Clauses contractuelles types entre responsable de traitement et sous-traitant

30 juin 2021

Les traitements de données par un sous-traitant

sous\-traitant

Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation. Les sous-...> En savoir plus

doivent respecter le RGPD et être encadrés par un contrat avec le responsable de traitement

responsable de traitement

Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la pers...> En savoir plus

. Ce contrat peut être totalement ou partiellement fondé sur des clauses contractuelles types

clauses contractuelles types

Il s’agit de modèles de clauses contractuelles adoptés par la Commission européenne permettant d’encadrer les transferts de données personnelles effectués par des responsables de traitement vers des destinataires situés hors de l’Union européenne. El...> En savoir plus

(CCT).

Que sont des clauses contractuelles types

clauses contractuelles types

Il s’agit de modèles de clauses contractuelles adoptés par la Commission européenne permettant d’encadrer les transferts de données personnelles effectués par des responsables de traitement vers des destinataires situés hors de l’Union européenne. El...> En savoir plus

entre responsable de traitement

responsable de traitement

Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la pers...> En savoir plus

et sous-traitant

sous\-traitant

Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation. Les sous-...> En savoir plus

 ?

Dans le cadre de la relation entre un responsable du traitement et un ou plusieurs sous-traitants pour le traitement des données personnelles, l’article 28 du RGPD prévoit une série de dispositions relatives à la mise en place d’un contrat spécifique entre les parties, ainsi que des dispositions obligatoires devant figurer dans ce contrat.

Ce contrat peut être fondé, en tout ou en partie, sur des clauses contractuelles types (CCT) qui peuvent être établies par la Commission européenne ou adoptées par une autorité nationale de protection des données.

Depuis 2019, trois autorités européennes de protection des données ont adopté des CCT en matière de sous-traitance sur lesquelles le Comité européen de la protection des données (CEPD) a rendu un avis : l’autorité danoise, l’autorité slovène et l’autorité lituanienne.

Le 4 juin 2021, la Commission européenne a publié, au titre du RGPD et du règlement (UE) 2018/1725, ses clauses contractuelles types (CCT) entre les responsables de traitement et les sous-traitants.

L’annexe contenant les clauses contractuelles types est disponible sur le site de la Commission européenne :

 

Dans quels cas utiliser les CCT responsable de traitement/sous-traitant ?

Les CCT permettent d’encadrer la relation entre un responsable de traitement et son sous-traitant en intégrant les dispositions obligatoires de l’article 28 du RGPD.

Elles n’ont pas obligatoirement à être utilisées si le contrat entre un responsable de traitement et un sous-traitant contient tous les éléments visés à l’article 28 du RGPD devant y figurer. Toutefois, elles fournissent un support utile pour encadrer la sous-traitance conformément aux exigences du RGPD.

Est-il possible de modifier les CCT ?

Les CCT de la Commission européenne prévoient que les parties s’engagent à ne pas modifier les clauses, sauf en ce qui concerne l’ajout ou la mise à jour d’informations dans les annexes.

Les parties peuvent toutefois inclure les CCT dans un contrat plus large ou ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses ou qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

Ces clauses contractuelles types permettent-elles de transférer des données en dehors de l’Union européenne ?

Non, la Commission européenne précise que ses clauses contractuelles types ne peuvent servir aux fins du chapitre V du RGPD. En cas de transfert, il convient d’utiliser les clauses contractuelles types dédiées.