RGPD et contrats : 6 clauses obligatoires pour la protection des données en 2026

Résumé en bref :

• Définition : Le RGPD impose 6 clauses contractuelles obligatoires pour encadrer le traitement des données personnelles entre responsable de traitement et sous-traitant, conformément à l'article 28 du règlement.
• Finalités : Chaque contrat doit définir précisément les finalités, les bases légales et les catégories de données à caractère personnel traitées, avec des instructions documentées claires.
• Sécurité : Des mesures techniques et organisationnelles (chiffrement, contrôle d'accès, journalisation) doivent être contractualisées pour garantir l'intégrité et la confidentialité.
• Droits des personnes : Le contrat doit prévoir les modalités d'exercice des droits (accès, rectification, effacement) dans un délai de 30 jours pour chaque personne concernée.
• Transferts hors UE : Tout transfert international nécessite un encadrement via clauses contractuelles types (SCC) et des mesures complémentaires appropriées.
• Incidents : Le sous-traitant doit notifier toute violation de données personnelles au responsable de traitement sous 24h maximum, avec un plan de remédiation documenté.

Le RGPD (Règlement général sur la protection des données) est le cadre juridique européen qui encadre la collecte et l'utilisation des données à caractère personnel . L'objectif est de protéger chaque personne concernée par la collecte, responsabiliser les organisations et harmoniser les règles lors des traitements au sein de l'UE et de l'EEE.

Le règlement s'inscrit dans la continuité de la Loi informatique et libertés française et s'articule avec d'autres textes européens comme le règlement eIDAS n°910/2014 pour les services de confiance numériques.

Le règlement concerne deux types d'acteurs :

• Le responsable de traitement (RT) : détermine les finalités et moyens du traitement.
• Le sous-traitant (ST) : traite les données pour le compte du RT, sur instructions documentées (contrat art. 28) et pour l'exécution des finalités convenues .

Le périmètre d'action du RGPD s'étend à toute opération sur des données personnelles (collecte, conservation, transmission, suppression), par des entités établies dans l'UE ou ciblant des résidents de l'UE, y compris organismes publics et entreprises privées, avec des mesures suffisantes au regard des risques.

Licéité, loyauté, transparence

Chaque traitement doit reposer sur une base légale clairement identifiée, être mené de façon loyale et faire l'objet d'une information compréhensible et accessible aux personnes concernées.

Limitation des finalités

Les données ne peuvent être collectées et utilisées que pour des objectifs précis, explicites et légitimes. Ces objectifs doivent être définis avant la collecte et non modifiés ensuite sans nouvelle base légale ni instructions du responsable traitant.

Minimisation des données

Seules les données strictement nécessaires à l'objectif poursuivi doivent être collectées et traitées, en évitant toute collecte excessive et en garantissant des mesures suffisantes.

Exactitude des données

Les données personnelles doivent être tenues à jour et corrigées sans délai lorsqu'elles sont inexactes, incomplètes ou obsolètes, dans le respect des exigences du règlement général pour la protection des données.

Limitation de la conservation

Les données ne doivent être conservées que pendant la durée nécessaire à la finalité prévue, puis supprimées, anonymisées ou archivées selon des règles clairement établies.

Intégrité et confidentialité

L'organisme doit protéger les données contre les accès non autorisés, les pertes ou les altérations, en mettant en place des mesures techniques et organisationnelles adaptées (contrôles d'accès, chiffrement, journalisation, gestion des incidents), et en démontrant l'efficacité de l'exécution.

Responsabilisation (accountability)

Le responsable de traitement doit être en mesure de démontrer à tout moment sa conformité, au moyen de politiques, registres, analyses d'impact le cas échéant, contrats de sous-traitance, audits et preuves documentées.

Respect des droits des personnes

Les processus internes doivent permettre d'exercer effectivement les droits (accès, rectification, effacement, opposition, limitation, portabilité) dans les délais légaux, avec une réponse traçable et documentée par le RT et ses sous-traitants, y compris en contexte de travail.

Le RGPD s'applique dès qu'il y a des données personnelles liées à une personne identifiée ou identifiable. Voici une liste non exhaustive :

• Ressources humaines : paie, recrutement, évaluations, badges, contrats de travail .
• Relation clients/prospects : CRM, support, facturation, newsletters.
• SaaS / prestataires (sous-traitance) : hébergement, maintenance, analytics rendus pour le compte d'un client, sur instructions du RT.
• Sécurité/IT : logs, vidéoprotection, contrôle d'accès, gestion des incidents.
• Marketing digital : formulaires, tracking (cookies soumis au cadre ePrivacy mais traitement = RGPD), segmentation.
• Transferts hors UE/EEE : hébergeur ou outil avec serveurs/collaborateurs hors EEE.
• Catégories particulières : santé, biométrie, opinions… (encadrements renforcés).
• Secteur public / marchés publics : obligations accrues de traçabilité, audit, documentation.

