Professional Documents
Culture Documents
Le Règlement Général sur la Protection des Données personnelles (RGPD) est entré en application le 25 mai
2018. Depuis, l’ensemble des organismes (entreprises, collectivités publiques, associations, organisations
professionnelles, syndicats…), doivent tenir compte des obligations du RGPD et offrir une protection
adéquate des données personnelles qu’ils détiennent (données de leurs salariés ou collaborateurs, de leurs
clients, de leurs partenaires ou fournisseurs…) car les contrôles et sanctions relatifs au RGPD sont
applicables.
o en cas de réclamation d’une personne dont les données personnelles sont utilisées ou
collectées.
Cela signifie :
➢ Suppression des déclarations à la CNIL : vous n’avez plus besoin d’informer préalablement la
CNIL de l’existence d’un traitement (suppression des déclarations de fichiers à la CNIL).
➢ Désignation d’un DPO (‘Data Protection Officer’) : vous devez désigner un référent / pilote
en charge des problématiques de protection des données personnelles ou le cas échéant
nommer un délégué à la protection des données (ou DPO).
➢ Tenue d’un registre de traitement : pour certaines structures, vous devez tenir un registre
des traitements de données personnelles que vous effectuez dans votre entreprise ou que vous
externalisez (gestion de la paie, hébergement externe des données numériques, utilisation du
Cloud, utilisation d’un coffre-fort numérique…). Si vous sous-traitez des données pour le
compte d’un client, vous devez tenir un registre des catégories d’activités de traitement. Du
fait de la cartographie des données personnelles et des traitements correspondants, il est
intéressant de les recenser sous forme de registre malgré l’absence de
• Sensibiliser ses collaborateurs et salariés aux problématiques et enjeux de la protection des données
personnelles. Cette sensibilisation peut être faite par tous moyens (en présentiel, par la diffusion d’une
note d’information, l’actualisation du règlement intérieur, la signature d’un engagement de
confidentialité…).
• Informer les personnes concernées de l’existence d’un traitement de leurs données personnelles et,
quand cela est nécessaire, demander leur consentement.
➢Informer les salariés, selon les cas : annexe au contrat de travail, note interne, charte
d’utilisation des outils informatiques….
➢Informer les clients : prévoir des mentions d’information dans les mails concernés, dans les
CGU/CGV en cas de collecte, dans les courriers, sur des formulaires de collecte… ; le cas échéant,
informer oralement les interlocuteurs par téléphone.
• Vérifier les contrats avec ses prestataires :
➢ Identifier les prestataires ou partenaires qui traitent des données personnelles pour le compte
de votre entité (expert-comptable, gestionnaire de paie, gestionnaire du coffre-fort numérique,
hébergeur, prestataire de maintenance informatique, société de sécurité, développeur
d’applications ou de logiciels…) et qui sont donc considérés comme sous-traitants au sens du RGPD.
➢ Les informer par écrit (mail ou courrier) de l’entrée en application du RGPD et de leurs obligations
en tant que sous-traitants.
➢ Leur proposer d’intégrer les clauses prescrites par le RGPD dans les contrats en cours.
➢ Modifier les modèles de contrat pour y intégrer les clauses contractuelles prescrites par le RGPD.
➢Veiller à tout le moins à respecter les mesures élémentaires préconisées par la CNIL dans son guide
pratique.
o Mettre un mot de passe à l’ouverture du fichier s’il contient des données sensibles (données de
santé ou numéro de sécurité sociale par exemple)
o Mise en place de logs pour être en mesure de détecter les intrusions en cas de vol de fichiers,
d’accès non autorisé, de fuite de données…
o Avoir une sauvegarde du fichier ou de ses données pour être en mesure de restaurer un fichier
modifié ou supprimé
o Utiliser un MDM (Mobile Device Management) qui permet de gérer les tablettes ou smartphones à
distance afin d’effacer les données en cas de perte / vol du terminal
o Crypter l’ordinateur portable s’il contient des fichiers ayant des données personnelles /
confidentielles
2
o Mettre régulièrement à jour le système d’exploitation, les outils, logiciels ou applications utilisés
• Respecter les droits des personnes concernées d’accéder aux données les concernant, de s’opposer
à un traitement, de demander l’effacement de leurs données. Cela implique de mettre en place un
processus de gestion des réclamations des personnes concernées pour leurs données personnelles.
