Préposé à la protection des données et transparence Jura-Neuchâtel

Elaboration d'une convention de traitement de données par un sous-traitant

Protection des données

(Adaptation du modèle de contrat-type élaboré par le Conseil de l’Europe, la Commission des communautés européennes et la Chambre de commerce internationale (1992)) et d'un modèle type de contrat de sous-traitance RGPD Voir aussi le modèle proposé par l'Union européenne.

Ce modèle a pour seule ambition de rappeler les points essentiels devant figurer dans un contrat de sous-traitance. Il doit évidemment être adapté au cas d'espèce. Il ne traite que l'aspect relatif à la protection des données personnelles.


Voir aussi Check-list pour l'élaboration d'une convention de traitement de données personnelles par un sous-traitant


Contrat type de sous-traitance de traitements de données

entre

[Nom de l'ENTITE CONCERNEE], [Address]

(ci-après le mandant)

et

[Nom du SOUS-TRAITANT], [Address]

 (ci-après le sous-traitant)

1. Préambule

Considérant que le mandant souhaite recourir aux services du sous-traitant afin d’opérer le traitement de données personnelles pour son compte. Que cette relation de sous-traitance est encadrée strictement par la CPDT-JUNE.

Les parties s’engagent aux respect des obligations définies ci-après.

2. Définitions

[définir certains termes si cela est jugé nécessaire]

3. Objet et durée du traitement

Ce contrat lie juridiquement le sous-traitant au mandant dans la fourniture de prestations de service opérant le traitement de données pour son compte.

L’objet du contrat est [à établir]

La durée du traitement prévue au contrat est [à établir]

4. Nature et finalité du traitement

Le sous-traitant fera usage des données pour les finalités suivantes, à l'exclusion de toutes autres, à savoir: [les énumérer];

5. Type de données traitées

Les données personnelles traitées seront :

[énumérer les données traitées par catégories]

6. Obligations du mandant

Le mandant veille notamment à ce que ne soient pas effectués des traitements autres que ceux qu’il a confiés au sous-traitant.

Le mandant déclare et garantit au sous-traitant que les données sont transférées licitement au sous-traitant et que, conformément au droit interne, elles :

  1. ont été obtenues et traitées loyalement et licitement;

  2. ne font pas l’objet d’une obligation de les garder secrètes interdisant la concession;

  3. ont été enregistrées pour des finalités déterminées et légitimes et ne sont pas employées de manière incompatible avec ces finalités;

  4. sont adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles seront concédées;

  5. sont exactes et à jour;

  6. ont fait l’objet d’une information à la personne concernée lorsque c’est exigé par la loi;

  7. bénéficient d'une autorisation de conservation pour une durée de [à établir].

7. Obligations du sous-traitant

Le sous-traitant certifie présenter les garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées pour répondre aux exigences imposées par la CPDT-JUNE. En particulier le sous-traitant certifie avoir formé ses personnels internes afin que son organisation soit en mesure de respecter l’ensemble des obligations imposées dans ce cadre.

Le sous-traitant certifie également disposer des compétences techniques (IT, sécurité, infrastructure…) et juridiques pour appréhender l’ensemble des obligations qui sont imposées par CPDT-JUNE qui lui seront transmises par le mandant. Il certifie également avoir les ressources suffisantes garantir en permanence son respect. A ces fins, et en tant que de besoin, le sous-traitant transmet l’ensemble des éléments probatoires nécessaires à cette démonstration.

Le sous-traitant déclare et garantit pour sa part que l'usage qu'il fera des données respectera en tous points les principes énoncés dans les déclarations et garanties du mandant et qu'il s'interdira tout traitement ou usage des données qui serait contraire au contrat. À cet effet, et sans que cette énumération soit limitative, le sous-traitant s'engage en particulier à respecter les obligations suivantes :

  1. se soumet aux règles du secret de fonction.

  2. l'hébergement des données est exclusivement en Suisse [où à l'étranger si accord du PPDT].

  3. établit une liste désignant par leur fonction les personnes concernées par le traitement, qui sera annexée au présent contrat.

  4. s'assure que les données sont protégées contre un emploi abusif en prenant des mesures organisationnelles et techniques appropriées. Il veille à l'intégrité, à la disponibilité et à la confidentialité des données. Les mesures seront plus élevées s'il s'agit de données sensibles ou de profils de la personnalité. un concept de sécurité des données doit être fourni (par ex. chiffrage, codage, mot de passe supplémentaire en cas de transmission par informatique, etc.).

  5. ne pas sous-traiter à son tour les données sans l'accord express du mandant.

  6. faire signer au personnel un engagement à respecter la protection des données (voir charte).

