DE·EN·FR Contact

Mentions légales · Version du 8 mai 2026

Contrat de sous-traitance des données (CST)

Modèle de contrat conformément à l'article 28 du RGPD entre le client en qualité de responsable du traitement et arades GmbH en qualité de sous-traitant — y compris la description du traitement, les mesures techniques et organisationnelles ainsi que la liste des sous-traitants ultérieurs.

Avis : Le présent CST est un texte type et ne saurait remplacer un conseil juridique. Avant toute utilisation productive, une vérification par un avocat spécialisé en droit informatique et en droit de la protection des données est recommandée, en particulier au regard des exigences du RGPD et des exigences sectorielles.

Parties contractantes

[Dénomination sociale complète du client]
[Adresse]
[Pays]
— ci-après dénommé « responsable du traitement » ou « donneur d'ordre » —

et

arades GmbH
Lilistraße 6
63067 Offenbach am Main
Allemagne
— ci-après dénommée « sous-traitant » ou « arades » —

— ensemble les « parties » —

Préambule

Les parties ont conclu un ou plusieurs contrats portant sur la fourniture de prestations informatiques, la mise à disposition de services SaaS, la revente de licences Microsoft et/ou la création de logiciels spécifiques (ci-après dénommé « contrat principal »).

Dans le cadre du contrat principal, arades traite des données à caractère personnel pour le compte du responsable du traitement. Le présent contrat de sous-traitance des données (ci-après dénommé « CST ») précise les obligations des parties au regard du droit de la protection des données, conformément à l'article 28 du RGPD.

En cas de contradiction entre le contrat principal et le présent CST, les dispositions du présent CST prévalent en ce qui concerne le traitement des données à caractère personnel.

§ 1 Objet et durée du traitement

(1) Le traitement des données à caractère personnel a pour objet la fourniture des prestations convenues dans le contrat principal et dans les descriptifs de prestation, énoncés de travaux ou confirmations de commande qui s'y rapportent.

(2) Les précisions relatives à la nature et à la finalité du traitement, à la nature des données à caractère personnel ainsi qu'aux catégories de personnes concernées sont décrites à l'annexe 1 du présent CST.

(3) La durée du traitement correspond à la durée du contrat principal, à moins qu'il ne résulte des stipulations du présent CST des obligations allant au-delà.

§ 2 Pouvoir d'instruction du responsable du traitement

(1) arades ne traite les données à caractère personnel que sur instructions documentées du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales, à moins qu'arades n'y soit tenue par le droit de l'Union ou des États membres auquel arades est soumise.

(2) Les instructions orales doivent être confirmées sans délai sous forme écrite. Les instructions sont en principe données et reçues par les interlocuteurs désignés par le responsable du traitement.

(3) Si arades estime qu'une instruction du responsable du traitement enfreint des dispositions du droit de la protection des données, elle en informe ce dernier sans délai. arades est en droit de suspendre l'exécution de l'instruction concernée jusqu'à ce qu'elle soit confirmée ou modifiée par le responsable du traitement.

§ 3 Obligations du sous-traitant

(1) arades ne traite les données à caractère personnel que dans le cadre des accords conclus et conformément aux instructions du responsable du traitement. Si arades traite des données à caractère personnel à des fins propres, arades est considérée à cet égard comme responsable du traitement à part entière ; cela nécessite une base juridique distincte.

(2) arades soumet par écrit à une obligation de confidentialité les personnes autorisées à traiter les données à caractère personnel ou s'assure qu'elles sont tenues à une obligation légale appropriée de confidentialité. L'obligation de confidentialité perdure après la cessation de l'activité.

(3) arades met en œuvre toutes les mesures techniques et organisationnelles requises au titre de l'article 32 du RGPD en vue de garantir la sécurité du traitement. Les mesures prises à la date de la conclusion du contrat sont décrites à l'annexe 2 du présent CST. arades est en droit de faire évoluer ces mesures, à condition que le niveau de protection ne soit pas réduit. Les modifications substantielles sont notifiées au responsable du traitement.

(4) arades, compte tenu de la nature du traitement et des informations à sa disposition, aide le responsable du traitement à respecter les obligations énoncées aux articles 32 à 36 du RGPD (sécurité des données, notification des violations de données à caractère personnel, analyse d'impact relative à la protection des données, consultation préalable).