3
ANNEXES
L’attention des utilisateurs des modèles proposés est attirée sur le fait qu’il convient de prendre toutes
les précautions dans l’utilisation de ces documents. Il est nécessaire de les adapter aux faits et à la
situation juridique en cause.
Le terme « entité » désigne le responsable de traitement, qui peut être : une entreprise, une collectivité
publique, une association, une organisation professionnelle, un syndicat…Il est à substituer par le terme
adéquat en l’espèce.
1. Salariés
2. Mentions d’information RGPD
3. Prestataires dits sous-traitants au sens du RGPD
4. Registre et fiche de registre
4
1ère partie annexe salariés
Il est important de rappeler aux collaborateurs ou salariés que les données personnelles auxquelles ils ont
accès dans le cadre de leurs fonctions ne peuvent en aucun cas être réutilisées ou transmises à des tiers,
que ce soit pour de la prospection ou toute autre réutilisation qui serait incompatible avec les finalités
initiales pour lesquelles les données ont été collectées.
En plus des sessions de formation, les salariés peuvent être sensibilisés, notamment par le biais :
1. du règlement intérieur
2. d’une charte informatique
3. d’un mail ou une note interne
4. d’un engagement de confidentialité annexé au contrat de travail
La réglementation en vigueur en matière de protection des données personnelles 1 définit les conditions dans
lesquelles des traitements de données personnelles peuvent être effectués et impose une utilisation des
données personnelles qui soit responsable, pertinente et limitée aux stricts besoins d’une entreprise ou de
tout autre organisme. Ainsi, toute information se rapportant directement ou indirectement à une personne
physique ne peut être utilisée que de manière transparente et en respectant les droits des personnes
concernées.
A insérer si nécessaire :
L’entité a désigné un délégué à la protection des données personnelles qui a pour mission
d’informer, de conseiller et de veiller à la conformité des traitements à la réglementation en
matière de données personnelles. Il doit être consulté préalablement à la création d’un traitement
et veille au respect des droits des personnes (droit d’accès, de rectification, d’opposition,
d’effacement, de portabilité, de limitation du traitement). En cas de difficultés rencontrées lors
de l’exercice de ces droits, les personnes concernées peuvent saisir le délégué à la protection des
données personnelles.
Chaque salarié est soumis à une obligation de confidentialité pour l’ensemble des données personnelles
auxquelles il a accès dans le cadre de ses fonctions.
Tout usage ou utilisation illicite de ces données par l’un des collaborateurs constituerait une violation de la
réglementation en matière de protection des données personnelles, et notamment du RGPD, et serait
passible de sanctions pour l’entreprise et pour le salarié ou collaborateur.
1
Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et Règlement général sur
la protection des données personnelles (RGPD) n° (UE) 2016/679 du 27 avril 2016
5
2. EXEMPLE DE CHARTE D’UTILISATION DES RESSOURCES INFORMATIQUES
Dans le cadre de son activité, [nom de l’entité] met à disposition de ses collaborateurs des outils
informatiques et de communication.
La présente charte définit les conditions d’accès et d’utilisation des moyens informatiques et ressources
mises à disposition des collaborateurs. Elle a également pour objet de sensibiliser les utilisateurs aux risques
liés à l’utilisation de ces ressources en termes d’intégrité et de confidentialité des informations traitées.
Ces risques imposent le respect de certaines règles de sécurité et de bonne conduite. L’imprudence, la
négligence ou la malveillance d’un utilisateur peuvent en effet avoir des conséquences graves de nature à
engager sa responsabilité civile et/ou pénale, ainsi que celle de l’entreprise.
La réglementation en vigueur en matière de protection des données personnelles 2 définit les conditions dans
lesquelles des traitements de données personnelles peuvent être effectués et impose une utilisation des
données personnelles qui soit responsable, pertinente et limitée aux stricts besoins d’une entreprise ou de
tout autre organisme. Ainsi, toute information se rapportant directement ou indirectement à une personne
physique ne peut être utilisée que de manière transparente et en respectant les droits des personnes
concernées.
