Clauses contractuelles RGPD : que négocier en qualité de prestataire sous-traitant ?

Situation

 

Vous souhaitez, en qualité de sous-traitant, que vos contrats en cours et vos nouveaux contrats soient conformes à la législation sur les données personnelles. Pour ce faire, il convient, selon le cas, de signer un avenant spécifique sur le sujet ou d’insérer une clause dédiée dans vos contrats.

 

Vous pouvez cependant vous retrouver dans une situation où vous disposez de peu de marges de manœuvre dans la négociation contractuelle, soit parce qu’un client historique n’est pas enclin à renégocier les termes de votre relation, soit parce qu’un nouveau client a un poids plus important que vous.

 

Quels sont, dans une telle hypothèse, quelques-uns des points essentiels sur lesquels vous ne devez pas lâcher ?

 

Réaction

 

  • Prévoir que les instructions de votre client dans le cadre de la réalisation de votre prestation seront toujours formulées par écrit. Vous êtes en effet dans l’obligation de n’agir que sur instructions.

 

  • Se ménager une porte de sortie au contrat si une instruction de votre client vous parait illicite (ex : hébergement de données de santé en lieu et place de données « classiques »).

 

  • Si une analyse d’impact est nécessaire (ex : traitement de données de sensibles à grande échelle), veillez à prévoir les modalités de votre assistance auprès de votre client pour la réalisation de cette démarche (ex : en régie).

 

 

Vous faites régulièrement appel à des sous-traitants et avez donc l’obligation de solliciter l’autorisation de votre client avant tout changement : prévoyez au contrat que votre client vous autorise à changer de sous-traitant moyennant information préalable. Évitez un système d'autorisation préalable qui pourrait se révéler impraticable.  

 

 

Plus généralement, il ne faut pas accepter que votre client mette à votre charge des obligations qui lui incombent et qui relèvent donc de sa responsabilité (ex : permettre aux personnes concernées par le traitement des données d’exercer leurs droits d’accès, rectification, etc., notifier la CNIL et les personnes concernées en cas de violation de sécurité, etc.). Vous pouvez bien entendu vous impliquer dans ce processus, moyennant cependant contrepartie financière.


Because yoonozelo

 

Les clients, souvent profanes en matière informatique, ont tendance à essayer de faire en sorte que leur prestataire informatique les garantisse contre tout. Mais avec le RGPD, ce n’est pas possible, chacun ayant des obligations propres auxquelles sont rattachées des responsabilités. Il faut donc entrer en négociations en vous disant que le RGPD, c’est une aventure à deux !