Les exceptions :

• Activités strictement personnelles ou domestiques (sans diffusion large).
• Données anonymisées de manière irréversible.

L'objet de cette clause est d'empêcher l'extension de finalité, cadrer la collecte et répartir les responsabilités. Cela signifie que les organismes doivent collecter les données personnelles dans un but prévu à l'avance, et ne pas sortir de ce cadre.

Les éléments à insérer dans le contrat :

• Finalités précises du traitement.
• Bases légales correspondantes.
• Catégories de données et personnes concernées.
• Interdiction d'usage secondaire sans autorisation écrite du RT (ou nouvelle base légale).
• Pour la sous-traitance : instructions documentées du RT et obligation de s'y conformer.

Exemple de clause rédigée :

Les erreurs à éviter :

• Finalités floues ("amélioration du service" non définie).
• Catégories de données non listées.
• Absence d'interdiction d'usage secondaire.

Il s'agit de réduire les risques d'accès non autorisé, de fuite ou d'altération (principe d'intégrité / confidentialité).

Les éléments à insérer dans le contrat :

• Obligation de confidentialité (y compris sous-traitants ultérieurs).
• Mesures techniques et organisationnelles (contrôles d'accès, chiffrement en transit/au repos, journalisation, gestion des vulnérabilités, durcissement, tests).
• Gestion des habilitations (moindre privilège, révocation).
• Exigence de formation sécurité du personnel.
• Preuves : politique de sécurité, rapports d'audit, attestations (le cas échéant).

Exemple de clause rédigée :

Les erreurs à éviter :

• Formules vagues ("meilleures pratiques" sans minimum exigible).
• Oubli de la gestion des habilitations et des journaux.
• Pas de traçabilité demandée ni de mise en œuvre opérationnelle.

L'objectif est de garantir l'effectivité des droits (accès, rectification, effacement, opposition, portabilité, limitation) pour chaque personne concernée, en respect des exigences et délais légaux.

À insérer dans le contrat :

• Délais et canaux de traitement des demandes (ex. 30 jours).
• Répartition des rôles RT/ST (qui reçoit, qui exécute, qui répond).
• Obligation d'assistance du ST (accès, export, suppression).
• Traçabilité des demandes et des réponses.

Exemple d'extrait rédigé :

Les erreurs à éviter :

• Pas de délai contractuel.
• Pas de log des demandes.
• Ambiguïté RT/ST (risque de non-réponse).

La clause vise à éviter la conservation indue, organiser la sortie de contrat et la restitution / suppression.

À insérer dans le contrat :

• Durées de conservation par finalité (ou renvoi à une politique jointe).
• Modalités d'archivage (actif/intermédiaire) et de purge.
• Processus de réversibilité : export standard, assistance, délais, coûts, format, destruction certifiée.
• Preuves d'effacement (certificat/signalement de purge).

Exemple d'extrait rédigé :

Les erreurs à éviter :

• Absence de format d'export ou de délai.
• Réversibilité non chiffrée/non décrite.
• Effacement non prouvé.

Il s'agit de sécuriser tout transfert international (légal, maîtrisé, traçable), dans l'Union européenne et l'espace économique européen, avec des mesures suffisantes de protection.

À insérer dans le contrat :

• Cartographie des pays et entités destinataires.
• Mécanismes d'encadrement (clauses types/SCC, BCR, dérogations) et mesures supplémentaires si nécessaire.
• Obligation d'information du RT en cas de changement (nouveau pays/sous-traitant).
• Droit de veto/résiliation si l'encadrement devient insuffisant.

Exemple d'extrait rédigé :

Les erreurs à éviter :

• "Transferts possibles" sans encadrement clair.
• Pas de notification préalable d'un nouveau sous-traitant/pays.
• Oublier les mesures complémentaires (techniques/contractuelles).

Les acteurs doivent réagir vite et limiter l'impact en cas d'incident (obligation de notification au RT, parfois à l'autorité et aux personnes).