Chaque salarié est soumis à une obligation de confidentialité pour l’ensemble des données personnelles
auxquelles il a accès dans le cadre de ses fonctions (qu’il s’agisse des données de consommateurs, de clients
professionnels, de salariés…). Tout usage ou utilisation illicite de ces données est passible de sanctions pour
l’entreprise et pour le salarié.
A insérer si nécessaire :
[Nom de l’entité] a désigné un délégué à la protection des données personnelles qui a pour mission
d’informer, de conseiller et de veiller à la conformité des traitements à la réglementation en
matière de données personnelles. Il doit être consulté préalablement à la création d’un traitement
et veille au respect des droits des personnes (droit d’accès, de rectification, d’opposition,
d’effacement, de portabilité, de limitation du traitement). En cas de difficultés rencontrées lors
de l’exercice de ces droits, les personnes concernées peuvent saisir le délégué à la protection des
données personnelles.
La charte s’applique à tout utilisateur des outils informatiques ou de communication mis à sa disposition
par [nom de l’entité] pour l’exercice de ses activités professionnelles. L’utilisation à titre privé de ces outils
est tolérée mais doit être raisonnable et ne pas perturber le bon fonctionnement du service.
On désigne sous le terme « utilisateur » toute personne autorisée à accéder aux outils informatiques et aux
moyens de communication de [nom de l’entité] et à les utiliser (employés, stagiaires, intérimaires,
prestataires, etc).
Les termes « outils informatiques et de communication » recouvrent tous les équipements informatiques,
de télécommunications et de reprographie de [nom de l’entité].
2
Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et Règlement général sur
la protection des données personnelles (RGPD) n° (UE) 2016/679 du 27 avril 2016
6
1. Les modalités d’intervention du service de l’informatique interne
Le service de l’informatique interne assure le bon fonctionnement et la sécurité des réseaux, des moyens
informatiques et de communication de [nom de l’entité]. Ils ont accès à l’ensemble des données techniques
mais s’engagent à respecter les règles de confidentialité applicables aux données qu’ils sont amenés à
connaître dans le cadre de leurs fonctions.
2. L’authentification
L'accès aux ressources informatiques repose sur l’utilisation d'un nom de compte ("login" ou identifiant)
fourni à l'utilisateur lors de son arrivée dans l’entreprise. Un mot de passe est associé à cet identifiant de
connexion. Les moyens d’authentification sont personnels et confidentiels.
Les visiteurs ou prestataires extérieurs ne peuvent avoir accès aux outils informatiques et de communication
sans l’accord préalable du service informatique. Ils doivent alors s’engager à respecter et faire respecter la
présente charte par leurs propres salariés.
[Nom de l’entité] met à disposition de chaque utilisateur un poste de travail doté des outils informatiques
nécessaires à l’accomplissement de ses fonctions.
- modifier ces équipements et leur fonctionnement, leur paramétrage, ainsi que leur configuration
physique ou logicielle ;
- connecter ou déconnecter du réseau les outils informatiques et de communications sans y avoir été
autorisé par l’équipe informatique interne.
- déplacer l’équipement informatique (sauf s’il s’agit d’un «équipement mobile»)
- nuire au fonctionnement des outils informatiques et de communications.
2. Equipements mobiles
On entend par « équipements mobiles » tous les moyens techniques mobiles (ordinateur portable,
imprimante portable, téléphones mobiles ou smartphones, CD ROM, clé USB, etc).
7
L’utilisation de smartphones ou Blackberry pour relever automatiquement la messagerie électronique
comporte des risques particuliers pour la confidentialité des messages, notamment en cas de perte ou de
vol de ces équipements. Quand ces appareils ne sont pas utilisés pendant quelques minutes, ils doivent donc
être verrouillés par un moyen adapté de manière à prévenir tout accès non autorisé aux données qu’ils
contiennent.
L’utilisateur qui reçoit un matériel en prêt en assure la garde et la responsabilité et doit informer le service
informatique en cas d’incident (perte, vol, dégradation) afin qu’il soit procédé aux démarches telles que la
déclaration de vol ou de plainte. Il est garant de la sécurité des équipements qui lui sont remis et ne doit
pas contourner la politique de sécurité mise en place sur ces mêmes équipements.
