Le contrat de sous-traitance RGPD, aussi appele DPA (Data Processing Agreement), est un document obligatoire entre tout responsable de traitement et ses sous-traitants. En 2025, voici les clauses indispensables et un modele pour securiser vos relations avec vos prestataires.
Pourquoi un contrat de sous-traitance est obligatoire
L’article 28 du RGPD impose que le traitement de donnees par un sous-traitant soit regi par un contrat ou un acte contraignant. Ce contrat doit definir l’objet et la duree du traitement, sa nature et sa finalite, le type de donnees et les categories de personnes concernees, ainsi que les obligations et droits du responsable de traitement. Sans ce contrat, les deux parties sont en situation de non-conformite.
Les clauses obligatoires de l’article 28
Le RGPD impose des clauses minimales que tout DPA doit contenir. Le sous-traitant doit s’engager a : ne traiter les donnees que sur instruction documentee du responsable de traitement, garantir la confidentialite des personnels ayant acces aux donnees, prendre les mesures de securite appropriees, respecter les conditions de recours a un sous-traitant ulterieur, aider le responsable de traitement a repondre aux demandes de droits des personnes.
Clause 1 : Objet et perimetre du traitement
Definissez precisement : la nature du service fourni (hebergement, maintenance, envoi d’emails, paie externalisee), les types de donnees traitees (identite, coordonnees, donnees de sante, donnees bancaires), les categories de personnes concernees (clients, salaries, prospects) et la duree du traitement. Plus cette clause est precise, moins il y aura de zone grise en cas de litige.
Clause 2 : Instructions du responsable de traitement
Le sous-traitant ne doit traiter les donnees que conformement aux instructions documentees du responsable de traitement. Il doit informer le responsable si une instruction lui semble contraire au RGPD. Prevoyez un mecanisme de transmission des instructions (annexe technique, plateforme dediee) et la possibilite de les mettre a jour.
Clause 3 : Securite et confidentialite
Detaillez les mesures de securite que le sous-traitant s’engage a mettre en oeuvre : chiffrement, controle d’acces, sauvegardes, plan de continuite. Exigez un engagement de confidentialite pour toute personne amenee a manipuler les donnees. Prevoyez un droit d’audit pour verifier la mise en oeuvre effective de ces mesures.
Clause 4 : Sous-traitance ulterieure
Le sous-traitant ne peut pas faire appel a un autre sous-traitant (sous-traitant ulterieur) sans votre autorisation ecrite prealable. Deux options : autorisation specifique (pour chaque nouveau sous-traitant) ou autorisation generale (le sous-traitant vous informe et vous pouvez vous y opposer). Le sous-traitant ulterieur doit etre soumis aux memes obligations que le sous-traitant initial.
Clause 5 : Assistance et cooperation
Le sous-traitant doit vous assister pour repondre aux demandes de droits des personnes, pour les notifications de violations, pour la realisation d’AIPD et pour les consultations prealables de la CNIL. Definissez les delais de reponse et les modalites de cooperation. Prevoyez egalement l’assistance en cas de controle de la CNIL.
Clause 6 : Sort des donnees en fin de contrat
A la fin de la relation contractuelle, le sous-traitant doit, au choix du responsable de traitement, restituer toutes les donnees puis les supprimer, ou les supprimer directement. Prevoyez un delai pour la restitution (30 jours par exemple) et exigez un certificat de destruction. Cette clause evite que vos donnees restent chez un ancien prestataire.
Clause 7 : Transferts hors UE
Si le sous-traitant est situe hors de l’Union europeenne ou utilise des infrastructures hors UE, le DPA doit integrer les garanties appropriees : clauses contractuelles types (CCT) de la Commission europeenne, decision d’adequation ou autres mecanismes prevus par le RGPD. Identifiez clairement les pays concernes et les mesures supplementaires si necessaire.
Conclusion
Le contrat de sous-traitance est la pierre angulaire de la securite de vos donnees personnelles confiees a des tiers. En 2025, ne signez aucun contrat de prestation impliquant des donnees personnelles sans un DPA conforme a l’article 28 du RGPD. Utilisez un modele complet et adaptez-le a chaque relation pour une protection optimale.
