles d’être protégés par le droit d’auteur.

Si vous commandez un développement, quel qu’il soit, il convient de vous assurer que sa propriété intellectuelle vous soit bien transférée.

Le code de la propriété intellectuelle, en son Article L131-3, indique qu’en l’absence de cession du droit d’auteur par contrat, en respectant un formalisme spécifique, le développeur reste titulaire de tous les droits sur les développements. De manière très simplifiée, le contrat doit inclure :

• Le détail des droits cédés.
• La durée de la cession.
• Le territoire de la cession.
• Le prix de la cession.
• La destination des droits cédés.

A défaut, les droits de propriété intellectuelle ne sont pas cédés.

En conséquence, si aucune clause de cession de propriété intellectuelle ne figure au sein de votre contrat, ou si la clause est mal rédigée, vous ne serez pas propriétaire de vos développements. Ceci pourra avoir un impact sur votre activité future. Vous pourriez en effet être condamné pour contrefaçon, et perdre le droit d’usage des développements que vous avez payé. En cas de levée de fonds, les investisseurs potentiels souhaiteront également s’assurer que vous êtes titulaires des droits. A défaut, ceci pourra entraîner des retards, ou même être un obstacle à l’investissement.

Il est donc fortement conseillé, pour votre tranquillité d’esprit et l’assurance de pouvoir disposer de la pleine jouissance de vos développements, de traiter cette problématique dès la phase contractuelle initiale, avant le début des prestations.

En cas de besoin, n’hésitez pas à nous contacter. Nous disposons d’une expertise importante en matière de rédaction de contrats de prestations informatiques et pourrons vous assister.