3. Internet
Les utilisateurs peuvent consulter les sites internet présentant un lien direct et nécessaire avec l'activité
professionnelle, de quelque nature qu’ils soient. Une utilisation ponctuelle et raisonnable, pour un motif
personnel, des sites internet dont le contenu n'est pas contraire à la loi, l'ordre public, et ne met pas en
cause l'intérêt et la réputation de l’institution, est admise.
4. Messagerie électronique
La messagerie mise à disposition des utilisateurs est destinée à un usage professionnel. L'utilisation de la
messagerie à des fins personnelles est tolérée si elle n'affecte pas le travail ni la sécurité du réseau
informatique de [nom de l’entité].
Tout message qui comportera la mention expresse ou manifeste de son caractère personnel bénéficiera du
droit au respect de la vie privée et du secret des correspondances. A défaut, le message est présumé
professionnel. [Nom de l’entité] s’interdit d’accéder aux dossiers et aux messages identifiés comme «
personnel » dans l’objet de la messagerie du salarié.
L’utilisation de la messagerie électronique doit se conformer aux règles d’usage définies par le service
informatique interne en matière de volumétrie de la messagerie, taille maximale de l’envoi et de la
réception d’un message, nombre limité de destinataires simultanés lors de l’envoi d’un message, gestion de
l’archivage de la messagerie…
Le transfert de messages, ainsi que leurs pièces jointes, à caractère professionnel sur des messageries
personnelles est soumis aux mêmes règles que les copies de données sur supports externes.
Les utilisateurs peuvent consulter leur messagerie à distance, à l’aide d’un navigateur (webmail). Les
fichiers qui seraient copiés sur l’ordinateur utilisé par le salarié dans ce cadre doivent être effacés dès que
possible de l’ordinateur utilisé.
En cas d’absence prolongée d’un salarié (longue maladie), le supérieur peut demander au service
informatique, après accord de la direction des ressources humaines, le transfert des messages reçus.
[Nom de l’entité] dispose d'un outil permettant de lutter contre la propagation des messages non désirés
(spam). Aussi, afin de ne pas accentuer davantage l'encombrement du réseau lié à ce phénomène, les
utilisateurs sont invités à limiter leur consentement explicite préalable à recevoir un message de type
commercial, newsletter, abonnements ou autres, et de ne s'abonner qu'à un nombre limité de listes de
diffusion notamment si elles ne relèvent pas du cadre strictement professionnel.
5. Téléphone
[Nom de l’entité] met à disposition des utilisateurs, pour l’exercice de leur activité professionnelle, des
téléphones fixes et/ou mobiles. L’utilisation du téléphone à titre privé est admise à condition qu’elle
demeure raisonnable.
Des restrictions d’utilisation par les salariés des téléphones fixes sont mises en place en tenant compte de
leurs missions. A titre d’exemple, certains postes sont limités aux appels nationaux, d’autres peuvent passer
des appels internationaux.
8
[Nom de l’entité] s’interdit de mettre en œuvre un suivi individuel de l’utilisation des services de
communications. Seules des statistiques globales sont réalisées sur l’ensemble des appels afin de vérifier
que les consommations n’excèdent pas les limites des contrats passés avec les opérateurs.
[Nom de l’entité] s’interdit d’accéder à l’intégralité des numéros appelés via l’autocommutateur mis en
place et via les téléphones mobiles. Toutefois, en cas d’utilisation manifestement anormale, le service
informatique, sur demande [nom de la personne compétente. Ex : DAF, DRH, DG…], se réserve le droit
d’accéder aux numéros complets des relevés individuels.
A insérer si nécessaire :
Il s’appuie pour ce faire, sur des fichiers de journalisation (fichiers « logs ») qui recensent toutes les
connexions et tentatives de connexions au système d'information. Ces fichiers comportent les données
suivantes : dates, postes de travail et objet de l’évènement.
Le service informatique est le seul destinataire de ces informations qui sont effacées à l’expiration d’un
délai de XX mois.
Dans le cadre de mises à jour et évolutions du système d’information, et lorsqu’aucun utilisateur n’est
connecté sur son poste de travail, le service informatique peut être amené à intervenir sur l’environnement
technique des postes de travail. Il s’interdit d’accéder aux contenus.
