Contract
Entre : <Nom
organisation>
ayant son siège social à <adresse
organisation>,
ici valablement représentée par <nom
représentant>.
Ci-après
dénommée « <nom
organisation en abrégé> »,
soit le responsable
du traitement.
et : <Nom
Prénom>, ayant son
domicile à <adresse
organisation>,
ici valablement représentée par <nom
représentant>.
Ci-après
dénommée « <nom
organisation en abrégé> »,
soit le
maître d’ouvrage.
Considérant que :
Le maître de l’ouvrage met à disposition de l’auteur de projet de données à caractère personnel dont il est responsable, lesquelles peuvent être confiées à un auteur de projet ou à une administration pour la bonne marche du projet et tout traitement dans le cadre du projet. Ce contrat a pour objet de régir l’exécution et l’organisation de ce traitement et d’offrir des garanties suffisantes vis-à-vis de la protection de la vie privée.
Il s’agit plus particulièrement des mesures techniques et organisationnelles – comme mentionné à l’art. 32 du Règlement Général sur la Protection des Données / General Data Protection Regulation (RGPD/GDPR) – qui ont pour objet de répondre aux exigences du règlement et de garantir la protection des droits de la personne concernée.
Toutes les parties concernées s’engagent par principe et explicitement à respecter les dispositions du Règlement Général sur la Protection des Données, qui est entré en vigueur le 24/05/2016 et qui sera effectivement d’application à partir du 25/05/2018, ainsi que toute autre réglementation pertinente.
Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération ou de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
Article 1 – Objet du contrat (art. 28, alinéa 3, a)
L’auteur de projet agit exclusivement pour le compte du maître d'ouvrage et ne consultera et/ou ne traitera des données à caractère personnel que si, et dans la mesure où, cela est indispensable pour l’exécution du contrat. Ce faisant, l'auteur de projet suivra toutes les instructions raisonnables du responsable du traitement.
Conformément à ces instructions et aux dispositions du présent contrat, l'auteur de projet ne traitera pour le compte du maître d'ouvrage que des données à caractère personnel aux fins suivantes (connues aussi comme finalité) :
Nature et but du traitement (par exemple traitement de données salariales, comptabilité …)
Durée du traitement (par exemple jusqu’à la fin du contrat xyz)
Type de données à caractère personnel qui sont traitées (par exemple identité, adresse, rémunération …)
Catégories de personnes concernées auprès de l'auteur de projet (par exemple clients, prospects, membres du personnel, fournisseurs …)
>> Merci de prendre soin de décrire les catégories de traitement
Article 2 : Respect du Règlement Général sur la Protection des Données
Les parties s’engagent par principe et explicitement à respecter les dispositions du Règlement européen 2016/679 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données.
Article 3 : Utilisation des données à caractère personnel (art. 28, alinéa 3, 4)
Seules les données à caractère personnel qui sont strictement indispensables aux fins décrites à l’article 1 peuvent être traitées par l'auteur de projet. Le traitement des données concernées ainsi que le mode de mise à disposition doivent toujours être organisés de manière sécurisée. Les données ne peuvent être traitées par l'auteur de projet qu’aux fins décrites à l’article 1 du présent contrat.
Il est interdit au auteur de projet de faire une copie des données mises à disposition, sauf en vue d’un back-up, si cela s’avère indispensable lors de l’exécution de la mission telle que décrite dans le présent contrat.
l'auteur de projet ne conservera pas les données plus longtemps qu’il n’est indispensable pour la prestation du service pour lequel elles ont été mises à disposition. Si les données ne sont plus nécessaires ensuite, l'auteur de projet les détruira ou les renverra au responsable du traitement.
l'auteur de projet est tenu de garantir la confidentialité des données à caractère personnel qu’il reçoit du responsable du traitement. Une exception à cette règle n’est possible que lorsqu’une prescription légale ou une injonction judiciaire oblige l'auteur de projet à les communiquer ou lorsque le transfert de données se fait sur instruction du responsable du traitement.
Toute communication légalement obligatoire de données à caractère personnel à des tiers doit être préalablement notifiée par l'auteur de projet au responsable du traitement.
La confidentialité reste de mise après le transfert ou l’expiration du présent contrat.
Article 4 : Utilisation de auteur de projets (art. 28 alinéa 4)
Pour l’exécution pratique, l'auteur de projet peut conclure des contrats de sous-traitance avec des tiers.
