Aller au contenu

Modèle de clause de co-traitance RGPD (Article 26 RGPD)

  • RGPD

Article X – Traitement de données à caractère personnel en co-responsabilité

Dans le cadre de la mise en œuvre conjointe des traitements de données à caractère personnel nécessaires à [exemple : la gestion des dossiers de formation et au financement des parcours], les Parties reconnaissent agir en co-responsables du traitement, au sens de l’article 26 du Règlement (UE) 2016/679 (RGPD).

1. Détermination conjointe des finalités et des moyens

Les Parties déterminent ensemble :

  • Les finalités des traitements : [ex. : suivi administratif, gestion du financement, reporting réglementaire] ;
  • Les moyens essentiels du traitement : nature des données collectées, modalités de collecte, durée de conservation, accès aux données.

Un document annexe (ou un article dédié) précise les responsabilités respectives et les modalités pratiques de coopération.

2. Engagements communs des Parties

Les Parties s’engagent à :

  • Traiter les données de manière licite, loyale, transparente et pertinente ;
  • Mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité, la confidentialité et l’intégrité des données ;
  • Informer les personnes concernées de manière transparente (via une politique de confidentialité ou une notice d’information spécifique) ;
  • Permettre et faciliter l’exercice des droits des personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité) ;
  • Coopérer activement en cas de demande d’exercice des droits, d’audit ou de contrôle par une autorité compétente (ex. CNIL) ;
  • Notifier toute violation de données personnelles dans un délai raisonnable à l’autre Partie, afin d’assurer la mise en œuvre des mesures correctives appropriées et, le cas échéant, d’effectuer la notification à la CNIL.

3. Coordination des réponses aux demandes des personnes concernées

Les Parties définissent un point de contact unique auprès des personnes concernées pour :

  • Toute question relative au traitement de leurs données ;
  • L’exercice de leurs droits RGPD.

Ce point de contact est : [préciser : ex. le DPO ou service RGPD de l’OPAC / ou un point de contact partagé].

4. Documentation et traçabilité

Les Parties tiennent à jour un registre des traitements incluant les traitements conjoints, et conservent la documentation des échanges, instructions et mesures mises en œuvre.
Les traitements réalisés conjointement sont listés dans l’annexe [n°] à la présente convention.

5. Durée et réversibilité

La présente clause s’applique pendant toute la durée de la coopération. En cas de fin de collaboration ou de rupture anticipée, les Parties s’engagent à :

  • Restituer ou supprimer les données concernées, sauf obligation légale contraire ;
  • Respecter la confidentialité au-delà de la durée de la présente convention.

6. Transferts hors UE

Les Parties s’engagent à ne pas transférer les données personnelles en dehors de l’Union européenne ou de l’Espace économique européen, sauf :

  • à garantir un niveau de protection adéquat reconnu par la Commission européenne,
  • ou à encadrer le transfert par des clauses contractuelles types ou le Data Privacy Framework.

Annexe possible à ajouter :

  • Répartition des traitements (tableau),
  • Liste des traitements conjoints avec outils utilisés,
  • Rôles respectifs en cas d’exercice des droits ou de violation de données.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *