Contrat-type de sous-traitance de traitements de données
Adaptation du modèle de contrat-type élaboré par le Conseil de l’Europe, la Commission des communautés européennes et la Chambre de commerce internationale (1992) et du modèle proposé par l'Union européenne.
Ce modèle a pour seule ambition de rappeler les points essentiels devant figurer dans un contrat de sous-traitance. Il doit évidemment être adapté au cas d'espèce. Il ne traite que l'aspect relatif à la protection des données personnelles.
Contrat type de sous-traitance de traitements de données personnelles
entre
[Nom de l'ENTITÉ CONCERNÉE], [adresse]
(ci-après le mandant)
et
[Nom du SOUS-TRAITANT], [adresse]
(ci-après le sous-traitant)
A. Préambule
Considérant que le mandant souhaite recourir aux services du sous-traitant afin d’opérer le traitement de données personnelles pour son compte, cette relation de sous-traitance est notamment soumise au respect de la CPDT-JUNE.
Les parties s’engagent aussi au respect des obligations énumérées ci-après.
B. Définitions
[définir certains termes si cela est jugé nécessaire].
C. Objet et durée du traitement
Dans le cadre de l'exécution de ce contrat, le sous-traitant doit traiter les données personnelles dans le respect de celui-ci, de la CPDT-JUNE, des règles relatives au secret de fonction et des instructions du mandant.
Le sous-traitant ne doit pas effectuer d'autres traitements que ceux confiés et doit être en mesure de garantir la sécurité des données personnelles.
L’objet du contrat est [à établir].
La durée du traitement prévue au contrat est [à établir].
D. Nature et finalité du traitement
Le sous-traitant fera usage des données personnelles, y compris les données pseudonymisées ou anonymisées, pour les finalités suivantes, à l'exclusion de toutes autres, à savoir : [les énumérer].
E. Catégories de données personnelles traitées
Les données personnelles traitées seront :
[énumérer les données personnelles traitées par catégories]
Les traitements des données personnelles seront :
[énumérer les traitements]
F. Obligations du mandant
Le mandant veille notamment à ce que ne soient pas effectués des traitements autres que ceux qu’il a confiés au sous-traitant.
Le mandant déclare et garantit au sous-traitant que les données personnelles sont transférées licitement au sous-traitant et que, conformément au droit interne, elles :
-
ont été obtenues et traitées loyalement et licitement;
-
ne font pas l’objet d’une obligation de les garder secrètes interdisant la concession;
-
ont été enregistrées pour des finalités déterminées et légitimes et ne sont pas employées de manière incompatible avec ces finalités;
-
sont adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles seront concédées;
-
sont exactes et à jour;
-
ont fait l’objet d’une information à la personne concernée lorsque la loi l'exige;
-
bénéficient d'une autorisation de conservation pour une durée de [à établir].
G. Obligations du sous-traitant
Sans que cette énumération soit limitative, le sous-traitant s'engage en particulier à respecter les obligations suivantes :
-
Disposer des compétences techniques (IT, sécurité, infrastructure…) et juridiques pour appréhender l’ensemble des obligations qui sont imposées par la CPDT-JUNE et qui lui seront transmises par le mandant.
-
Disposer en permanence des ressources suffisantes pour garantir les obligations du présent contrat.
-
Transmettre l’ensemble des éléments probatoires nécessaires à la vérification du chiffre précédant.
-
Ne pas traiter les données personnelles de manière contraire au présent contrat.
-
Respecter en tout point les principes de protection des données personnelles et autres règles de la CPDT-JUNE.
-
Se soumettre aux règles du secret de fonction.
-
Ne traiter que les données personnelles énumérées à la lettre E du présent contrat.
-
N'effectuer que les traitements et respecter les finalités énumérées respectivement aux lettres D et E du présent contrat.
-
Effectuer les traitements de données personnelles exclusivement en Suisse (sauf si exceptions légales réalisées et que les conditions de l'art. 27 CPDT-JUNE sont remplies) et désigner précisément le lieu. Tout changement doit être annoncé dans le délai convenu sous lettre J.
