De nombreuses entreprises ont signé des contrats de sous-traitance de données personnelles sans les avoir analysés en détail. Ces contrats peuvent dater d'avant l'entrée en application du RGPD, avoir été rédigés par des prestataires sur la base de modèles incomplets, ou avoir évolué en pratique sans que la documentation ait été mise à jour.
Un audit de ces contrats est utile avant un contrôle CNIL, dans le cadre d'une due diligence, ou simplement dans le cadre d'une démarche de conformité proactive. Voici une grille de contrôle structurée.
L'existence et la forme du document
Premier point de contrôle : le contrat de sous-traitance existe-t-il sous forme écrite ? Un email, des conditions générales publiées sans validation expresse ou une clause noyée dans un contrat de services peuvent être insuffisants pour satisfaire à l'exigence d'un accord écrit au sens de l'article 28. Vérifiez que le document est signé par les deux parties ou que son acceptation est documentée de manière probante.
La complétude des mentions obligatoires
Vérifiez que le contrat contient toutes les mentions imposées par l'article 28 : objet et durée du traitement, nature et finalité, type de données, catégories de personnes concernées, obligations et droits du responsable de traitement. L'absence de l'une de ces mentions n'invalide pas nécessairement le contrat dans son ensemble, mais constitue un manquement aux exigences du RGPD.
Les obligations de sécurité
Le contrat doit prévoir des mesures de sécurité appropriées. Vérifiez que ces mesures sont décrites de manière suffisamment précise : chiffrement des données, contrôle des accès, gestion des incidents, tests de sécurité, durée de conservation. Un engagement général de « sécurité raisonnable » sans précision est difficile à auditer et à faire respecter.
Les conditions de sous-traitance ultérieure
Vérifiez si le sous-traitant est autorisé à recourir à des sous-traitants ultérieurs, dans quelles conditions et avec quelle information ou autorisation de votre part. Si une autorisation générale est prévue, la liste des sous-traitants ultérieurs est-elle disponible et tenue à jour ? Le mécanisme d'information en cas de changement est-il précisé ?
Les droits des personnes et la gestion des violations
Le contrat doit prévoir l'assistance du sous-traitant pour répondre aux demandes d'exercice des droits et pour gérer les violations de données. Vérifiez les délais de notification en cas de violation (conformes à vos propres obligations vis-à-vis de la CNIL), les modalités d'assistance et le niveau de coopération attendu.
Les transferts hors UE
Si le sous-traitant est établi hors de l'Union européenne ou recourt à des sous-traitants ultérieurs hors UE, vérifiez que le mécanisme de transfert applicable est identifié et valide : décision d'adéquation, clauses contractuelles types (CCT), règles d'entreprise contraignantes. Les CCT adoptées par la Commission européenne ont été mises à jour : vérifiez que le contrat fait référence à la version en vigueur.
Les dispositions de fin de contrat
Vérifiez que le contrat prévoit explicitement la restitution ou la suppression des données à la fin du traitement, les modalités (format, délai, attestation) et les obligations de confidentialité post-contractuelles.
Signaux d'alerte
Certains éléments doivent attirer une attention particulière : un contrat rédigé uniquement en anglais sans traduction ni mention du droit applicable français ou européen, un DPA qui ne correspond pas à la réalité du traitement effectué, un contrat qui autorise le sous-traitant à utiliser les données pour ses propres finalités, l'absence totale de liste de sous-traitants ultérieurs pour un prestataire cloud.
Pour un audit de vos contrats de sous-traitance de données, consultez notre page dédiée à l'avocat contrat de sous-traitance de données personnelles.
