Donneur d'ordres
Prestataires
L'annuaire Passwork
Bibliothèque de modèle
Clause RGPD / protection des données personnelles
Clause
Juridique

Clause RGPD / protection des données personnelles

Clause encadrant le traitement des données personnelles échangées dans le cadre d'un contrat de sous-traitance, conformément au Règlement (UE) 2016/679.

Télécharger

Dès qu'un sous-traitant accède à des données personnelles dans le cadre de sa mission, coordonnées de salariés, données de chantier, informations clients, vous êtes responsable du traitement au sens du RGPD. En l'absence de clause contractuelle adaptée, vous exposez votre entreprise à des sanctions pouvant atteindre 4 % de votre chiffre d'affaires annuel mondial.

À qui s'adresse ce modèle ?

  • Donneurs d'ordres dont les sous-traitants accèdent à des données personnelles de salariés, clients ou tiers
  • Responsables achats et services juridiques souhaitant standardiser leurs contrats
  • Entreprises BTP, industrie, facility management soumises au RGPD

Ce que couvre ce modèle

  • Qualification des rôles respectifs (responsable de traitement / sous-traitant au sens RGPD)
  • Obligations du sous-traitant : confidentialité, mesures de sécurité, limitation des finalités
  • Encadrement du recours à des sous-traitants ultérieurs (sous-traitance en cascade)
  • Obligations en cas de violation de données : délai de notification, procédure
  • Droits des personnes concernées : coopération requise du sous-traitant
  • Restitution ou destruction des données en fin de contrat
Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée.

Depuis l'entrée en vigueur du Règlement général sur la protection des données en mai 2018, tout contrat dans lequel un sous-traitant traite des données personnelles pour le compte d'un donneur d'ordre doit comporter une clause spécifique. Ce n'est pas une option : l'article 28 du RGPD impose que le traitement par un sous-traitant soit régi par un contrat écrit qui définit l'objet, la durée, la nature et la finalité du traitement.

En pratique, cette obligation concerne une large part des contrats de sous-traitance BTP et services. Dès qu'un prestataire consulte une liste de salariés, accède à un logiciel contenant des données de contact, ou intervient sur un site où des données sont collectées, il agit en qualité de sous-traitant au sens du RGPD. Vous restez, en tant que donneur d'ordre, responsable du traitement : c'est vous qui répondez devant la CNIL en cas de manquement.

Ce que risque le donneur d'ordre sans cette clause

L'absence de clause RGPD dans vos contrats constitue une violation directe du règlement. La CNIL peut prononcer une amende administrative pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les manquements aux obligations de l'article 28, et jusqu'à 4 % pour les atteintes aux principes fondamentaux du traitement. Au-delà de l'amende, vous assumez la responsabilité des dommages causés aux personnes concernées si votre sous-traitant n'a pas respecté les règles.

Pour aller plus loin sur vos obligations légales en matière de conformité, la réglementation évolue régulièrement et il est utile de maintenir une veille active.

Les éléments obligatoires de la clause selon l'article 28

L'article 28 du RGPD fixe un contenu minimal que la clause doit respecter. Votre contrat doit préciser que le sous-traitant :

  • Ne traite les données personnelles que sur instruction documentée du responsable de traitement
  • S'assure que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité
  • Prend toutes les mesures de sécurité requises par l'article 32 du RGPD
  • Ne fait appel à un autre sous-traitant qu'avec votre autorisation préalable écrite
  • Vous aide à répondre aux demandes d'exercice des droits des personnes concernées
  • Vous notifie toute violation de données dans les meilleurs délais
  • Supprime ou restitue toutes les données à l'issue de la prestation
  • Met à votre disposition les informations nécessaires pour démontrer le respect de ses obligations

Ces mentions ne sont pas négociables. Un contrat qui en ferait l'économie ne serait pas conforme, même si le sous-traitant se révèle en pratique irréprochable.

Comment rédiger la clause : points de vigilance

La clause RGPD n'est pas un texte générique à copier-coller. Plusieurs points méritent une attention particulière.

La qualification des rôles. Distinguez clairement si votre sous-traitant agit comme sous-traitant au sens du RGPD (il traite des données uniquement pour vous, selon vos instructions) ou comme responsable de traitement conjoint. Dans la majorité des cas de sous-traitance BTP, il s'agit bien d'un sous-traitant RGPD, mais certaines situations de partage de données peuvent créer une coresponsabilité qui doit être contractualisée séparément.

La sous-traitance en cascade. Si votre prestataire fait lui-même appel à des sous-traitants ultérieurs, la clause doit prévoir votre autorisation préalable et imposer à votre sous-traitant de répercuter les mêmes obligations sur ces tiers. Cette disposition est souvent oubliée dans les contrats standards.

Les mesures de sécurité. Évitez les formulations vagues du type "mesures appropriées". Listez les exigences minimales attendues : chiffrement, contrôle des accès, journalisation, procédure de sauvegarde. Plus vous êtes précis, plus vous limitez le risque d'interprétation divergente.