-
Désigner une personne de contact pour toutes les questions relatives à la protection des données personnelles.
-
S'assurer que les données personnelles sont protégées contre un emploi abusif en prenant des mesures organisationnelles et techniques appropriées. Veiller à l'intégrité, à la disponibilité et à la confidentialité des données personnelles. Les mesures seront plus élevées s'il s'agit de données personnelles sensibles ou de profils de la personnalité. Un concept de sécurité des données personnelles doit être fourni (par ex. chiffrage, codage, mot de passe supplémentaire en cas de transmission par informatique, etc.). [Compléter l'annexe 2].
-
Réévaluer périodiquement si les mesures organisationnelles et techniques prises sont toujours adéquates et effectuer régulièrement les mises à jour nécessaires.
-
Ne pas sous-traiter à son tour les données personnelles sans l'accord exprès du mandant. Le mandant devra avoir au moins 2 mois de réflexion avant de devoir se déterminer. [Si des sous-traités ultérieurs sont déjà prévus, l'annexe 1 doit être complétée]. Le mandant recevra tous les détails nécessaires pour donner un consentement suffisamment éclairé.
-
Obtenir l'engagement du/des sous-traitant(s) ultérieur(s) qui respectera(ont) le présent contrat.
-
S'assurer et garantir périodiquement [à définir] que le sous-traitant ultérieur respecte la CPDT-JUNE et le présent contrat.
-
Fournir, sur demande, au mandant les copies de tout contrat passé avec le sous-traitant ultérieur en lien avec le traitement des données personnelles pour le compte du mandant.
-
Limiter l’accès aux données personnelles aux seules personnes qui doivent y avoir accès. Le sous-traitant s’assure que ces personnes respectent les obligations prévues par le présent contrat.
-
Établir une liste désignant par leur fonction les personnes concernées par le traitement, qui sera annexée au présent contrat [annexe 3].
-
Faire signer au personnel un engagement à respecter la protection des données personnelles (voir charte).
-
Informer immédiatement le mandant s’il n’est plus en mesure de respecter la convention, si n’importe quel accès accidentel, non autorisé ou non convenu a eu lieu.
-
Permettre au mandant, dans la mesure du possible, de chiffrer les données personnelles autant que faire se peut.
-
Si les données personnelles sont chiffrées, permettre que la clef de chiffrement soit détenue par le mandant ou un autre sous-traitant que celui qui est partie au contrat. [si un sous-traitant gère la clef, le contrat doit inclure des règles strictes sur l’interdiction de transmettre la clé à l’étranger et obtenir l'engagement que personne ne cherchera à tenter de déchiffrer les données personnelles.]
-
S'interdire de traiter des données personnelles révélant l'origine raciale, les opinions politiques ou les convictions religieuses ou autres, ainsi que toutes données personnelles concernant la santé ou la vie sexuelle ou le casier judiciaire, à moins que ce traitement ne soit régi par les garanties qui auraient été appliquées en vertu du droit interne du mandant.
-
Exploiter les données personnelles exclusivement pour les traitements énumérés à la lettre E et ne communiquer les données personnelles, gratuitement ou contre paiement, à aucune autre personne morale ou physique, sauf en cas d'obligation prévue par son droit interne et mentionnée expressément.
-
Garantir aux personnes concernées le droit d'accès à leurs données personnelles ainsi que le droit de rectification et d'effacement de celles-ci dans les mêmes conditions qu'en vertu de la CPDT-JUNE.
-
Permettre au mandant de répondre aux demandes formulées par les personnes dont les données personnelles sont sous-traitées et à fournir, dans les plus brefs délais, au mandant toutes les informations et données personnelles nécessaires pour répondre à leurs demandes. Il s’agit notamment du droit d’accès à ses propres données personnelles, du droit de destruction de données personnelles illicites, du droit de modification des données personnelles, etc.
-
Rectifier, effacer et mettre à jour immédiatement les données personnelles, dès réception des instructions du mandant à cet effet.
-
Coopérer entièrement et sans délai avec l’autorité de surveillance de la CPDT-JUNE afin que celle-ci puisse s'assurer du respect de toutes les obligations en lien avec le traitement des données personnelles, que ce soit envers la personne concernée ou tout tiers.
