Vous travaillez avec des freelances, des prestataires et des sous-traitants ? Maintenance informatique, closing, hébergement, développement web, SAV, dans la plupart de ces missions, ces intervenants accèdent tôt ou tard à des données personnelles. Et à cet égard, un chiffre doit immédiatement vous alerter : plus d’un tiers des violations de données déclarées implique un tiers externe à l’entreprise. Votre conformité au Règlement général pour la protection des données (RGPD) ne dépend donc pas uniquement de vos process internes.
Alors, comment encadrer les traitements de données dans vos contrats et éviter les erreurs les plus courantes ? Suivez le guide Infolawyers.
L’essentiel à retenir
Avant tout, vous devez évaluer votre rôle et celui de votre prestataire.
En cas de sous-traitance, l’article 28 du RGPD impose un socle de clauses obligatoires dans vos contrats.
La réutilisation des données par le sous-traitant pour son propre compte ne peut avoir lieu que dans un cadre strict.
La prestation évolue ? Pensez à adapter la clause données personnelles de vos contrats.
Définir les rôles avant d’encadrer le traitement de données dans vos contrats
Avant d’insérer la moindre clause, vous devez déterminer dans quel cadre juridique intervient votre prestataire. Cette qualification conditionne le contenu du contrat, les obligations de chacun, le niveau de sécurité à exiger et la responsabilité encourue en cas de violation du RGPD.
Responsable du traitement ou sous-traitant : ce que dit le RGPD
Selon l’article 4.7 du RGPD, le responsable du traitement est la personne (physique ou morale) qui décide pourquoi des données sont collectées et comment elles seront utilisées : finalités, catégories de données, durée de conservation, base légale, destinataires, outils, etc.
À l’inverse, l’article 4.8 définit le sous-traitant comme celui qui traite les données pour le compte et selon les instructions du responsable du traitement. Il n’a donc aucune autonomie sur les finalités ou sur les moyens essentiels du traitement.
Gardez en tête que la qualité de sous-traitant est une qualification juridique basée sur les faits et uniquement sur les faits. Peu importe ce que vous indiquez dans vos contrats.
Une distinction essentielle pour encadrer le traitement de données dans ses contrats
Le rôle du prestataire détermine le type de clause données personnelles à rédiger. Il influence aussi les mesures de sécurité à lui imposer. Enfin, il modifie la façon dont les responsabilités seront réparties.
Rappelons ici que le non-respect du RGPD peut coûter très cher à votre entreprise. Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Mais l’impact le plus lourd n’est pas toujours financier. Une violation du RGPD peut entacher durablement votre réputation et faire perdre la confiance de vos clients et de vos partenaires. Les coûts de gestion de crise qui en découlent dépassent souvent largement ceux d’une mise en conformité. Un contrat clair et adapté permet d’anticiper les risques, de cadrer les responsabilités et de sécuriser durablement votre activité.
Découvrez notre guide complet pour remplir le registre des traitements RGPD.
En pratique, comment distinguer le responsable du traitement du sous-traitant ?
Sur le papier, la distinction semble évidente. Dans la réalité, beaucoup d’entreprises hésitent : un prestataire peut manipuler vos données sans forcément être votre sous-traitant. Tout dépend de qui décide quoi dans le traitement. Si la question est sensible ou complexe, n’hésitez pas à faire appel à un avocat spécialisé.
En attendant, prenons quelques exemples concrets de sous-traitance qui parlent à toutes les entreprises :
- le closer : il contacte vos prospects en utilisant votre base de données clients. Il ne choisit ni la finalité (vendre vos services), ni les données utilisées, ni la méthode de contact. Son rôle est purement exécutif ;
- l’agence marketing qui envoie une newsletter à vos prospects pour votre compte ne décide pas du message, ni de la cible, ni de la fréquence. Elle met uniquement en œuvre votre stratégie ;
- le service comptable qui réalise votre paie ou votre comptabilité : il traite les données salariales selon vos paramètres et dans un cadre défini par vous.
