Quelles clauses contractuelles imposer au sous-traitant hébergeant les données de pointage hors UE ?
Réponse courte
Lorsque les données de pointage sont hébergées par un sous-traitant établi hors de l'Union européenne, l'employeur doit, conformément à la base légale du pointage, intégrer au contrat de sous-traitance les clauses contractuelles types (CCT) adoptées par la Commission européenne, conformément à l'article 46, paragraphe 2, du RGPD. Ces clauses imposent au sous-traitant des obligations en matière de sécurité, de confidentialité, de coopération avec la CNPD et de restitution ou suppression des données en fin de contrat.
Le contrat doit également contenir les mentions obligatoires prévues par l'article 28 du RGPD pour tout sous-traitant, ainsi que des mesures supplémentaires (chiffrement, pseudonymisation) destinées à compenser les éventuelles lacunes de la législation du pays tiers. L'employeur reste responsable du traitement et doit pouvoir démontrer la conformité de l'ensemble du dispositif.
Définition
Le contrat de sous-traitance au sens de l'article 28 du RGPD formalise la relation entre le responsable du traitement (l'employeur) et le sous-traitant (le prestataire hébergeant les données de pointage). Il définit les obligations de chaque partie en matière de protection des données personnelles.
Les clauses contractuelles types (CCT) sont des modèles de clauses adoptés par la Commission européenne qui garantissent un niveau de protection adéquat lors du transfert de données vers un pays tiers. Elles sont juridiquement contraignantes et directement applicables sans nécessiter d'autorisation préalable de la CNPD.
Questions fréquentes
Conditions d’exercice
Le contrat avec le sous-traitant hébergeant les données de pointage hors UE doit contenir les clauses suivantes.
| Clause | Contenu |
|---|---|
| Objet et durée du traitement | Description précise des données de pointage traitées, finalités autorisées et durée de conservation |
| Instructions documentées | Le sous-traitant ne traite les données que sur instruction documentée de l'employeur |
| Confidentialité | Engagement de confidentialité de toutes les personnes ayant accès aux données de pointage |
| Sécurité | Mesures techniques et organisationnelles garantissant la sécurité des données (chiffrement, contrôle d'accès, journalisation) |
| Sous-traitance ultérieure | Interdiction ou encadrement strict du recours à un sous-traitant ultérieur, avec obligation d'information préalable |
| Droits des salariés | Assistance à l'employeur pour répondre aux demandes d'accès, de rectification ou d'effacement des salariés |
| Notification de violation | Obligation de notifier l'employeur sans délai en cas de violation de données |
| Restitution et suppression | Restitution ou suppression de toutes les données à la fin du contrat, avec certificat de destruction |
| Audit | Droit d'audit de l'employeur ou d'un tiers mandaté sur les installations et les pratiques du sous-traitant |
| CCT Commission européenne | Intégration des clauses contractuelles types pour les transferts hors UE |
Modalités pratiques
La négociation et la mise en œuvre du contrat suivent les étapes suivantes.
| Étape | Description |
|---|---|
| Évaluation du prestataire | Vérifier les certifications de sécurité (ISO 27001, SOC 2) et la conformité RGPD du sous-traitant |
| Analyse d'impact du transfert | Évaluer la législation du pays tiers et les risques d'accès gouvernemental aux données |
| Rédaction du contrat | Intégrer les clauses de l'article 28 du RGPD et les CCT de la Commission européenne |
| Mesures supplémentaires | Définir les mesures techniques complémentaires (chiffrement de bout en bout, clés détenues par l'employeur) |
| Validation juridique | Faire valider le contrat par le DPO et le service juridique avant signature |
| Suivi régulier | Exercer le droit d'audit et réévaluer périodiquement la conformité du prestataire |
Pratiques et recommandations
Exiger du sous-traitant des certifications de sécurité reconnues et un engagement contractuel de se soumettre à des audits réguliers. Les certifications ISO 27001 ou SOC 2 constituent un minimum pour un prestataire hébergeant des données de pointage sensibles.
Respecter les obligations d'information envers les salariés concernés.
Conserver le chiffrement des données sous le contrôle de l'employeur (gestion des clés de chiffrement côté employeur) pour garantir que le sous-traitant ne puisse pas accéder aux données en clair sans autorisation.
Prévoir des clauses de réversibilité permettant de migrer les données vers un autre prestataire ou de les rapatrier dans l'UE en cas de rupture du contrat ou de changement de la situation juridique du pays tiers.
Documenter l'ensemble du processus de sélection, de contractualisation et de suivi du sous-traitant pour constituer un dossier de conformité exploitable en cas de contrôle de la CNPD.
Cadre juridique
| Référence | Objet |
|---|---|
| Article 28 du RGPD | Obligations contractuelles entre responsable du traitement et sous-traitant |
| Article 46 du RGPD | Clauses contractuelles types pour les transferts vers des pays tiers |
| Articles 44 à 49 du RGPD | Cadre général des transferts de données hors UE |
| Article 32 du RGPD | Mesures de sécurité du traitement |
| Article 33 du RGPD | Notification des violations de données dans les 72 heures |
| Art. L.261-1 du Code du travail | Encadrement de la surveillance des salariés |
| Loi du 1er août 2018 | Protection des données à caractère personnel en droit luxembourgeois |
| CNPD | Autorité de contrôle compétente pour vérifier la conformité des contrats de sous-traitance |
Note
L'employeur reste le responsable du traitement au sens du RGPD, même lorsque les données sont hébergées par un sous-traitant. En cas de violation de données ou de non-conformité, la responsabilité de l'employeur est engagée solidairement avec celle du sous-traitant. La CNPD peut sanctionner les deux parties en cas de manquement.