Cybersecurite TPE
Clause RGPD dans un contrat de sous-traitance : le modele pour TPE
La clause RGPD obligatoire quand tu sous-traites le traitement de donnees personnelles. Modele pret a l'emploi.
Si tu confies le traitement de donnees personnelles a un sous-traitant (hebergeur, outil SaaS, prestataire IT), tu dois avoir une clause RGPD dans le contrat. C'est une obligation de l'article 28 du RGPD.
Quand c'est obligatoire
Des que le sous-traitant traite des donnees personnelles pour ton compte :
- ton hebergeur web (donnees de formulaire de contact) ;
- ton logiciel d'emailing (base de contacts) ;
- ton CRM cloud (fiches clients) ;
- ton comptable cloud (factures avec donnees clients) ;
- tout prestataire qui accede a tes donnees clients.
La clause minimum
TRAITEMENT DE DONNEES PERSONNELLES
Le Sous-traitant s'engage a :
1. Traiter les donnees personnelles uniquement sur instruction documentee
du Responsable de traitement et aux seules fins de l'execution du
present contrat.
2. Garantir la confidentialite des donnees et que les personnes
autorisees a traiter les donnees se sont engagees a la confidentialite.
3. Prendre toutes les mesures de securite requises (article 32 du RGPD).
4. Ne pas faire appel a un autre sous-traitant sans l'autorisation
ecrite prealable du Responsable de traitement.
5. Aider le Responsable de traitement a repondre aux demandes d'exercice
des droits des personnes concernees.
6. Notifier le Responsable de traitement dans les meilleurs delais en
cas de violation de donnees.
7. Supprimer ou restituer toutes les donnees personnelles a la fin de
la prestation, au choix du Responsable de traitement.
8. Mettre a disposition toutes les informations necessaires pour
demontrer la conformite aux obligations RGPD.En pratique pour une TPE
La plupart des SaaS (Google, Microsoft, Pipedrive, Ringover) ont deja un DPA (Data Processing Agreement) que tu peux signer en ligne. Verifie :
- que le DPA est signe (souvent dans les parametres du compte) ;
- que les donnees sont hebergees en UE (ou que des clauses contractuelles types sont en place pour les transferts hors UE).
Pour tes prestataires individuels (freelance, agence), ajoute la clause ci-dessus dans ton contrat de prestation.
CTA
Pour une conformite RGPD complete, consulte le guide RGPD pour TPE : 5 actions concretes et la checklist cybersecurite TPE.
Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Verifie les sources officielles ANSSI/Cybermalveillance/CNIL selon ton contexte.