À insérer dans le contrat :

• Définition d'incident et de violation.
• Délai de notification au RT (exemple : « sans retard indu » et au plus tard 24h après découverte).
• Informations minimales à fournir (nature, catégories/volume, impacts, mesures prises, points de contact).
• Plan de remédiation et coopération (forensics, corrections, communication).
• Droit d'audit du RT ou de tiers mandaté (périodicité, périmètre, confidentialité).
• Tenue d'un registre des incidents et preuve de l'exécution des plans.

Exemple d'extrait rédigé :

"En cas de violation de données, le Prestataire notifie le responsable de traitement sans retard indu et au plus tard dans les 24 heures suivant sa découverte, en décrivant la nature de l'incident, les catégories de données et de personnes affectées, les conséquences probables et les mesures de remédiation mises en œuvre. Le responsable de traitement dispose d'un droit d'audit annuel sur les mesures de sécurité et la gestion des incidents."

Les erreurs à éviter :

• Pas de délai chiffré.
• Notification "best effort" sans contenu minimum.
• Droit d'audit purement théorique (sans modalités).

Yousign centralise vos contrats, avenants et DPA et associe à chaque fichier un journal d'audit (horodatage, identité du signataire, empreinte). En cas de contrôle CNIL, vous démontrez rapidement qui a signé, quand et sur quelle version. La personne concernée (salarié, client, partenaire) peut être identifiée sans ambiguïté et la chaîne de mise à jour des documents reste traçable .

Notre horodatage qualifié est conforme à l'article 41 du règlement eIDAS n°910/2014, garantissant ainsi une valeur probante maximale pour vos contrats et vos instructions documentées.

L'outil permet de partager des modèles validés par le DPO et le juridique (clauses, annexes techniques, DPA), d'ajouter des champs obligatoires et de verrouiller les étapes critiques (relecture, approbation, signature). Résultat : des clauses suffisantes et homogènes à l'échelle de l'entreprise, moins d'oublis, plus de cohérence, et des services métiers autonomes avec un cadre sécurisé .

Vous pouvez également déployer des workflows de signature pour vos employés afin de standardiser vos processus RH et contractuels .

Grâce à l'API Yousign, vous déclenchez la signature depuis vos outils (CRM, ERP, RH) et rattachez automatiquement chaque contrat au dossier du traitement . Les statuts (envoyé, signé, expiré) alimentent vos tableaux de suivi DPO pour piloter les renouvellements, la réversibilité et les durées de conservation. La mise en production est progressive : vous commencez par un périmètre pilote, puis vous élargissez aux autres services.

Yousign (bientôt Youtrust) s'inscrit dans le cadre européen (eIDAS) et facilite la directive interne de l'entreprise : qui signe quoi, selon quel niveau de preuve, et comment archiver. Vous conservez en un seul endroit : contrats signés, DPA, certificats de signature, logs d'envoi et de relance. Un dossier de preuve immédiatement mobilisable pour le DPO et, au besoin, pour la CNIL .

Avec Yousign, les cycles se raccourcissent grâce aux relances automatiques et à des signatures en quelques minutes. Les erreurs diminuent, car des champs obligatoires, des versions verrouillées et des parcours guidés encadrent l'exécution des traitements. Le DPO gagne en contrôle : visibilité en continu sur l'état des clauses critiques (sécurité, transferts, réversibilité) et sur les contrats à renouveler, afin de vérifier le respect des exigences et la protection de la personne concernée .

• Rôles et responsabilités clairement définis (responsable de traitement / sous-traitant)
• Intégration des 6 clauses dans les modèles de contrats, validées par le juridique/DPO
• DPA standardisé avec annexes techniques (mesures de sécurité, transferts, audit)
• Processus d'exercice des droits opérationnel (canaux, délais, traçabilité des réponses)
• Politique de conservation formalisée avec modalités de réversibilité (export, suppression, certificat)
• Plan de gestion des incidents et de notification documenté (délais, contenu minimum, contacts)
• Dossier de preuve RGPD tenu à jour (contrats, DPA, journaux d'audit, registre des incidents)

Pour être conforme au règlement général pour la protection des données en 2026, votre entreprise doit autant prêter attention à la qualité des clauses qu'à la preuve de leur bonne exécution .

En standardisant vos modèles (DPA, annexes sécurité, transferts), en cadrant les rôles RT/ST et en organisant la réversibilité, vous réduisez les risques juridiques et opérationnels. Des prestataires de confiance certifiés comme Yousign vous permettent d'optimiser la traçabilité des documents, de créer des modèles et d'établir des dossiers de preuves solides.