Sous-traitance10 min
Sous-traitants RGPD : obligations et contrat article 28
Vos sous-traitants traitent des données pour votre compte ? Découvrez vos obligations mutuelles et comment rédiger un contrat Article 28 (DPA) conforme au RGPD.
LireChaque traitement de données doit reposer sur une base légale. Découvrez les 6 bases prévues par l'article 6 du RGPD et comment choisir celle qui s'applique à chaque traitement.
L'article 6 du RGPD prévoit six bases légales sur lesquelles peut reposer un traitement de données personnelles. Chaque traitement doit être rattaché à une et une seule base légale, choisie AVANT la mise en œuvre du traitement. Ce choix conditionne les droits dont disposent les personnes concernées et les obligations du responsable de traitement.
La personne a manifesté sa volonte de manière libre, spécifique, éclairée et univoque. Le consentement doit être un acte positif (case a cocher, inscription volontaire). Il peut être retire à tout moment. Exemples : inscription à une newsletter, dépôt de cookies non essentiels, collecte de données à des fins de prospection pour des non-clients.
Le traitement est nécessaire à l'exécution d'un contrat auquel la personne est partie, ou à l'exécution de mesures précontractuelles. Exemples : traitement des données d'un client pour livrer sa commande, gestion de la paie d'un salarié dans le cadre de son contrat de travail, vérification d'identité avant la signature d'un contrat.
Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable est soumis. Exemples : conservation des factures pendant 10 ans (Code de commerce), declaration sociale nominative (DSN), tenue du registre unique du personnel, transmission de données aux autorités fiscales.
Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne ou d'une autre personne physique. Cette base est réservée aux situations d'urgence ou la vie est en jeu. Exemples : accès au dossier médical d'une personne inconsciente aux urgences, partage de données en cas de catastrophe naturelle pour retrouver des victimes.
Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique. Cette base concerne principalement les organismes publics. Exemples : gestion de l'état civil par une mairie, enquêtes statistiques de l'INSEE, contrôles fiscaux.
Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable ou un tiers, à condition de ne pas prévaloir sur les droits et libertés de la personne. C'est la base la plus souple mais elle exige une mise en balance documentée (test de proportionnalité). Exemples : sécurité du réseau informatique, prospection B2B, prévention de la fraude, vidéoprotection des locaux.
Attention : pas de changement de base légale
Une fois le choix de la base légale effectué, vous ne pouvez pas en changer en cours de route. Si le consentement est retiré et que vous n'avez pas d'autre base légale, vous devez cesser le traitement. D'ou l'importance de bien choisir dès le départ.
Bases légales dans DPO Manager
DPO Manager vous guide dans le choix de la base légale pour chaque traitement de votre registre. Un assistant interactif vous pose les bonnes questions et vous recommande la base la plus adaptée, avec une documentation conforme prete pour un contrôle CNIL.
Registre des traitements, gestion des droits, DPIA, incidents, sous-traitants, cookies et formation : tout en un seul outil.
Démarrer l'essai gratuit 14 joursSans carte bancaire • Configuration en 15 minutes
Vos sous-traitants traitent des données pour votre compte ? Découvrez vos obligations mutuelles et comment rédiger un contrat Article 28 (DPA) conforme au RGPD.
LireLes règles sur les cookies et le consentement évoluent constamment. Découvrez les recommandations CNIL 2026 et comment mettre votre site en conformité avec le RGPD et la directive ePrivacy.
LireLe registre des traitements est la pierre angulaire de votre conformité RGPD. Découvrez comment le créer, le maintenir à jour et éviter les erreurs courantes conformément à l'article 30.
Lire