Les entreprises doivent conclure au préalable un contrat de traitement des commandes avec de nombreux prestataires de services. Selon l'autorité de surveillance de la protection des données de Berlin (BInBDI), les contrats types utilisés à cet effet sont régulièrement illégaux, car ils ne sont pas conformes à l'article 28 du RGPD.
Vous découvrirez ici ce à quoi il faut faire attention dans le cadre des contrats de traitement des commandes (contrats CUU).
Qu'est-ce que le traitement des commandes ?
Le site Sous-traitant est défini à l'article 4, point 8, du RGPD comme toute personne physique ou morale, autorité publique, institution ou autre organisme qui traite des données à caractère personnel pour le compte du responsable. Il doit donc s'agir de quelqu'un d'autre que le responsable et cette personne doit agir pour le compte du responsable.
Le sous-traitant n'est pas lui-même responsable. Il agit uniquement sur les instructions du responsable. Le responsable du traitement reste responsable du respect des dispositions légales en matière de protection des données.
Le sous-traitant est tenu de respecter les instructions du responsable du traitement. Au début de leur relation commerciale, le sous-traitant et le responsable concluent un contrat dit de traitement des commandes, qui régit les droits et obligations du sous-traitant, notamment en ce qui concerne les données à caractère personnel mises à disposition par le responsable.
Contrats types de traitement des commandes
Les sous-traitants agissent généralement pour le compte de nombreux responsables différents en même temps. Les prestataires de services dans le domaine de l'hébergement web sont un exemple courant de sous-traitants. Afin de maintenir l'efficacité de leur travail, ces prestataires de services utilisent souvent des contrats types. Il s'agit de modèles dans lesquels seule la désignation du partenaire contractuel est généralement adaptée. Cela peut être avantageux pour les processus commerciaux des sous-traitants, mais ces modèles manquent souvent de légalité.
Selon ses propres informations, l'autorité de surveillance de la protection des données de Berlin (BInBDI) reçoit régulièrement des demandes d'entreprises qui souhaitent recourir à des services de traitement des commandes (généralement des services d'hébergement de sites web). Lors de la sélection du prestataire de services approprié, ces entreprises constatent souvent que les modèles de contrats de traitement des commandes utilisés par ce prestataire ne répondent pas aux exigences de l'article 28 du RGPD.
Vérifier les contrats types
L'autorité de surveillance de la protection des données de Berlin (BInBDI) a réalisé, à l'exemple d'entreprises berlinoises, une Liste de contrôle pour l'examen des contrats types de traitement des données à caractère personnel a été établie. Les bases de cette liste peuvent être utiles tant pour les responsables concernés que pour les sous-traitants respectifs. En ce qui concerne la liste de contrôle, la BInBDI fournit également aux personnes intéressées Remarques sur l'utilisation de cette liste à la main.
Lors de la publication de ces outils, la BInBDI précise : "Pour la première fois, il existe avec la check-list un standard pour la vérification des CUU qui peut également être utilisé dans d'autres domaines. Nous encourageons tous les prestataires de services informatiques à vérifier eux-mêmes leurs contrats standard et à les adapter à la loi. Après tout, des amendes élevées peuvent être infligées non seulement aux responsables qui font appel à des prestataires de services informatiques sans contrat AV en bonne et due forme, mais aussi aux prestataires de services informatiques eux-mêmes".
Vous souhaitez que les documents et les processus de votre entreprise soient conformes à la protection des données ? Notre équipe d'experts est là pour vous conseiller et vous aider !