Pour justifier la mise en conformité d’une entreprise, le DPO doit présenter quelques pièces dont les clauses de contrat RDPG (Règlement Général sur la Protection des Données). Sachant que le programme de mise en conformité diffère d’une entité à une autre, il existe quand même des invariabilités sur les clauses contractuelles avec les prestataires de services. Quelles sont ces clauses ?
La clause sur le respect de droits des personnes
Il est plus qu’important de s’assurer que les droits de toute personne concernée à la protection des données personnelles soient respectés. C’est pour cela que cette mention doit obligatoirement figurer dans une clause de contrat RGPD. Ce devoir doit être honoré que les données soient traitées par un sous-traitant ou par le responsable de traitement.
Il sera dans la responsabilité du sous-traitant de s’engager à répondre à toutes les demandes des personnes concernées, et ce, dans le délai imposé par la loi. Il doit ainsi cesser un traitement au cas où des personnes se mettent à s’opposer à un traitement de leurs données. En effet, cela fait partie des droits de ces concernées.
Au moment de la signature du contrat, le responsable de traitement est amené à faire part au sous-traitant de la procédure de gestion des droits de personnes.
La clause sur les mesures de sécurité
Pour tout savoir sur la clause de contrat RGPD, il est aussi important de noter celle concernant la sécurité. Effectivement, celle-ci fait partie de la plus importante car elle permet de déterminer le niveau de protection que le sous-traitant devra mettre en place.
Il donc impératif de mentionner dans la clause de contrat RGPD que le prestataire commencera à traiter les données seulement quand il recevra les instructions de la part du responsable de traitement. Ce dernier aura comme responsabilité de s’assurer que la politique de protection mise en œuvre est appropriée aux données traitées. Chaque mesure de sécurité instaurée sera donc bien vérifiée. Il est par exemple important de garantir que l’accès aux données se limite à quelques personnes habilitées.
Pour que l’efficacité des mesures de sécurité restent conformes aux règles de protection de données personnelles, des éventuels tests sont à prévoir régulièrement.
La clause sur l’obligation de notification en cas de violation des données
La mention de la notification de violation doit aussi être marquée dans une clause de contrat RGPD.
En cas de violation des données à caractères personnelles, le responsable de traitement est dans l’obligation d’informer le CNIL. La notification doit se faire dans les 72 heures qui viennent après l’infraction. Le sous-traitant se doit aussi de collaborer pour respecter cette obligation. En cas de non-respect, le sous-traitant et le responsable de traitement seront soumis à des sanctions.
Le sous-traitant doit ainsi mettre en place un moyen fiable pour détecter ce genre d’incident. Par ailleurs, il faudra déjà anticiper les situations qui risquent d’affecter directement les clients. Ces derniers devraient être alors mis au courant.
La clause de transfert de données
Il est prévisible que des transferts de données en dehors de l’Union Européenne se passent. Pour cause, cette situation doit figurer dans une clause de contrat RGPD. Le RPDG s’agit d’un règlement européen, le mieux serait donc de limiter ce genre de transferts.
Toutefois, les sous-traitants se doivent de fournir exactement la liste des pays dans lesquels les données seront traitées. Il convient également au prestataire de seulement envoyer ces données dans les pays dont il a soumis la liste. Et à ce même titre, les personnes concernées devront être informées de l’endroit du traitement.
La clause d’audit
La raison pour laquelle la clause de contrat RGPD doit contenir celle de l’audit est parce que ce dernier sert à vérifier la bonne fonctionnalité des mesures mises en place. Il est donc important d’en réaliser puis d’en prévoir les frais, la durée et surtout les mesures qui seront prises après. Cela dit, un résultat négatif de l’audit signifie une rupture de contrat.