Aller au contenu

Modèles de clauses contractuelles à ajouter à vos contrats

  • RGPD

1. Finalité : Organisation et animation de la formation

Acteurs impliqués : formateurs externes / sous-traitants

Clause RGPD à insérer dans un contrat de prestation de formation

Article X – Protection des données à caractère personnel
 Le Prestataire est informé que, dans le cadre de l’exécution de la présente mission, il peut être amené à traiter des données à caractère personnel pour le compte de l’Organisme, agissant en tant que sous-traitant au sens de l’article 4.8 du Règlement (UE) 2016/679 (RGPD).

Le Prestataire s’engage à :

  • Traiter les données uniquement sur instruction documentée de l’Organisme ;
  • Garantir la confidentialité des données et la sécurité des traitements ;
  • Mettre en œuvre des mesures techniques adaptées : accès restreint, pseudonymisation, chiffrement le cas échéant ;
  • Ne pas sous-traiter tout ou partie de ce traitement sans autorisation écrite préalable ;
  • Notifier sans délai toute violation de données ;
  • Supprimer ou restituer les données à la fin de la mission, sauf obligation légale de conservation.

2. Finalité : Gestion des financements

Acteurs impliqués : France Travail, Régions

Clause RGPD pour convention de co-traitance ou clause contractuelle spécifique

Article X – Co-responsabilité des traitements
 Dans le cadre du financement et du suivi administratif des actions de formation, les Parties reconnaissent leur statut de co-responsables du traitement au sens de l’article 26 du RGPD.

Elles s’engagent à :

  • Déterminer conjointement les finalités et moyens essentiels du traitement ;
  • Mettre à disposition une information claire à destination des bénéficiaires ;
  • Mettre en œuvre des mesures de sécurité et garantir la confidentialité des données ;
  • Coopérer en cas d’exercice des droits des personnes concernées ;
  • Se notifier mutuellement tout incident de sécurité impliquant les données traitées conjointement.

Une annexe peut préciser la répartition des obligations respectives.

3. Finalité : Habilitation auprès d’un certificateur (RNCP ou RS)

Acteurs impliqués : certificateur, plateformes de certification, jury

Clause RGPD pour convention de partenariat ou dossier de certification

Article X – Transmission de données à un responsable de traitement
 Dans le cadre du processus de certification, l’Organisme transmet des données à caractère personnel à l’Organisme Certificateur, agissant en tant que responsable autonome du traitement.

Le Certificateur s’engage à :

  • Traiter les données uniquement pour les besoins liés à l’instruction des dossiers et à l’évaluation des candidats ;
  • Informer les candidats de leurs droits et garantir leur exercice ;
  • Mettre en œuvre des mesures de sécurité conformes aux exigences légales ;
  • Ne pas utiliser les données à d’autres fins que la certification enregistrée.

4. Finalité : Contrôle qualité, audits réglementaires

Acteurs impliqués : DREETS, DGEFP, CDC, France Compétences

Mention à insérer dans la politique de confidentialité ou le dossier de formation

Transmission légale à des autorités publiques
 Certaines données personnelles peuvent être transmises aux autorités compétentes (DREETS, DDEETS, France Compétences, CDC…) dans le cadre d’obligations légales de contrôle, de suivi ou d’audit, en vertu du Code du travail ou des dispositifs réglementaires en vigueur.

Ces transmissions sont limitées aux seules données nécessaires et s’effectuent dans des conditions garantissant leur confidentialité et leur sécurité.

5. Finalité : Hébergement / site Web / maintenance technique

Acteurs impliqués : hébergeur, prestataire technique, webmaster

Clause RGPD pour contrat de maintenance ou infogérance

Article X – Accès technique à des données personnelles
 Le Prestataire assure la maintenance technique du site Internet et/ou des serveurs de l’Organisme. Il peut, à ce titre, avoir un accès occasionnel ou indirect à des données à caractère personnel.

Le Prestataire s’engage à :

  • Ne pas consulter intentionnellement les données personnelles ;
  • Intervenir uniquement dans le cadre des opérations de maintenance convenues ;
  • Garantir la confidentialité des données accessibles techniquement ;
  • Documenter les accès et interventions ;
  • Mettre en œuvre des mesures de sécurité (authentification forte, logs, journalisation).

6. Finalité : Prospection via publicités (Google, Meta, LinkedIn)

Acteurs impliqués : régies publicitaires, agences marketing

Clause RGPD à insérer dans les CGU du site ou dans un contrat avec l’agence

Article X – Traitement de données à des fins de prospection
 Des données personnelles peuvent être collectées via des formulaires publicitaires (Lead Ads) à des fins de prospection ou de prise de contact. Ce traitement repose sur le consentement explicite de la personne concernée.

Les données sont conservées 1 an maximum si non suivies d’une conversion, et 3 ans en cas de contact actif. Elles sont accessibles uniquement à l’équipe commerciale autorisée.
Les plateformes publicitaires (Meta, Google, LinkedIn) peuvent agir comme responsables autonomes pour certains traitements liés à la diffusion de l’annonce.

7. Finalité : Automatisations inter-outils (Zapier, API)

Acteurs impliqués : éditeurs de logiciels, outils de connectivité

Clause RGPD pour contrat avec un éditeur de logiciel ou une agence d’intégration

Article X – Traitement automatisé inter-outils
 L’Organisme a recours à des outils d’interconnexion pour automatiser le transfert de données personnelles entre différents logiciels (ex. : Digiforma ↔ Quickbooks).
Les éditeurs concernés agissent en tant que sous-traitants techniques et s’engagent à :

  • Sécuriser les flux de données (chiffrement, logs, jetons d’authentification limités) ;
  • Limiter les traitements aux données nécessaires ;
  • Ne pas exploiter les données à d’autres fins ;
  • Encadrer tout transfert hors UE par des clauses contractuelles types ou le DPF.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *