Contrat prestataire : les 4 clauses RGPD à vérifier avant de signer
Minute RGPDVidéo
Un SaaS, un CRM, un outil RH… Le vrai problème se découvre souvent après la signature. Voici comment l’éviter en 4 points.
Le piège classique, c’est de signer un contrat prestataire sans avoir vérifié ses clauses RGPD, puis de découvrir trop tard que personne ne maîtrise vraiment la chaîne de traitement des données. Achat validé, tout le monde se renvoie la balle.
La règle à retenir : le RGPD, ce n’est pas une promesse commerciale. Ce sont les clauses du contrat, ce qu’on appelle aussi le contrat de sous-traitance. Et pour les vérifier efficacement, vous n’avez pas besoin de lire 40 pages. Il suffit de chercher 4 points précis.
Les 4 clauses à passer en revue
1 Qui décide ?
Le prestataire traite des données pour vous et sur vos instructions. Si le contrat lui permet d’utiliser ces données pour ses propres finalités, ce n’est pas forcément interdit — mais cela doit être clairement encadré. Sinon, vous perdez la maîtrise.
2 Comment on réagit ?
En cas d’incident, trois éléments doivent être définis dans le contrat : les mesures de sécurité attendues, le point de contact dédié, et le process d’alerte. Qui alerte qui, comment, dans quel délai ? Sans ça, vous improvisez.
3 Comment on sort ?
La fin de contrat doit prévoir la restitution ou la suppression des données — idéalement avec une preuve. Et si le prestataire sous-traite à son tour, vous devez garder le contrôle sur la chaîne : informations, conditions, garanties.
4 Comment on prouve ?
Tout au long du traitement, le sous-traitant doit être en mesure de justifier du respect de ses obligations et de vous fournir les éléments nécessaires pour démontrer votre conformité, notamment en autorisant des audits. En cas de demande d’exercice de droits ou d’analyse d’impact, il doit aussi vous apporter son assistance.
Cette assistance peut être encadrée et prévue contractuellement.
Si ces 4 points sont flous dans votre contrat, ce n’est pas un simple détail juridique. C’est une perte de temps et un risque opérationnel réel.
Vous souhaitez structurer vos pratiques et former vos équipes ? Formez-vous
Pixel de suivi : la CNIL publie sa recommandation définitive
Invisible à l’œil nu mais omniprésent dans les emails et sites web, le pixel de suivi fait aujourd’hui l’objet d’une attention toute particulière de la CNIL, qui a lancé une consultation publique pour mieux encadrer son usage. À quoi sert ce pixel ? Pourquoi suscite-t-il des inquiétudes ? Et surtout, comment se mettre en conformité avec le RGPD ? On vous explique tout.
Droit à l’effacement : base active, archivage et sauvegardes ?
« Je l'ai supprimé, c'est réglé. » Cette phrase, nous l'entendons souvent. Et pourtant, le droit à l'effacement est l'un des droits RGPD les plus mal appliqués en pratique. Non par mauvaise volonté, mais parce que l'effacement ne fonctionne pas comme un simple bouton « supprimer ». Il se gère par couches et confondre ces couches expose votre organisation à des risques réels.
Inscrivez-vous à notre newsletter mensuelle pour rester à jour sur l'actualité RGPD & Cybersécurité, et retrouvez nos conseils et bonnes pratiques.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse dpo@actecil.fr.
Télécharger le catalogue
Recevez le catalogue par e-mail
Dans le cadre de sa démarche d’accompagnement, ACTECIL ACADEMY vous propose de vous envoyer directement par email notre catalogue de formations. Simple et efficace, en quelques clics, le document est dans votre boîte email.