(5) arades aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, à donner suite aux demandes formulées par les personnes concernées en vue d'exercer leurs droits prévus au chapitre III du RGPD (notamment l'accès, la rectification, l'effacement, la limitation du traitement, la portabilité des données, l'opposition). Si une personne concernée s'adresse directement à arades, celle-ci transmet sans délai cette demande au responsable du traitement.

(6) arades a désigné un délégué à la protection des données dans la mesure où une obligation légale correspondante existe. Ses coordonnées sont communiquées au responsable du traitement sur demande.

(7) arades tient les registres requis au titre de l'article 30, paragraphe 2, du RGPD pour toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement.

§ 4 Notification des violations de données à caractère personnel

(1) arades informe le responsable du traitement sans délai, et au plus tard dans les 48 heures suivant la prise de connaissance, de toute violation de données à caractère personnel au sens de l'article 4, point 12, du RGPD.

(2) La notification doit, dans la mesure où ces informations sont disponibles au moment de la notification, contenir au minimum :

  • une description de la nature de la violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ainsi que les jeux de données concernés ;
  • le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • une description des conséquences probables de la violation ;
  • une description des mesures prises ou proposées par arades pour remédier à la violation et, le cas échéant, des mesures pour atténuer ses éventuels effets négatifs.

(3) Lorsque les informations requises ne peuvent être fournies simultanément, elles le sont de manière échelonnée, sans retard injustifié.

§ 5 Sous-traitants ultérieurs

(1) Le responsable du traitement accorde par les présentes à arades une autorisation écrite générale de recourir à des sous-traitants ultérieurs. Les sous-traitants ultérieurs auxquels il est fait appel à la date de la conclusion du contrat figurent à l'annexe 3 du présent CST.

(2) arades informe préalablement le responsable du traitement, sous forme écrite, de tout projet d'ajout ou de remplacement de sous-traitants ultérieurs. Le responsable du traitement peut s'opposer à cet ajout ou remplacement, pour des motifs légitimes, sous forme écrite, dans les 14 jours suivant la réception de la notification.

(3) En cas d'opposition fondée, les parties recherchent ensemble une solution amiable. À défaut, arades est en droit de résilier, moyennant un préavis raisonnable, la partie du contrat principal concernée par l'opposition.

(4) arades conclut avec chaque sous-traitant ultérieur un contrat lui imposant pour l'essentiel les mêmes obligations en matière de protection des données que celles définies au présent CST, en particulier des garanties appropriées concernant les mesures techniques et organisationnelles.

(5) Ne sont pas considérées comme des sous-traitants ultérieurs au sens du présent CST les prestations accessoires telles que les services de télécommunications, services postaux, services de transport, maintenance et service utilisateurs ou la destruction de supports de données, ainsi que les autres mesures destinées à garantir la confidentialité, la disponibilité, l'intégrité et la résilience du matériel et des logiciels des installations de traitement de données.

§ 6 Transferts vers des pays tiers

(1) Dans la mesure où des données à caractère personnel sont transférées vers un pays situé en dehors de l'Union européenne ou de l'Espace économique européen (pays tiers) ou y sont traitées, arades s'assure que ce transfert n'a lieu que sur le fondement des conditions énoncées aux articles 44 et suivants du RGPD, notamment au moyen :

  • d'une décision d'adéquation de la Commission européenne au sens de l'article 45 du RGPD ; ou
  • de garanties appropriées au sens de l'article 46 du RGPD, en particulier les clauses contractuelles types de l'UE dans leur version en vigueur ; ou
  • de règles d'entreprise contraignantes au sens de l'article 47 du RGPD.

(2) Pour les traitements effectués par Microsoft (par exemple Microsoft 365, Dynamics 365, Azure) dans le cadre des prestations CSP ou lors du recours aux services Microsoft Cloud pour la fourniture des prestations contractuelles, les dispositions Microsoft applicables en matière de protection des données s'appliquent, en particulier le Microsoft Products and Services Data Protection Addendum (DPA) ainsi que les clauses contractuelles types de l'UE que Microsoft propose en partie intégrante de ses contrats.

§ 7 Droits de contrôle du responsable du traitement

(1) arades met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l'article 28 du RGPD.