Lors de son départ, l’utilisateur doit restituer au service de l’informatique interne les matériels mis à sa
disposition. Il doit préalablement effacer ses fichiers et données privées. Aucune copie des documents
professionnels ne peut être effectuée par le salarié, sauf accord exprès de [nom de l’entité].
Les comptes et les données personnelles de l’utilisateur sont, en tout état de cause, supprimés dans un
délai maximum d’un mois (délai raisonnable doit être court) après son départ.
V. Responsabilités – Sanctions
Le manquement aux règles et mesures de sécurité et de confidentialité définies par la présente charte est
susceptible d’engager la responsabilité de l’utilisateur et d’entraîner des sanctions internes à son encontre.
Le non-respect des lois et textes applicables en matière de sécurité des systèmes d’information est
susceptible de sanctions pénales prévues par la loi 3.
3
Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée qui insère les articles 226-
16 à 226-24 et articles R. 625-10 à R. 625-13 du Code pénal ;
9
VI. Entrée en vigueur de la charte
En tant que salariés ou collaborateurs, nous vous rappelons que vous êtes soumis à une obligation de
confidentialité pour l’ensemble des données, notamment des informations personnelles, auxquelles vous
avez accès dans le cadre de vos fonctions (qu’il s’agisse des données de consommateurs, de clients
professionnels, de salariés…).
Tout usage ou réutilisation illicite de ces données constituerait une violation de la réglementation en
matière de protection des données personnelles, et notamment du RGPD, et engagerait la responsabilité de
l’entreprise qui pourrait être sanctionnée par une amende administrative5.
Par ailleurs, nous vous rappelons que chaque salarié est soumis à un engagement contractuel de
confidentialité à l’égard de son employeur et, qu’à ce titre, toute diffusion ou utilisation illicite
d’informations est susceptible de sanctions disciplinaires.
Il est donc important que chacun d’entre vous reste vigilant face à tous types de sollicitations, y compris
pour l’accès à des bases de contact.
Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique (articles 323-1 à 323-3 du Code pénal) ;
Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN).
4
Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et Règlement général sur
la protection des données personnelles (RGPD) n° (UE) 2016/679 du 27 avril 2016
5
2% à 4% du chiffre d’affaires annuel mondial ou 10 millions ou 20 millions d’euros.
10
4. EXEMPLE D’ENGAGEMENT DE CONFIDENTIALITE
Je m’engage par conséquent, conformément aux articles 34 et 35 de la loi du 6 janvier 1978 modifiée
relative à l’informatique, aux fichiers et aux libertés ainsi qu’aux articles 32 à 35 du règlement général sur
la protection des données du 27 avril 2016, à prendre toutes précautions conformes aux usages et à l’état
de l’art dans le cadre de mes attributions afin de protéger la confidentialité des informations auxquelles
j’ai accès, et en particulier d’empêcher qu’elles ne soient communiquées à des personnes non autorisées à
recevoir ces informations.
Je m’engage en particulier à :
- ne pas utiliser les données auxquelles je peux accéder à des fins autres que celles prévues par mes
attributions ;
- ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en
recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;
- ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de mes
fonctions ;
- prendre toutes les mesures conformes aux usages et à l’état de l’art dans le cadre de mes
attributions afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;
- prendre toutes précautions conformes aux usages et à l’état de l’art pour préserver la sécurité
physique et logique de ces données ;
- m’assurer, dans la limite de mes attributions, que seuls des moyens de communication sécurisés
seront utilisés pour transférer ces données ;
- en cas de cessation de mes fonctions, restituer intégralement les données, fichiers informatiques
et tout support d’information relatif à ces données.
Cet engagement de confidentialité, en vigueur pendant toute la durée de mes fonctions, demeurera effectif,
sans limitation de durée après la cessation de mes fonctions, quelle qu’en soit la cause, dès lors que cet
engagement concerne l’utilisation et la communication de données à caractère personnel.
J’ai été informé que toute violation du présent engagement m’expose à des sanctions disciplinaires et
pénales conformément à la réglementation en vigueur, notamment au regard des articles 226-16 à 226-24
du code pénal.