Dans ces différents cas, les prestataires n’ont aucune autonomie décisionnelle concernant les données personnelles utilisées dans le cadre de la prestation. Ils agissent dans un cadre que vous fixez (finalités, type de données, durée de conservation, moyens essentiels du traitement, etc.). Il s’agit donc de sous-traitants au sens du RGPD.
Bon à savoir : dans le cadre de sa mission, votre prestataire peut également collecter des données et réaliser des traitements pour lesquels il détermine lui-même les finalités et les modalités. Il sera alors considéré comme responsable de ces traitements spécifiques. Notez toutefois qu’une coresponsabilité est possible. Celle-ci apparaît lorsque vous déterminez conjointement avec votre prestataire les finalités et les moyens d’un traitement.
Quelles clauses données personnelles prévoir lorsque votre prestataire est sous-traitant ?
Si votre prestataire traite des données pour votre compte, vous devez intégrer dans votre contrat (ou dans une annexe dédiée) les clauses obligatoires prévues par l’article 28 du RGPD.
L’objectif est que votre prestataire respecte les mêmes règles que vous, de la collecte à la conservation des données.
Pour chaque traitement sous-traité, vous devez indiquer dans le contrat de freelance ou de prestation :
- l’objet, la nature et la durée du traitement ;
- la finalité du traitement ;
- le type de données à caractère personnel concernées ;
- les catégories de personnes concernées par les données ;
- les obligations et droits du responsable de traitement.
Le sous-traitant ne peut intervenir que dans le cadre que vous avez défini. Ce cadre est fixé par vos “instructions documentées”, qui doivent être consignées noir sur blanc dans le contrat.
En application de l’article 28 du RGPD, le contrat doit aussi encadrer les obligations du sous-traitant. Il doit garantir la confidentialité des personnes qui accèdent aux données et mettre en place des mesures de sécurité adaptées. Il ne peut faire appel à un autre sous-traitant qu’avec votre autorisation écrite. Il doit également vous aider à respecter vos obligations (répondre aux droits des personnes concernées, participer à la réalisation d’une analyse d’impact (AIPD) si nécessaire) et supprimer ou restituer les données une fois la mission terminée.
Enfin, le contrat doit vous permettre de vérifier la conformité du sous-traitant, notamment via un droit d’audit.
Bon à savoir : et quand votre prestataire est co-responsable du traitement ?
Comme nous l’avons vu, la co-responsabilité survient lorsque vous décidez ensemble des finalités et des moyens essentiels du traitement. Cette situation apparaît fréquemment dans les projets innovants. Dans ce cas, le RGPD impose un accord de co-responsabilité, qui doit décrire les rôles de chacune des parties et répartir les obligations (information, sécurité, gestion des droits, etc.). Votre contrat doit aussi préciser qui répond aux demandes des personnes concernées et définir les responsabilités de chacun en cas de problèmes.
Découvrez les 5 règles indispensables pour contracter avec vos freelances sans risque.
Un sous-traitant peut-il réutiliser vos données pour son propre compte ?
La réponse intuitive est : “non”. Pourtant, la CNIL a admis qu’une réutilisation peut être possible, mais uniquement dans un cadre extrêmement strict.
Première étape : le test de compatibilité
Le sous-traitant doit d’abord démontrer que le nouveau traitement qu’il envisage :
- reste cohérent avec la finalité initiale ;
- ne crée pas de risque supplémentaire pour les personnes concernées ;
- n’implique pas un changement radical de contexte ;
- inclut des garanties appropriées (pseudonymisation, chiffrement, etc.).
Prenons un exemple simple. Vous utilisez une plateforme d’emailing pour envoyer votre newsletter. Dans ce cadre, le prestataire est sous-traitant. Il envoie vos campagnes pour votre compte, en suivant vos instructions (fichier fourni, message rédigé, date d’envoi). Mais il peut arriver que ce même prestataire souhaite réutiliser certaines données pour améliorer son outil ou développer de nouvelles fonctionnalités destinées à l’ensemble de ses clients. À partir de ce moment-là, il ne traite plus uniquement les données pour votre compte. Il doit donc vérifier que cette nouvelle utilisation reste compatible avec la finalité initiale.
