Contrats de traitement de données : trucs & astuces.

Ecrit par Anouk Focquet - Eline Declerck, Constrast, www.contrast-law.be
Photo: Josh Hallett  

Ce que vous devez savoir.

L'article 28 du RGPD exige qu'un responsable du traitement et un sous-traitant (voir GDPR Toolkit 09) concluent un contrat de traitement des données. Les entreprises ne peuvent faire appel qu’à des sous-traitants qui offrent des mesures techniques et organisationnelles, appropriées et suffisantes, pour assurer la conformité du traitement avec le RGPD. Ces mesures doivent faire l'objet d'un contrat.

Le RGPD ne détermine pas la forme sous laquelle l'accord doit être conclu pour autant qu’il s’agisse d'un document juridiquement contraignant (selon le droit national). Les sous-traitants qui ont des milliers de clients ont souvent recours à des conditions imposées unilatéralement qu'ils rendent accessibles sur leur site Web.

Il est important de garder à l'esprit qu'il peut également exister une relation responsable / sous-traitant entre les différentes entités d'un groupe de sociétés. Dans ce contexte, les contrats nécessaires doivent également être conclus conformément à l'article 28 du RGPD.

Ce que vous devez faire.

Lors de la rédaction et/ou la révision d'un contrat de traitement de données (imposé unilatéralement), il est important de vérifier que le contrat contienne toutes les dispositions obligatoires prescrites par l'article 28 du RGPD.

Afin de s’assurer que l'accord sur le traitement des données est également un document opérationnel en pratique, nous formulons généralement les recommandations suivantes :

  • La description détaillée de l'activité ou des activités de traitement (à savoir, la durée, la nature, les finalités, les catégories de personnes concernées et les données à caractère personnel,...) doit de préférence figurer dans une annexe afin de pouvoir être modifiée facilement.
  • Afin d'éviter que le responsable du traitement n'ait à donner son consentement préalable pour chaque remplacement d'un sous-processeur, un consentement général peut être donné sous réserve de certaines conditions, telles que l’exigence qu'il s'agisse de sous-processeurs ayant un profil similaire, situés dans l'EEE.
  • Il y a souvent des clauses stipulant que les parties se conformeront à toutes les lois, directives, codes de conduite, etc. applicables dans les juridictions concernées. Ces clauses sont difficiles à mettre en œuvre dans la pratique, surtout à l’égard des sous-traitants. Nous recommandons donc d'exiger que le responsable du traitement informe le sous-traitant de toute législation nationale obligatoire qui lui est applicable en raison du traitement.
  • Dans le cas d'un groupe de sociétés, il est utile d'inclure une clause en faveur d'un tiers, ce qui permet d’éviter que chaque entité du groupe ne doive conclure un accord de traitement de données séparé avec des parties tierces.
  • Enfin, pour les activités de traitement au sein d’un groupe de sociétés, il est utile d'élargir le champ d'application du contrat pour couvrir chaque forme de transfert intragroupe de données à caractère personnel. Un tel accord contient alors dans son annexe un accord sur le traitement des données, une division des tâches pour les activités de traitement conjointes et les clauses contractuelles types pour les transferts hors EEE. La société mère est souvent autorisée à admettre de nouvelles entités et à conclure des accords de traitement avec des tiers.