Le maître d'ouvrage marque son accord général sur le traitement en sous-traitance de données à caractère personnel par des sous-auteur de projets pour les finalités prévues. Si l'auteur de projet sous-traite (partiellement) le traitement de données à caractère personnel au nom du responsable du traitement, l'auteur de projet le fait toujours au moyen d’un contrat écrit avec le sous-auteur de projet imposant au sous-auteur de projet des obligations de protection de données identiques ou au moins équivalentes aux obligations qui ont été imposées au auteur de projet dans le présent contrat. Si le sous-auteur de projet ne parvient pas à remplir son obligation de protection des données en vertu d’un tel contrat écrit, l'auteur de projet restera entièrement responsable vis-à-vis du maître d'ouvrage pour le respect de ces obligations.
l'auteur de projet tient à jour une liste des contrats de sous-traitance actifs avec des sous- auteur de projets et peut la remettre dans un délai raisonnable sur demande écrite (y compris par e-mail) au responsable du traitement. l'auteur de projet informe de façon structurelle le maître d'ouvrage en cas de changement dans cette liste.
Le fait que l'auteur de projet confie ses engagements en tout ou partie à des tiers ne le dégage pas de sa responsabilité vis-à-vis du responsable du traitement. Ce dernier ne reconnaît aucune relation contractuelle avec ces tiers.
Toutes les obligations qui sont imposées au auteur de projet le sont également à chacun de ses travailleurs ou fournisseurs pour les services qui les concernent. l'auteur de projet imposera particulièrement à ses travailleurs ou fournisseurs l’obligation de confidentialité reposant sur lui. Il conservera la preuve de leur respect de cette obligation à la disposition du responsable du traitement.
Article 5 : Sécurité (art. 32)
Le maître d'ouvrage et l'auteur de projet prennent tous deux des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité approprié. Le maître d'ouvrage veille à ce que l'auteur de projet prenne toutes les mesures requises (comme énuméré à l’art. 32 du RGPD).
Compte tenu de l’état de la technique, des frais d’exécution, ainsi que de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et les libertés des personnes, le maître d'ouvrage et l'auteur de projet prennent les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
l'auteur de projet sécurisera en particulier les données à caractère personnel contre la destruction, la perte, l’altération, la divulgation non autorisée de données transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
l'auteur de projet informera toujours le maître d'ouvrage des mesures techniques et organisationnelles qu’il a mises à exécution pour protéger les données à caractère personnel contre la destruction, la perte, la falsification et la transmission ou l’accès non autorisé.
Les mesures comprennent certainement :
la faculté de garantir sur une base permanente la confidentialité, l’intégrité, la disponibilité et la souplesse des systèmes de traitement et des services
la faculté de rétablir temporairement la disponibilité et l’accès aux données à caractère personnel en cas d’incident physique ou technique
une procédure pour tester, juger et évaluer, à intervalles déterminés, l’efficacité des mesures techniques et organisationnelles destinées à sécuriser le traitement
Autres exemples de mesures qui peuvent être fixées dans ce contrat :
Mise en œuvre et utilisation de technologies et techniques de sécurisation, qui sont en conformité avec les best practices dans l’industrie (firewall, réseau, anti-malware, politique en matière de mots de passe …)
Pseudonymisation ou cryptage de données à caractère personnel (au moins pour les mots de passe)
Arrangements pour la protection contre des risques de sécurité critiques (patching) ou hacking
L’utilisation de connexions sécurisées et certificats pour des sites Internet et la circulation de données (https, SSL, VPN)
La garantie de la résistance d’applications web vis-à-vis des risques de sécurité repris dans le Top 10 de l’OWASP (cross site scripting, SQL injection…)
Article 6 : Notification de fuites de données
l'auteur de projet s’engage à notifier tou(te)s (tentatives de) traitements ou accès illicites ou autrement non autorisés à des données à caractère personnel ou autres données confidentielles. l'auteur de projet notifie la violation en question immédiatement, au plus tard 24 heures après la constatation de l’incident. De plus, l'auteur de projet prendra toutes les mesures raisonnablement nécessaires pour prévenir ou limiter toute (nouvelle) violation des mesures de sécurité.
l'auteur de projet indiquera au moins ce qui suit dans sa notification :
nature de l’incident
moment de la constatation
données impactées
mesures directement prises afin de limiter tout dommage supplémentaire
moment où l’incident a pris fin
mesures structurelles de prévention pour l’avenir
Le maître d'ouvrage notifiera les fuites de données tombant sous le coup d’une obligation de notification légale à l’autorité de contrôle compétente dans les délais légaux prévus.
