Clauses contractuelles types entre responsable de traitement et sous-traitant
Les traitements de données par un sous-traitant doivent respecter le RGPD et être encadrés par un contrat avec le responsable de traitement. Ce contrat peut être totalement ou partiellement fondé sur des clauses contractuelles types (CCT).
Que sont des clauses contractuelles types entre responsable de traitement et sous-traitant ?
Dans le cadre de la relation entre un responsable du traitement et un ou plusieurs sous-traitants pour le traitement des données personnelles, l’article 28 du RGPD prévoit une série de dispositions relatives à la mise en place d’un contrat spécifique entre les parties, ainsi que des dispositions obligatoires devant figurer dans ce contrat.
Ce contrat peut être fondé, en tout ou en partie, sur des clauses contractuelles types (CCT) qui peuvent être établies par la Commission européenne ou adoptées par une autorité nationale de protection des données.
Depuis 2019, trois autorités européennes de protection des données ont adopté des CCT en matière de sous-traitance sur lesquelles le Comité européen de la protection des données (CEPD) a rendu un avis : l’autorité danoise, l’autorité slovène et l’autorité lituanienne.
Le 4 juin 2021, la Commission européenne a publié, au titre du RGPD et du règlement (UE) 2018/1725, ses clauses contractuelles types (CCT) entre les responsables de traitement et les sous-traitants.
L’annexe contenant les clauses contractuelles types est disponible sur le site de la Commission européenne :
Dans quels cas utiliser les CCT responsable de traitement/sous-traitant ?
Les CCT permettent d’encadrer la relation entre un responsable de traitement et son sous-traitant en intégrant les dispositions obligatoires de l’article 28 du RGPD.
Elles n’ont pas obligatoirement à être utilisées si le contrat entre un responsable de traitement et un sous-traitant contient tous les éléments visés à l’article 28 du RGPD devant y figurer. Toutefois, elles fournissent un support utile pour encadrer la sous-traitance conformément aux exigences du RGPD.
Est-il possible de modifier les CCT ?
Les CCT de la Commission européenne prévoient que les parties s’engagent à ne pas modifier les clauses, sauf en ce qui concerne l’ajout ou la mise à jour d’informations dans les annexes.
Les parties peuvent toutefois inclure les CCT dans un contrat plus large ou ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses ou qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
Ces clauses contractuelles types permettent-elles de transférer des données en dehors de l’Union européenne ?
Non, la Commission européenne précise que ses clauses contractuelles types ne peuvent servir aux fins du chapitre V du RGPD. En cas de transfert, il convient d’utiliser les clauses contractuelles types dédiées.
Pour approfondir
Les textes de référence
- Décision d’exécution de la Commission européenne relative aux clauses contractuelles types du 4 juin 2021 - Commission européenne
- L’avis conjoint du Comité européen de la protection des données (CEPD) et du Contrôleur européen de la protection des données du 14 janvier 2021 - Commission européenne
- Article 28 du RGPD (sous-traitant)