-
Coopérer entièrement et sans délai avec le mandant afin que celui-ci puisse respecter toutes ses obligations en lien avec le traitement des données personnelles, que ce soit envers la personne concernée ou tout tiers.
-
Communiquer immédiatement au mandant toute requête qu’il recevrait en lien avec le traitement des données personnelles, que cette requête émane de la personne concernée ou d’un tiers, et attendre les instructions du mandant en lien avec de telles requêtes avant d’y donner suite.
-
Informer immédiatement et préalablement le mandant si d’autres traitements de données personnelles sont absolument nécessaires au regard de la loi, y compris une obligation de transférer des données personnelles à des tiers.
-
Donner suffisamment de temps au mandant pour s'opposer aux autres traitements de données du chiffre précédant et à limiter au maximum les données personnelles traitées.
-
Fournir une assistance raisonnable au mandant en lien avec toute analyse d’impact relative à la protection des données personnelles qui serait requise, ainsi que pour toute autre requête en lien avec la CPDT-JUNE.
-
Se soumettre aux mêmes contrôles que ceux auxquels est soumis le mandant, notamment ceux du PPDT. Si nécessaire (notamment si les contrôles du sous-traitant ne couvrent pas tous les points et qu’ils se limitent, p. ex., aux aspects sécuritaires), des contrôles du mandant lui-même ou du PPDT ou de tiers qu'ils mandateraient doivent être possibles.
-
Effectuer les audits selon les modalités suivantes : [Il est possible de demander au fournisseur de présenter deux fois par année une preuve du respect des règles de protection des données au sein de son entreprise afin de garantir la conformité et l’efficacité des mesures de protection. Dans ce cas, le contrat devrait préciser les modalités des audits de sécurité et les exigences sur l’état des mesures de cybersécurité (p. ex. réalisation des audits par une entreprise indépendante et reconnue). Le contrat peut également contraindre le fournisseur à utiliser des systèmes de surveillance pour consigner, enregistrer et conserver des données dans le but d’identifier les activités suspectes ou les violations potentielles de la sécurité. Il peut aussi l’obliger à établir des plans de réponse aux incidents comprenant des directives claires pour notifier, endiguer et investiguer les incidents de sécurité].
-
Préciser si les audits concernent également les sous-traitants en cascade, les fréquences de contrôle, s'ils peuvent avoir lieu sans avis préalable et qui doit supporter les coûts. Il est aussi possible d'exiger un rapport annuel écrit du sous-traitant confirmant qu'il n'a effectué que les traitements de données personnelles qui avaient été prévus contractuellement.
-
S'engage à remettre au mandant ou au PPDT tous les rapports de contrôle en lien avec les traitements prévus sous lettre E.
-
Respecter l'obligation d'annonce des violations de sécurité au sens de l'art. 23c CPDT-JUNE.
-
Respecter la durée de conservation convenue et effacer les données personnelles si le mandant le demande.
-
Respecter toutes les instructions du mandant relatives aux traitements de données personnelles confiés. [à établir].
Des instructions doivent être données personnelles en matière de conservation, destruction et archivage des données personnelles aussi bien informatiques que sur papier. -
Annoncer s'il devient insolvable.
-
Choisir le personnel chargé du traitement avec soin.
-
Former son personnel interne en donnant les instructions suffisantes et nécessaires afin que son organisation soit en mesure de respecter l’ensemble des obligations imposées dans le présent contrat.
-
Pemettre de déterminer clairement les personnes, les moments de consultation et les données ou systèmes concernés.
-
Corriger les vulnérabilités détectées et ce, à ses propres frais (coûts liés au matériel, heures de travail et éventuels frais de prestataires externes).
-
Communiquer régulièrement les informations qu’il détient sur son organisation et les détruire lorsqu’elles ne sont plus nécessaires.
H. Responsabilité et indemnisation
-
Le sous-traitant est responsable du respect du présent contrat.