Article 7: Restriction d’accès physique et fonctionnelle
l'auteur de projet prendra les mesures techniques et organisationnelles nécessaires pour veiller à ce que les lieux où des données personnelles sont traitées sur instruction du maître d'ouvrage ne soient pas accessibles à des personnes non autorisées.
l'auteur de projet limitera l’accès aux données à caractère personnel aux membres du personnel qui ont besoin des données pour exercer les tâches que l'auteur de projet leur confie en exécution du présent contrat. l'auteur de projet fournira au maître d'ouvrage une liste des membres du personnel associés au traitement de données à caractère personnel.
Article 8 : Sensibilisation et formation du personnel (art. 29)
l'auteur de projet s’engage à informer les personnes ayant accès aux données, conformément au présent contrat, sur les dispositions du Règlement Général sur la Protection des Données. l'auteur de projet garantit que les personnes habilitées au traitement des données à caractère personnel se sont engagées à respecter la confidentialité ou sont liées par une obligation légale adéquate en matière de confidentialité.
Article 9 : Application du devoir de notification (art. 13)
Si l'auteur de projet, en exécution du présent contrat, collecte directement des données à caractère personnel auprès des personnes concernées et enregistre ces données, il devra respecter les dispositions de l’article 13 du règlement général des données et informer les personnes concernées (au moyen d’une politique en matière de vie privée par exemple). Le cas échéant, il est convenu que l'auteur de projet soumette préalablement le contenu et le mode de notification au responsable du traitement.
Article 10 : Contrôle par le maître d'ouvrage (art. 28 alinéa 3, h)
Le maître d'ouvrage a le droit, à tout moment, de contrôler le respect de ce contrat. Sur simple demande du responsable, l'auteur de projet est tenu de mettre à disposition toutes les informations qui sont nécessaires pour démontrer le respect des obligations prévues et de permettre la réalisation d’audits, y compris des inspections, par le maître d'ouvrage ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
Article 11 : Responsabilité (art. 82, alinéa 2)
l'auteur de projet est responsable du dommage résultant du non-respect du présent contrat ainsi que des prescriptions applicables au auteur de projet édictées en vertu de la loi vie privée relative à la protection des données à caractère personnel, sans préjudice de la responsabilité en vertu d’autre règles, pour autant que cela découle de son activité.
l'auteur de projet ne sera en aucun cas responsable du dommage résultant d’instructions du responsable du traitement. Si le maître d'ouvrage est interpellé par une personne concernée en vue de l’indemnisation d’un dommage, l'auteur de projet sera joint à la procédure. Si le maître d'ouvrage est tenu pour responsable, il peut se retourner contre l'auteur de projet si celui-ci a personnellement failli dans le respect du présent contrat et des prescriptions édictées en vertu de la loi sur la vie privée.
Article 12 : Obligation au terme du traitement de données à caractère personnel (art. 28, alinéa 3, g)
Les parties conviennent que l'auteur de projet doit, au terme de la prestation de services relatifs au traitement de données, renvoyer toutes les données à caractère personnel transmises et copies de celles-ci au client ou, si le client préfère, détruire toutes les données à caractère personnel et déclarer au client que la destruction a eu lieu, à moins que la législation applicable au auteur de projet lui interdise de renvoyer ou de détruire en toute sécurité tout ou partie des données à caractère personnel transmises. Dans ce cas, le fournisseur garantit qu’il respectera la confidentialité des données à caractère personnel transmises et qu’il ne traitera pas activement les données à caractère personnel transmises.
Article 13 : Durée de ce contrat
Le présent contrat entre en vigueur après sa signature par les deux parties. Le contrat est conclu pour la période pendant laquelle le contrat des activités de traitement par l'auteur de projet est en vigueur. Si ce dernier contrat prend fin, le présent contrat prend fin également à l’exception de la clause de confidentialité, qui reste en vigueur après le transfert ou l’expiration du présent contrat.
Fait à ……………………… le jj/mm/aa en 2 exemplaires.
Pour l’auteur de projet, Pour le maître d’ouvrage
Nom : Nom :
Fonction : Fonction :
Signature : Signature :