Signature :
11
2ème partie annexe Mentions d’information
Le RGPD a pour objectif de renforcer la maîtrise des personnes sur les données les concernant, ce qui
implique que la personne soit informée de l’existence d’un traitement et de ses finalités. Le responsable
du traitement doit donc fournir certaines informations (cf. Articles 13 et 14) aux salariés, aux clients, aux
prospects ou à toute autre personne concernée par un traitement.
Les mentions d’information, selon les cas d’espèce, doivent être notamment indiqués sur les sites internet,
les e-mailings, les formulaires de contact....
Relativement aux sites internet, les mentions d’information des personnes concernées ne doivent pas se
confondre avec les mentions obligatoires, ce ne sont pas les mêmes obligations ni les mêmes fondements
légaux.
A noter que le délai de réponse à la demande d’une personne sur ses données personnelles est d’un mois
maximum, délai qu’il est possible de prolonger d’un mois supplémentaire, si et uniquement, si la demande
est complexe et ce à condition d’en informer l’intéressé dans le mois de sa demande.
Les données à caractère personnel ainsi collectées font l’objet d’un traitement dont le responsable est
[nom de l’entité/direction concernée le cas échéant et adresse].
Ces données sont collectées [indiquer la finalité : par exemple « dans le cadre de l’exécution du contrat »
ou « pour des motifs de sécurité »…] et sont nécessaires à [par exemple « la fourniture et à l’utilisation
du service » ou « à la mise en place d’un dispositif de vidéosurveillance »].
Elles sont destinées à [nom de l’organisme], ainsi qu’aux prestataires externes auxquels le responsable de
traitement fait appel [à adapter au cas d’espèce].
Elles seront conservées pendant [indiquer une durée : par exemple « trois mois » ou « toute la durée du
contrat » ou « toute la durée de l’utilisation du service »…].
En cas de difficulté en lien avec la gestion de vos données personnelles, vous pouvez adresser une
réclamation auprès du délégué à la protection des données personnelles [indiquer les coordonnées le cas
échéant] ou auprès de la CNIL (https://www.cnil.fr/fr/cnil-direct/question/844) ou de toute autre autorité
compétente.
Qu’il s’agisse d’une candidature spontanée ou d’une candidature en réponse à une offre, il est important
d’informer les candidats que leur CV peut être conservé par le recruteur. Il conviendrait dès lors d’envoyer
un message (automatique ou non) accusant réception de la candidature.
-----------------------------------
Madame, Monsieur,
6
Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et Règlement général sur
la protection des données personnelles (RGPD) n° (UE) 2016/679 du 27 avril 2016
12
Nous accusons réception de votre candidature et nous vous remercions de l’intérêt que vous portez à
l’entreprise.
Sans nouvelles de notre part dans un délai de… semaines à la réception de ce courrier, veuillez considérer
que nous ne sommes pas en mesure de donner une suite favorable à votre candidature.
Sauf avis contraire de votre part, l’ensemble de vos données et des éléments que vous nous avez transmis
sera conservé dans votre base de données pendant une durée d’un an afin de vous faire part d’éventuelles
opportunités susceptibles de vous intéresser. Ces données seront uniquement conservées à des fins de
recrutement et ne seront accessibles qu’aux personnes chargées du recrutement.
Lorsque les conversations téléphoniques sont susceptibles d’être enregistrées et ou qu’il y a collecte de
données personnelles, il s’agit d’un traitement de données à caractère personnel. Il est donc nécessaire
d’informer les personnes concernées (clients, salariés ou autres) de l’existence de cet enregistrement,
même par oral, au début de la conversation téléphonique.
--------------------
Afin d’améliorer la qualité du service, nous vous informons que la conversation téléphonique est susceptible
d’être enregistrée par [nom du responsable de traitement]. Les données ainsi enregistrées sont à destination
de [indiquer les destinataires] et sont strictement nécessaires à l’amélioration du service. Cet
enregistrement sera conservé [durée de conservation].
7
Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et Règlement général sur
la protection des données personnelles (RGPD) n° (UE) 2016/679 du 27 avril 2016.
8
Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et Règlement général sur
la protection des données personnelles (RGPD) n° (UE) 2016/679 du 27 avril 2016.
13
3ème partie annexe Sous-traitance
Le RGPD a pour objectif de renforcer la maîtrise des personnes sur les données les concernant, ce qui
implique que le responsable de traitement est responsable mais aussi le sous-traitant. Il faut vérifier que
vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités.