  7. fera usage des données pour les finalités suivantes, à l'exclusion de toutes autres, à savoir: [les énumérer];

  8. informer immédiatement le mandant s’il n’est plus en mesure de respecter la convention, si n’importe quel accès accidentel, non autorisé ou non convenu a eu lieu;

  9. s'interdit de traiter des données à caractère personnel révélant l'origine raciale, les opinions politiques ou les convictions religieuses ou autres, ainsi que toutes données à caractère personnel concernant la santé ou la vie sexuelle ou le casier judiciaire, à moins que ce traitement ne soit régi par les garanties qui auraient été appliquées en vertu du droit interne du mandant;

  10. exploitera les données exclusivement pour son usage personnel et ne communiquera les données, gratuitement ou contre paiement, à aucune autre personne morale ou physique, sauf en cas d'obligation prévue par son droit interne et mentionnée expressément;

  11. rectifiera, effacera et mettra à jour immédiatement les données, dès qu'il aura reçu les instructions à cet effet du mandant;

  12. s'engage en particulier à rectifier, compléter ou effacer tout ou partie des données s'il s'avère que ces mesures sont requises par la loi du Canton du mandant ou sont fondées sur des circonstances nouvelles intervenues dans le Canton du mandant, circonstances que le mandant notifiera et justifiera au sous-traitant dès qu'une annonce légale paraîtra dans le Canton du mandant;

  13. garantir aux personnes concernées le droit d'accès à leurs données ainsi que le droit de rectification et d'effacement de celles-ci dans les mêmes conditions qu'en vertu du droit interne du mandant;

  14. au cas où le sous-traitant refuserait de permettre aux personnes concernées d'exercer le droit d'accès ou refuserait la rectification ou l'effacement demandé(e) par la personne concernée, le mandant :

    1. résiliera purement et simplement le contrat, dans les conditions et avec les conséquences en résultant selon ce que prévoit la clause 5,

    2. ou déclenchera la procédure de désignation d'un arbitre, prévue par la clause 4.

  15. se soumettre aux mêmes contrôles que ceux auxquels est soumis le mandant, notamment à ceux du PPDT.

  16. effectuer les audits selon les modalités suivantes : [à établir]
    Préciser si les audits concernent également les sous-traitants en cascade, les fréquences de contrôle, s'ils peuvent avoir lieu sans avis préalable et qui doit supporter les coûts. Il est aussi possible d'exiger un rapport annuel écrit du sous-traitant confirmant qu'il n'a effectué que les traitements de données qui avaient été prévus contractuellement.

  17. Respecter la durée de conservation convenue et d'effacer les données si le mandant le demande.

  18. Respecter toutes les instructions du mandant relatives aux traitements de données personnelles confiés. [à établir]
    Des instructions doivent être données en matière de conservation, destruction et archivage des données aussi bien informatiques que sur papier.

  19. Annoncer s'il devient insolvable.

  20. Choisir le personnel chargé du traitement avec soin.

  21. Donner les instructions suffisantes et nécessaires à son personnel concernant la protection des données.

8. Responsabilité et indemnisation

Le sous-traitant est responsable de l'usage qui est fait des données transmises par le mandant.

Le sous-traitant s'engage à indemniser [à établir] le mandant pour tout manquement à ses obligations résultant du contrat ou pour toute faute ou toute négligence manifeste liée à l'exécution du contrat.

9. Règlement des conflits

Les conflits sont soumis au droit ordinaire.

10. Résiliation du contrat

Le présent contrat sera résilié de plein droit en cas d'inexécution par le sous-traitant d'une ou de plusieurs de ses obligations.

S'il s'avère que le sous-traitant est acheté par un tiers, fait l'objet d'une procédure de faillite, fait preuve de mauvaise foi dans l'exécution du contrat ou refuse de respecter notamment la décision des arbitres, le mandant se réserve le droit de résilier le contrat.

La résiliation s'effectue par lettre recommandée avec avis de réception, ou par tout autre moyen équivalent, sans préjudice d'une éventuelle demande de dommages et intérêts.

Au moment de la résiliation du contrat, le sous-traitant doit retourner immédiatement toutes les données personnelles concernées par l’accord puis détruire toutes les copies. Il certifiera au mandant qu’il l’a fait. La restitution des données devra se faire dans un format standard et exploitable.

En cas de manquement à la clause précédente, le sous-traitant s'engage à verser au sous-traitant la somme de [à établir].

11. Droit applicable et for

Le présent contrat est soumis au droit suisse.

En cas de litige sur l'interprétation ou l'exécution de la présente convention, les parties s'efforceront de le régler à l'amiable avant d'entreprendre toute autre action.

A défaut de règlement à l'amiable, celui-ci pourra être porté devant la juridiction compétente; le for juridique est à [à établir]

Ce site n'utilise que deux cookies: Un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques. Un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite. En poursuivant la consultation de notre site, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.