Deuxième étape : l’autorisation écrite du responsable du traitement
Même si le test de compatibilité est satisfaisant, le sous-traitant ne peut pas agir sur sa propre initiative.
Vous devez donner une autorisation écrite, spécifique, délivrée après le test et uniquement pour ce traitement précis.
Votre refus doit être possible à tout moment. Sans cette autorisation, la réutilisation des données est strictement interdite.
Ce qui doit figurer dans vos contrats
Il est recommandé d’encadrer contractuellement ce mécanisme en indiquant :
- les critères utilisés pour le test de compatibilité ;
- la coopération attendue ;
- le formalisme de l’autorisation ;
- la possibilité de refus,
- les conséquences de ce refus.
Ces précautions évitent toute dérive et vous permettent d’anticiper les évolutions technologiques de vos prestataires.
Sécuriser la relation dans la durée : audits, mises à jour et fin de mission
La conformité au RGPD doit être assurée tout au long de la collaboration avec votre prestataire. Cela suppose donc de suivre l’exécution du contrat. Vérifiez régulièrement que vos instructions sont bien respectées, que les mesures de sécurité annoncées existent réellement et que les sous-traitants ultérieurs éventuellement sollicités ont été dûment autorisés.
La conformité doit ensuite évoluer avec la prestation. Dès qu’un nouvel outil est mis en place, qu’une fonctionnalité est ajoutée ou qu’un flux de données change, vos clauses contractuelles et vos instructions doivent être adaptées. Ne laissez jamais un traitement évoluer sans réévaluer son impact. C’est l’une des principales sources de non-conformité observées en cas de contrôle.
Enfin, la fin de mission doit être traitée avec rigueur. Les données doivent être restituées, supprimées ou anonymisées. Les accès doivent être révoqués. La réversibilité vers un nouveau prestataire doit être anticipée. Cette étape est trop souvent négligée, alors qu’elle est l’une des plus sensibles en matière de sécurité.
Notre conseil : conservez systématiquement des preuves de vos actions (contrats signés, annexes mises à jour, échanges écrits, attestations de suppression de données). En cas de contrôle de la CNIL ou de litige avec un tiers, ces documents seront essentiels pour démontrer que vous avez respecté vos obligations.
En résumé, après avoir qualifié correctement vos prestataires, vous devez adapter vos contrats en conséquence. Des clauses précises et un suivi régulier constituent votre meilleure protection face aux risques juridiques, techniques et réputationnels. Le Bouclier 360 d’Infolawyers vous offre un accompagnement juridique complet pour sécuriser durablement votre activité, grâce à des outils adaptés et aux conseils d’avocats spécialisés, dédiés à la croissance de votre activité.
FAQ : comment encadrer le traitement de données dans vos contrats ?
Dois-je signer un contrat de sous-traitance dédié avec tous mes prestataires ?
Non, un contrat de prestation contenant une clause “données personnelles” adaptée suffit dans la majorité des cas.
Comment savoir si mon prestataire est sous-traitant ou responsable du traitement ?
S’il exécute vos instructions, il est sous-traitant. S’il décide des finalités ou des moyens essentiels, il est responsable du traitement. Et si vous décidez ensemble, vous êtes co-responsables.
Quelles clauses sont indispensables avec un sous-traitant ?
Vous devez définir le traitement en détail, encadrer strictement vos instructions, prévoir la sécurité, la confidentialité, l’assistance RGPD, les conditions de sous-traitance ultérieures et les règles de fin de mission.
Un sous-traitant peut-il réutiliser mes données ?
En principe non. Une réutilisation n’est possible que si un test de compatibilité est réalisé et que vous donnez une autorisation écrite spécifique.
Dois-je mettre à jour mes contrats si la prestation évolue ?
Oui, toute évolution ayant un impact sur les données doit entraîner une mise à jour immédiate de vos clauses contractuelles.