Par conséquent, il faut s’assurer, en tant que responsable de traitement de l’existence de clauses
contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de
protection des données personnelles traitées
Madame, Monsieur,
Le Règlement européen sur la protection des données personnelles (RGPD)9 entrant en application le 25
mai 2018, les obligations des entreprises et autres organismes se trouvent renforcées, qu’ils soient
responsables de traitement ou sous-traitants10.
A toutes fins utiles, vous trouverez ci-joint une note d’information de la CNIL. Pour plus d’informations,
nous vous invitons à consulter le site de la Commission nationale de l’informatique et des libertés (CNIL).
En tant que responsable de traitement, l’entité doit s’assurer de sa conformité au RGPD et de celle de ses
sous-traitants. Pour ce faire, nous devons mettre à jour les contrats de sous-traitance/prestations de
services/… portant sur des données personnelles. De même, nous vous demandons de bien vouloir nous
confirmer le lieu d’exécution du contrat, en nous signalant par exemple si l’un de vos prestataires
(hébergement, sécurité informatique…) est situé en-dehors de l’Union européenne.
En tant que sous-traitant, vous avez également une responsabilité sur les données personnelles que vous
pouvez être amené à traiter pour notre compte, notamment assurer la sécurité, nous alerter
immédiatement en cas d’incident de sécurité impactant des données personnelles (violations de données
personnelles), etc.
Pour cette raison, nous vous proposons d’intégrer par avenant au contrat les clauses obligatoires prévues
par le règlement européen sous la forme d’un avenant ci-joint. Merci de bien vouloir nous faire par retour
de la présente ,
Veuillez …..
9
Règlement général n° (UE) 2016/679 du 27 avril 2016 relatif à la protection des données personnelles (RGPD).
10
La CNIL rappelle que sont sous-traitants tous les organismes qui traitent des données personnelles pour le compte
d'un autre organisme, dans le cadre d'un service ou d'une prestation (prestataires de services informatiques tels que
l'hébergement ou la maintenance, intégrateurs de logiciels, sociétés de sécurité informatique, entreprises du service
du numérique ou SSII qui ont accès aux données, agences de marketing ou de communication...) :
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-
traitants
14
2. EXEMPLE D’AVENANT DONNEES PERSONNELLES EN CAS DE SOUS-TRAITANCE
I. Objet
Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à
effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère
personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en
vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE)
2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-
après, « le règlement européen sur la protection des données »).
Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère
personnel nécessaires pour fournir le ou les service(s) suivant(s) [...].
La nature des opérations réalisées sur les données est […].
La ou les finalité(s) du traitement sont [...].
Les données à caractère personnel traitées sont […].
Les catégories de personnes concernées sont […].
Pour l’exécution du service objet du présent contrat, le responsable de traitement met à la disposition du
sous-traitant les informations nécessaires suivantes […]. Règlement européen sur la protection des données
personnelles - Guide du sous-traitant - Edition septembre 2017
Le présent contrat entre en vigueur à compter du […] pour une durée de […].
Le cas échéant à ajouter: Le droit applicable au contrat est le droit […].La langue du contrat est […].
Le cas échéant à ajouter: une version en langue […] est effectuée pour convenance.
Le sous-traitant s'engage à :
1. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
3. Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent
contrat
15
4. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du
présent contrat :
s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée
de confidentialité
reçoivent la formation nécessaire en matière de protection des données à caractère
personnel
5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection
des données dès la conception et de protection des données par défaut
6. Sous-traitance
Choisir l’une des deux options et supprimer celle qui n’est pas retenue
Option A (autorisation générale)
Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener
des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable
de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants.
Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les
coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose
d’un délai minium de […] à compter de la date de réception de cette information pour présenter ses
objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n'a pas émis
d'objection pendant le délai convenu. Règlement européen sur la protection des données personnelles -
Guide du sous-traitant - Edition septembre 2017
Choisir l’une des deux options et supprimer celle qui n’est pas retenue
Option A
Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les
opérations de traitement au moment de la collecte des données.
Option B
Le sous-traitant, au moment de la collecte des données, doit fournir aux personnes concernées par les
opérations de traitement l’information relative aux traitements de données qu’il réalise. La formulation et
le format de l’information doit être convenue avec le responsable de traitement avant la collecte de
données.
Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son
obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès,
de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des
données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Choisir l’une des deux options et supprimer celle qui n’est pas retenue
Option A
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits,
le sous-traitant doit adresser ces demandes dès réception par courrier électronique à […] (indiquer un
contact au sein du responsable de traitement).
16
Option B
Le sous-traitant doit répondre, au nom et pour le compte du responsable de traitement et dans les délais
prévus par le règlement européen sur la protection des données aux demandes des personnes concernées
en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la sous-traitance prévue par le
présent contrat.
Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans
un délai maximum de […] heures après en avoir pris connaissance et par le moyen suivant […]. Cette
notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement,
si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Règlement européen sur la
protection des données personnelles - Guide du sous-traitant - Edition septembre 2017
Option possible
Après accord du responsable de traitement, le sous-traitant notifie à l’autorité de contrôle compétente (la
CNIL), au nom et pour le compte du responsable de traitement, les violations de données à caractère
personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance,
à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés
des personnes physiques.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les
informations peuvent être communiquées de manière échelonnée sans retard indu.
La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation
de données à caractère personnel et contient au moins
10. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations
17
11. Mesures de sécurité
[Décrire les mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque,
y compris, entre autres
Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité prévues par [code de conduite,
certification].
[Dans la mesure où l’article 32 du règlement européen sur la protection des données prévoit que la mise en
oeuvre des mesures de sécurité incombe au responsable du traitement et au sous-traitant, il est
recommandé de déterminer précisément les responsabilités de chacune des parties au regard des mesures
à mettre en oeuvre]
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes
d’information du sous-traitant. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.
Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement
effectuées pour le compte du responsable de traitement comprenant :
• le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels
sous-traitants et, le cas échéant, du délégué à la protection des données;
• les catégories de traitements effectués pour le compte du responsable du traitement;
• le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une
organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation
internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du
règlement européen sur la protection des données, les documents attestant de l'existence de
garanties appropriées;
• dans la mesure du possible, une description générale des mesures de sécurité techniques et
organisationnelles, y compris entre autres, selon les besoins :
• la pseudonymisation et le chiffrement des données à caractère personnel;
• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience
constantes des systèmes et des services de traitement;
• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à
celles-ci dans des délais appropriés en cas d'incident physique ou technique;
18
• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures
techniques et organisationnelles pour assurer la sécurité du traitement.
15. Documentation
Signature : Signature :
Nom+fonction Nom+fonction
19
4ème partie annexe Registre et fiche de registre
Dans le cadre de leur plan d'action pour se mettre en conformité au règlement européen sur la protection
des données (RGPD), les entités doivent tenir une documentation interne complète sur leurs traitements de
données personnelles et s’assurer qu'elles respectent bien les nouvelles obligations légales.
Si le registre est obligatoire dans certains cas, il est recommandé d’utiliser ce type de document ou de
modèle proposé par la CNIL, pour être en capacité de montrer ou tout au moins de documenter la conformité
au règlement.
Le registre permet de formaliser le recensement et la cartographie en utilisant de la méthodologie CNIL :
qui, quoi, pourquoi, où, jusqu’à quand, comment. https://www.cnil.fr/fr/cartographier-vos-traitements-
de-donnees-personnelles
Le RGPD impose uniquement que le registre se présente sous une forme écrite. Le format du registre est
libre et peut être constitué au format papier ou électronique. Les modèles publiés par la CNIL permettent
de répondre aux besoins courants et satisfont au socle d’exigences posées par l’article 30 du RGPD.
Il est possible de supprimer des lignes, d’en ajouter. Si une rubrique n’est pas utile, il convient de la laisser
en indiquant « non concerné » ou « inopérant » ou toute autre mention indiquant que la rubrique n’est pas
effective. Le fait de la laisser apparente permet en cas d’évolution du traitement de données et donc de la
fiche et du registre, de l’utiliser si nécessaire.
https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf
https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx
1. EXEMPLE DE REGISTRE
20
2. EXEMPLE DE FICHE DE REGISTRE
Mesures de sécurité
Mesures de sécurité techniques
Mesures de sécurité organisationnelles
Données génétiques
21