-
Le sous-traitant devra indemniser entièrement le mandant pour toute perte, coût, dommage ou préjudice, quelle qu’en soit la forme. [Il est possible de contraindre le fournisseur à souscrire une assurance responsabilité civile et/ou une assurance cybersécurité couvrant les dommages qui découlent du non-respect des obligations contractuelles ou de violations de la CPDT-JUNE]
-
L’autorisation donnée par le mandant en lien avec un ou plusieurs sous-traitants ultérieurs ne libérera pas le sous-traitant de sa responsabilité conformément à la présente clause, responsabilité qui n’en sera pas non plus tempérée.
-
Tout préjudice et tout dommage subi par le mandant inclura tous frais et tous coûts (y compris juridiques) qui découlent directement ou indirectement de la violation de ses obligations par le sous-traitant et/ou de tout sous-traitant ultérieur, y compris notamment tous coûts nécessaires pour répondre ou contester une réclamation ou prétention de la personne concernée ou de tout tiers.
-
Le mandant restera en tout temps libre de déterminer, à son seul choix, si et comment répondre et/ou contester une prétention et/ou une responsabilité issue ou liée au traitement des données personnelles par le sous-traitant ou tout sous-traitant ultérieur.
[Possibilité de prévoir en lieu et place des deux présents paragraphes une clause pénale forfaitaire (éventuellement par violation)]. -
Le sous-traitant s'engage à indemniser [à établir] le mandant pour tout manquement à ses obligations résultant du contrat ou pour toute faute ou toute négligence manifeste liée à l'exécution du contrat.
I. Règlement des conflits
-
Les conflits sont soumis au droit ordinaire.
J. Durée et Résiliation du contrat
-
[fixer la durée du contrat].
-
Tant que le sous-traitant traite les données personnelles faisant l'objet du présent contrat, il sera soumis aux obligations prévues par ce dernier.
-
Au cas où le sous-traitant (et/ou tout sous-traitant ultérieur) n'exécute pas, totalement ou partiellement une obligation légale ou du présent contrat, le mandant peut le résilier immédiatement de plein droit.
-
Si le chiffre précédant se réalise, le mandant peut suspendre tout transfert de données personnelles et/ou tout traitement
-
Toute modification doit être annoncée préalablement dans un délai de [à établir] et permet la résiliation du contrat par le mandant.
-
S'il s'avère que le sous-traitant est acheté par un tiers, fait l'objet d'une procédure de faillite, fait preuve de mauvaise foi dans l'exécution du contrat ou refuse de respecter notamment la décision des arbitres, le mandant se réserve le droit de résilier le contrat.
-
La résiliation s'effectue par lettre recommandée avec avis de réception, ou par tout autre moyen équivalent, sans préjudice d'une éventuelle demande de dommages et intérêts.
-
Au moment de la résiliation du contrat, le sous-traitant doit retourner immédiatement toutes les données personnelles concernées par l’accord puis détruire intégralement toutes les copies et certifier expressément qu’il l’a fait.
-
La restitution des données personnelles devra se faire dans un format standard et exploitable.
-
Le sous-traitant doit se soumettre aux contrôles du mandant et du PPDT pour vérifier que lui, ou ses sous-traitants ne détiennent plus aucune données personnelles relatives au présent contrat.
-
Si le sous-traitant, ou ses sous-traitants, n'exécute pas, totalement ou partiellement, une obligation légale ou du contrat, il s'engage à verser un dédommagement ? [à établir].
K. Droit applicable et for
-
Le présent contrat est soumis au droit suisse.
-
En cas de litige sur l'interprétation ou l'exécution de la présente convention, les parties s'efforceront de le régler à l'amiable avant d'entreprendre toute autre action.
-
À défaut de règlement à l'amiable, celui-ci pourra être porté devant la juridiction compétente; le for juridique est à [à établir].
ANNEXE 1 : LISTE DES SOUS-TRAITANTS ULTÉRIEURS
ANNEXE 2 : MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
ANNEXE 3 : LISTE DES PERSONNES CONCERNÉES PAR LES TRAITEMENTS DE DONNÉES PERSONNELLES, DÉSIGNÉES PAR LEUR FONCTION