Dans cette série d’articles, nous plongerons plus profondément dans les contrats de sous-traitance et les éléments que les entreprises doivent prendre en compte lors de leur rédaction ou de leur révision. Dans notre premier article de blog, nous présenterons les éléments essentiels qu’un contrat de sous-traitance doit inclure, conformément au Règlement général sur la protection des données (RGPD) de l’Union européenne et à la Loi fédérale suisse sur la protection des données (LPD). Dans le deuxième article de blog, nous discuterons des clauses typiques et des pièges courants, et nous vous montrerons comment formuler des ajouts utiles à votre contrat de sous-traitance.
Un contrat de sous-traitance est crucial pour garantir la conformité aux réglementations en matière de protection des données. Il établit les termes et conditions de partage des données personnelles avec des prestataires de services externes, garantit la sécurité des données et clarifie les responsabilités dans le traitement des données personnelles.
Quand ai-je besoin d’un contrat de sous-traitance ?
L’adoption d’un contrat de sous-traitance est nécessaire chaque fois qu’une entreprise engage un prestataire de services pour le traitement de données personnelles en son nom et pour son compte. En termes simples, chaque fois qu’une entreprise engage une autre entreprise à des fins de traitement de données en son nom et pour son compte (par exemple, lorsqu’elle transfère des données personnelles à un prestataire de services), un contrat de sous-traitance ou des arrangements contractuels équivalents sont généralement nécessaires pour la conformité à la protection des données.
Dans ce sens, l’objectif principal d’un contrat de sous-traitance est de définir les règles sur lesquelles repose le partage des données et de fournir des garanties concrètes concernant la mise en œuvre de mesures techniques et organisationnelles robustes.
Des exemples typiques d’utilisation de prestataires de services nécessitant un contrat de sous-traitance sont :
- Les solutions logicielles en tant que service (SaaS) telles que les outils de marketing, de newsletter ou de comptabilité ;
- Les outils de CRM basés sur le cloud et les services d’hébergement ;
- Les centres de paie et de service client externes ;
- La maintenance externe des serveurs et des ordinateurs ;
- Les agences externes en ventes, marketing ou RH si elles ont accès aux données personnelles de votre entreprise.
Vous n’avez généralement pas besoin d’un contrat de sous-traitance dans les situations suivantes :
- Lorsque vous travaillez avec des professionnels tenus au secret professionnel par la loi, tels que les avocats, les auditeurs et les médecins d’entreprise externes ;
- Lorsque vous impliquez des agences de recouvrement de créances dans la cession de dettes ;
- Lorsque vous utilisez des prestataires de services bancaires pour les transferts d’argent ou des services postaux pour le transport de lettres ou de marchandises.
Les types de relations régis par un contrat de sous-traitance
Il est important de comprendre les types de relations qui peuvent être régis par un contrat de sous-traitance, ainsi que les différents rôles que les entreprises peuvent jouer lorsqu’elles partagent des données personnelles avec des tiers. Les contrats de sous-traitance peuvent régir essentiellement deux types de relations :
- Relation responsable du traitement – sous-traitant : Cette relation se produit lorsque l’entreprise (le responsable du traitement) engage un prestataire de services tiers (le sous-traitant) pour gérer des activités de traitement de données en son nom et conformément à ses instructions, par exemple, si une entreprise externalise le traitement de sa paie à un prestataire de services externe.
- Relation sous-traitant – sous-sous-traitant : Dans certains cas, un sous-traitant peut engager une autre entité ou entreprise (sous-sous-traitant) pour l’aider dans les activités de traitement de données. Par exemple, un service d’hébergement cloud (sous-traitant) pourrait utiliser un service de sauvegarde de données tiers (sous-sous-traitant).
Les composantes essentielles d’un contrat de sous-traitance
La section suivante détaillera les composantes spécifiques qu’un contrat de sous-traitance conforme au RGPD et à la LPD doit inclure.
L’engagement contraignant du sous-traitant aux détails
Un des aspects fondamentaux d’un contrat de sous-traitance est son rôle consistant à lier le (sous-)traitant à des conditions spécifiques concernant le traitement des données. Dans ce sens, à la fois le RGPD et la LPD définissent un ensemble central d’éléments obligatoires qui doivent être inclus dans un accord entre le responsable du traitement et le sous-traitant.
