Comment mettre mes contrats en conformité avec le RGPD ?

L'une des obligations principales du Règlement Général sur la Protection des Données est d'encadrer les relations entre responsables de traitement et sous-traitants, lorsque des données personnelles sont transférées entre eux. Il est donc nécessaire de faire un audit des contrats existants pour s'assurer que les clauses adéquates y figurent. À défaut, un avenant doit être signé pour les y intégrer.

Quelles clauses doivent figurer dans un DPA ?

L'article 28 du RGPD indique les mentions qui doivent obligatoirement figurer dans tous les contrats entre responsables de traitement et sous-traitants :

• L'obligation du sous-traitant de se conformer aux instructions du responsable de traitement, et l'interdiction de traiter les données en l'absence d'instructions.
• L'obligation de respecter la confidentialité.
• Le détail des mesures de sécurité à mettre en œuvre.
• Les conditions pour faire appel à un sous-traitant ultérieur.
• L'assistance à fournir par le sous-traitant au responsable de traitement, en cas de demande d'exercice de ses droits par une personne physique.
• L'assistance du sous-traitant pour les obligations de sécurité et de notification.
• L'obligation de suppression ou de renvoi des données personnelles en fin de contrat.
• La fourniture de toutes les informations utiles au responsable de traitement.

Il est nécessaire de détailler de manière très précise l'étendue des obligations de chaque partie. En cas de contrôle de la CNIL, ces informations devront être présentées sur demande. Le DPA figure généralement en annexe du contrat SaaS. Pour les enjeux liés aux sous-traitants, consultez l'article sur la sous-traitance en SaaS.

Quelles ressources pour la mise en conformité ?

La ressource principale reste le site de la CNIL. Des clauses de sous-traitance type ont été rédigées par les juristes de la CNIL et sont disponibles à l'adresse suivante : https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses. Elles peuvent s'adapter à la plupart des traitements de données personnelles non sensibles et proposent diverses options de répartition des responsabilités.

Les transferts de données hors de l'Union Européenne

Si la relation de sous-traitance entraîne le transfert de données personnelles hors de l'Union Européenne, des conditions particulières s'appliquent. Depuis l'invalidation du Privacy Shield par la CJUE (arrêt Schrems II, 16 juillet 2020), le mécanisme principal de transfert repose sur les clauses contractuelles types (SCCs) adoptées par la Commission européenne en juin 2021. Pour les transferts vers les États-Unis, le Data Privacy Framework (DPF) adopté en juillet 2023 constitue une base de transfert alternative, sous réserve que le destinataire américain y soit certifié.

Il est recommandé de réaliser une évaluation d'impact du transfert (Transfer Impact Assessment) pour s'assurer que le niveau de protection dans le pays de destination est adéquat. Pour une vue d'ensemble des clauses à prévoir, consultez le guide de contractualisation SaaS.

Conclusion

La mise en conformité RGPD de vos contrats n'est pas un exercice théorique. C'est une obligation vérifiée par la CNIL et par vos clients. Un DPA conforme à l'article 28 et des mécanismes de transfert à jour vous évitent des sanctions et renforcent la confiance de vos partenaires. Si vous souhaitez auditer vos contrats, prenez rendez-vous.

‍