RGPD : Quelles clauses prévoir dans les contrats de prestation des sous-traitants portés ?


Le nouveau Règlement Général pour la Protection des données renforce considérablement la responsabilité d’un sous-traitant en portage salarial amené à manipuler des données personnelles pour le compte d’un client. Le devis signé est-il un document suffisant pour garantir les responsabilités de chacun ?

Sources : gouvernement.fr ; CNIL.fr

Un contrat des prestations avec des clauses spécifiques obligatoires

Webmaster porté, digital marketeur en portage salarial, consultant informatique porté … les sous-traitants impliqués dans la gestion de données personnelles sont nombreux en portage salarial. Beaucoup d’entre eux formalisent leur prestation avec un client par la signature d’un devis, moins protecteur qu’un contrat de prestations.

Désormais, un contrat de prestations entre le sous-traitant qui gère des données personnelles et le client responsable du traitement des données doit être rédigé et mentionner des clauses spécifiques liées à la protection des données personnelles et aux responsabilités de chaque partie.

Quelles clauses prévoir ?

Le site gouvernement.fr dresse une liste exhaustive des informations à intégrer dans le contrat de prestation du sous-traitant porté. Le contrat doit définir clairement « l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, les obligations et droits du responsable du traitement ».

Les clauses doivent être rédigées avec le client responsable des données. Il lui revient de préciser la nature de la gestion des données (objet, finalité, catégories de personnes concernées par le traitement) qu’il confie à son prestataire porté.

Le contrat doit également stipuler les obligations auxquelles est soumis le sous-traitant vis-à-vis de son client. Quelques points à respecter :

  • Le sous-traitant s’engage à ne traiter des données personnelles que sur « instructions documentées » du client.
  • Il doit garantir la confidentialité et la sécurité des données.
  • Le principe de la protection des données dès la conception et par défaut. En clair, cette mention implique qu’un projet de site par exemple, doit prévoir dès sa conception toutes les mesures nécessaires à la protection des données personnelles.
  • Le sous-traitant devra également tenir un registre qui détaille les traitements réalisés et aider le client dans la gestion des droits des personnes : effacement, rectification, portabilité. Il est dans l’obligation de démontrer le respect du RGPD dans le cadre de sa prestation en produisant un document.

Le contrat de prestations doit aussi préciser les règles d’effacement, d’archivage ou de restitution des données traiter à la fin de la mission.

Quelles obligations en cas de sous-traitance de second rang ?

Si un prestataire en portage salarial fait appel à un sous-traitant interne à sa société de portage ou externe pour la réalisation d’une partie de sa prestation, alors il doit faire une demande d’autorisation écrite à son client. Attention, il est responsable d’une éventuelle erreur réalisée par son sous-traitant…

Pour connaître dans le détail vos obligations en tant que sous-traitant, téléchargez ici le guide du sous-traitant de la CNIL.


À lire également :

Protection des données : les portés salariés concernés par le RGPD

Prestataires portés : 4 conseils pour vous mettre en conformité avec le RGPD


© Illustration : kotoyamagami - Fotolia

 

Retour