Commencez par le RGPD, vous devez inclure les sujets suivants dans votre contrat de sous-traitance :
- L’objet et la durée du traitement, la nature et la finalité du traitement ;
- Les types de données personnelles concernées et les catégories de personnes concernées ;
- Les droits et obligations du responsable du traitement. Le sous-traitant ne peut traiter les données personnelles que sur instruction documentée du responsable du traitement. Les personnes autorisées à traiter les données personnelles sont tenues à une obligation de confidentialité ;
- Les mesures techniques et organisationnelles mises en place pour assurer la sécurité et l’intégrité des données personnelles ;
- Le fait que le sous-traitant ne peut pas engager un autre (sous-)traitant sans l’autorisation écrite préalable spécifique ou générale du responsable du traitement ;
- Le sous-traitant doit aider le responsable du traitement à répondre aux demandes d’exercice des droits des personnes concernées, ainsi qu’à garantir la sécurité des données personnelles et les obligations de notification en cas de violation des données ;
- Qu’au choix du responsable du traitement, le sous-traitant doit supprimer ou restituer toutes les données personnelles à la fin des services liés au traitement ;
- Le sous-traitant doit mettre à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations découlant du droit de la protection des données, ainsi que permettre les audits du responsable du traitement.
Ces éléments servent de fondement pour établir la transparence et la responsabilité entre le responsable du traitement des données et le (sous-)traitant. Ils définissent des attentes claires et des limites sur la manière dont les données personnelles doivent être traitées, garantissant qu’elles ne sont utilisées que dans un but précis et dans des paramètres définis.
Il est également important de noter que contrairement au RGPD, il n’est pas obligatoire d’avoir un contrat de sous-traitance formel en vertu de la LPD suisse. Dans ce cas, les responsables du traitement et les sous-traitants ont plus de liberté pour déterminer le contenu des clauses qui régiront leurs activités de traitement des données. Cependant, la LPD exige qu’au minimum, les parties concernées déterminent :
- Les données personnelles qui doivent être traitées ;
- Les procédures de notification (en particulier en ce qui concerne les violations de données) ;
- Les clauses liées à la sous-traitance ; et
- Les mesures techniques et organisationnelles mises en place pour garantir la sécurité des données personnelles.
Outre ce contenu nécessaire, nous tenons à souligner les parties importantes suivantes d’un contrat de sous-traitance, car elles sont généralement très discutées entre les responsables du traitement et les sous-traitants.
Contact avec les personnes concernées et les autorités de contrôle
Les contrats de sous-traitance doivent détailler la gestion des demandes des personnes concernées, ainsi que la coopération avec les autorités de contrôle en cas de violations de données ou d’investigations.
Généralement, seul le responsable du traitement est tenu de répondre aux personnes concernées et aux autorités de contrôle. Dans ce cas, le contrat de sous-traitance doit clairement définir que le sous-traitant ne doit pas fournir de réponse directe à l’une ou l’autre, tout en informant également le responsable du traitement s’il est notifié, dans un délai déterminé (la bonne pratique ici est de 24 à 48 heures). Enfin, le contrat de sous-traitance doit également prévoir que le sous-traitant coopérera avec le responsable du traitement afin de remplir ses obligations envers les personnes concernées et les autorités en cas de violations de données.
En pratique, cela signifie que le contrat de sous-traitance doit spécifier les points de contact et les délais de réponse aux demandes des personnes concernées, ainsi que les mécanismes de notification et les délais pour informer les autorités des violations de données.
Garantir une protection équivalente dans les relations avec les sous-sous-traitants
Les relations de sous-sous-traitance peuvent introduire des complexités et des risques supplémentaires, ce qui rend essentiel d’établir un cadre clair. Sans ces garanties supplémentaires, les données personnelles peuvent être exposées à une protection insuffisante lorsqu’elles sont transmises aux sous-sous-traitants.