La notification des violations. Précisez le délai et le canal de notification. La réglementation vous impose de notifier la CNIL dans les 72 heures suivant la découverte d'une violation. Votre sous-traitant doit vous alerter suffisamment tôt pour que vous puissiez respecter ce délai.

Pour sécuriser l'ensemble de votre chaîne contractuelle, consultez notre guide sur les clauses et la prévention des risques.

Dans quels contrats insérer cette clause

La clause RGPD s'applique à tout contrat dès lors que le sous-traitant traite des données personnelles. En pratique, cela concerne :

  • Les contrats de prestation de services intellectuels (BET, maîtrise d'œuvre, OPC, AMO)
  • Les contrats de facility management et de maintenance, où les prestataires accèdent souvent à des systèmes informatiques ou à des données d'occupation
  • Les contrats de mise à disposition de personnel, où des données de salariés sont transmises
  • Les contrats de sous-traitance chantier impliquant la gestion de listes nominatives de salariés ou de données de sécurité

En revanche, un contrat de fourniture de matériaux bruts, sans accès à aucune donnée personnelle, peut ne pas nécessiter cette clause.

En fin de contrat : supprimer ou restituer les données

La fin de la prestation ne marque pas la fin des obligations. Votre clause doit prévoir une obligation explicite de destruction ou de restitution des données personnelles traitées, assortie d'une attestation écrite. Sans cette disposition, vos données peuvent rester dans les systèmes de votre ancien prestataire sans que vous en soyez informé.

La gestion documentaire de vos contrats inclut idéalement un suivi de l'exécution de cette obligation en fin de contrat, au même titre que la levée des réserves ou la restitution des accès.

Pour aller plus loin, retrouvez l'ensemble des documents obligatoires pour sous-traiter sans risque dans notre ressource dédiée.

Sommaire
Sommaire
Example H2
Example H3
Example H4
Example H5
Example H6

Questions fréquentes

La clause RGPD est-elle obligatoire dans tous les contrats de sous-traitance ?

Elle est obligatoire dès que votre sous-traitant traite des données personnelles pour votre compte, quelle que soit la taille de votre entreprise ou celle du prestataire. L'article 28 du Règlement (UE) 2016/679 l'exige sans exception. Si votre prestataire n'accède à aucune donnée personnelle (fourniture de matériaux, prestation purement matérielle sans accès aux systèmes), la clause n'est pas requise, mais son insertion reste recommandée par précaution.

Que se passe-t-il si mon sous-traitant subit une fuite de données sans que j'aie prévu de clause RGPD ?

En l'absence de clause contractuelle, vous restez responsable du traitement vis-à-vis de la CNIL et des personnes concernées. Vous ne pouvez pas vous retourner efficacement contre votre sous-traitant si ses obligations n'ont pas été formalisées par écrit. La CNIL peut vous sanctionner directement, et les personnes dont les données ont été compromises peuvent engager votre responsabilité civile. La clause permet de transférer contractuellement une partie du risque vers le sous-traitant et d'établir des recours clairs.

Peut-on utiliser une clause RGPD standard ou faut-il l'adapter à chaque contrat ?

Une clause standard couvre les obligations minimales de l'article 28 et convient pour la grande majorité des contrats courants. Elle doit être adaptée lorsque le traitement est sensible (données de santé, données biométriques), lorsque le sous-traitant fait lui-même appel à des prestataires ultérieurs, ou lorsque des transferts de données hors Union européenne sont envisagés. Dans ces cas, des clauses contractuelles types validées par la Commission européenne doivent être ajoutées.

Comment encadrer le recours de mon sous-traitant à ses propres prestataires ?

Votre clause doit prévoir une autorisation préalable écrite de votre part avant tout recours à un sous-traitant ultérieur. Elle doit également obliger votre prestataire à imposer à ces tiers les mêmes obligations que celles que vous lui avez fixées. Prévoyez aussi une obligation d'information : votre sous-traitant doit vous notifier tout changement de sous-traitant ultérieur prévu, afin que vous puissiez vous y opposer si nécessaire.

Simplifiez la gestion de vos sous-traitants

Centralisez partenaires, conformité, missions et contrats dans une seule plateforme pensée pour les entreprises de toutes tailles.

CommencerDemander une démo
Plateforme
QualificationDocuments & conformitéGestion des chantiers et missionsGestion des offres de missionsGestion des contratsGestion des demandes d'agrémentsIntégrationRapport
Ressources
TarifsBlogCentre des ressourcesNos clientsCentre d'aideCalculateur coût de gestion
ENTREPRISE
A proposDemander une démoS'inscrireSe connecter
COMPARATIFS
AddWorking vs HiveoAddWorking vs Once For AllAddWorking vs BatisAddWorking vs SubclicAddWorking vs ActradisAddWorking vs Provigis
© 2026 AddWorking.
Mentions légalesPolitique de confidentialitéConditions générales