Dans ce sens, voici les principaux points à prendre en considération :
- Un sous-traitant ne peut engager un sous-sous-traitant qu’avec l’autorisation écrite du responsable du traitement. Cela peut être fait au cas par cas ou par le biais d’une autorisation générale préalable dans le contrat de sous-traitance. Si une autorisation générale est adoptée, le sous-traitant doit néanmoins informer le responsable du traitement s’il a l’intention de changer l’un de ses sous-sous-traitants, donnant ainsi au responsable du traitement la possibilité de s’opposer à de tels changements ;
- Lorsqu’il engage un sous-sous-traitant, les mêmes obligations de protection des données énoncées dans le contrat de sous-traitance avec le responsable du traitement, ainsi que les lois applicables en matière de protection des données, doivent être imposées au sous-sous-traitant.
Il est également important de garder à l’esprit que dans les scénarios de sous-traitance, le sous-traitant demeure pleinement responsable envers le responsable du traitement en cas de non-respect des obligations par le sous-sous-traitant.
De cette manière, les lois sur la protection des données garantissent que les données restent constamment protégées tout au long de la chaîne de traitement. Cela empêche toute affaiblissement des normes de protection des données lors de l’implication de parties supplémentaires dans le flux de traitement des données.
Transferts des données vers des pays tiers
Dans le domaine des transferts internationaux de données personnelles, il est impératif pour les entreprises de comprendre que les données personnelles ne peuvent être transférées vers des pays tiers (pays situés en dehors de l’UE/EEE ou de la Suisse respectivement) que dans des circonstances spécifiques énoncées à la fois dans le RGPD et dans la LPD.
Ainsi, lorsqu’une entreprise envisage un prestataire de services situé dans un pays tiers, la première étape consiste à déterminer si une décision d’adéquation existe. Cette décision signifie que les normes de protection des données dans le pays destinataire sont considérées comme équivalentes à celles de l’UE ou de la Suisse, garantissant ainsi un niveau de protection adéquat et une libre circulation des données. Certains de ces pays incluent, par exemple, les États-Unis (actuellement, du point de vue de l’UE/RGPD uniquement), le Canada (uniquement en ce qui concerne le secteur privé), Israël et le Royaume-Uni, parmi les plus connus.
Cependant, dans les cas où aucune décision d’adéquation n’existe, les entreprises doivent adopter des clauses contractuelles types en tant qu’annexe au contrat de sous-traitance. Ces clauses contractuelles, notamment fournies par la Commission européenne et acceptées par les autorités suisses, servent de garanties pour garantir que les données transférées bénéficient d’un niveau de protection équivalent à celui de l’UE et de la Suisse. Il est également important de lier les sous-traitants pour les amener à inclure ces clauses dans leurs contrats de sous-traitance avec leurs sous-sous-traitants afin de garantir une protection adéquate tout au long de la chaîne de traitement.
Conclusion
En conclusion, l’utilisation et la compréhension des contrats de sous-traitance de la manière correcte constituent une étape clé pour la conformité à la protection des données lors de la collaboration avec des prestataires de services externes. En comprenant ces éléments fondamentaux des contrats de sous-traitance, les entreprises peuvent établir un cadre solide pour le partage sécurisé des données :
- Les contrats de sous-traitance doivent être adoptés chaque fois qu’une entreprise engage une autre entreprise à des fins de traitement de données en son nom ;
- Dans un contrat de sous-traitance, lier le sous-traitant à des conditions spécifiques est fondamental. Cela inclut la définition de l’objet, de la durée, des types de données personnelles et des mesures de sécurité pour le traitement ;
- Les contrats de sous-traitance doivent également réglementer les contacts avec les personnes concernées et les autorités de régulation, ainsi que les responsabilités partagées ;
- Les relations de sous-traitance introduisent des complexités et des risques supplémentaires. Assurez-vous que les mêmes obligations de protection des données sont imposées aux sous-sous-traitants qu’aux sous-traitants ;
- Les transferts vers des pays tiers nécessitent une approche prudente. Les données personnelles ne peuvent être transférées vers des pays tiers en dehors de l’UE/EEE qu’en respectant les conditions spécifiques énoncées dans le RGPD et la LPD.
Dans le deuxième article de blog de cette série, nous approfondirons davantage les clauses spécifiques supplémentaires qui peuvent être incluses dans les contrats de sous-traitance et qui sont particulièrement importantes pour les entreprises technologiques, telles que la propriété des données, les droits d’audit et les régimes de responsabilité.
N’hésitez pas à prendre rendez-vous avec nos experts pour en savoir plus sur nos services de protection des données !