(2) Le responsable du traitement est en droit de s'assurer du respect des obligations prévues à l'article 28 du RGPD et au présent CST. Cela peut notamment se faire par la présentation de justificatifs appropriés, tels que :

  • la présentation de certifications ou d'attestations en cours de validité (par exemple ISO/IEC 27001, BSI C5, SOC 2) ;
  • la présentation d'une description des mesures techniques et organisationnelles mises en œuvre, conformément à l'annexe 2 ;
  • la présentation de rapports d'audit établis par des auditeurs reconnus.

(3) Si les justificatifs visés au paragraphe 2 s'avèrent insuffisants dans un cas particulier, le responsable du traitement est en droit, après notification préalable dans un délai raisonnable (en règle générale au minimum 30 jours calendaires) et pendant les heures d'ouverture habituelles, de procéder à des contrôles sur place ou de les faire effectuer par un auditeur indépendant désigné par lui, qui ne se trouve pas en situation de concurrence avec arades et qui a préalablement été soumis à une obligation de confidentialité.

(4) Les contrôles sur place sont effectués de manière à ne pas perturber de manière disproportionnée l'activité d'arades. Ils ne devraient en règle générale pas avoir lieu plus d'une fois par année civile, sauf motif concret.

(5) Les frais liés aux contrôles sont à la charge du responsable du traitement, dans la mesure où arades a mis à sa disposition les justificatifs appropriés visés au paragraphe 2. arades présente préalablement, de manière transparente, les coûts induits au responsable du traitement.

§ 8 Cessation, effacement et restitution des données

(1) À la fin de la fourniture des prestations de traitement, arades, selon le choix du responsable du traitement, soit efface l'ensemble des données à caractère personnel, soit les restitue et efface les copies existantes, à moins que le droit de l'Union européenne ou de ses États membres n'impose une obligation de conservation des données à caractère personnel.

(2) Une déclaration de choix correspondante du responsable du traitement doit être faite par écrit dans les 30 jours calendaires suivant la fin du contrat principal. À défaut de déclaration dans ce délai, arades est en droit d'effacer les données.

(3) Pour la restitution des données dans un format structuré, couramment utilisé et lisible par machine, arades peut exiger une rémunération appropriée selon la charge de travail, dans la mesure où celle-ci nécessite des prestations allant au-delà des fonctions d'exportation standard.

(4) L'effacement porte également sur l'ensemble des copies de sauvegarde, dans la mesure où cela est techniquement possible et compatible avec les délais de conservation généraux. Les données figurant dans les sauvegardes sont écrasées dans le cadre du cycle régulier de sauvegarde.

(5) arades confirme par écrit au responsable du traitement, sur demande, l'effacement effectif.

§ 9 Responsabilité

(1) Dans les rapports internes entre les parties, la responsabilité au titre des manquements en matière de protection des données est régie par les stipulations du contrat principal, en particulier les limitations de responsabilité qui y sont convenues, dans la mesure où cela est compatible avec les dispositions impératives du droit de la protection des données.

(2) Dans les rapports externes vis-à-vis des personnes concernées, l'article 82 du RGPD s'applique. Les parties s'engagent à s'apporter mutuellement leur soutien dans le cas où l'une d'elles serait mise en cause en raison d'un manquement de l'autre partie, et à organiser un règlement interne correspondant.

§ 10 Dispositions finales

(1) Si certaines dispositions du présent CST devaient être ou devenir nulles, la validité des autres dispositions n'en serait pas affectée. La disposition nulle est remplacée par la disposition valide la plus proche de la finalité de la disposition nulle.

(2) Toute modification ou tout complément apporté au présent CST, y compris à ses annexes, doit revêtir la forme écrite.

(3) Le droit applicable est celui de la République fédérale d'Allemagne. Le tribunal compétent est celui de Francfort-sur-le-Main, dans la mesure où le responsable du traitement est commerçant, personne morale de droit public ou patrimoine spécial de droit public.

(4) Le présent CST entre en vigueur dès sa signature par les deux parties et prend fin automatiquement à l'expiration du contrat principal, sauf disposition contraire prévue dans le présent CST ou dans le contrat principal. Les obligations prévues dans le présent CST subsistent au-delà de l'expiration du contrat, dans la mesure où la nature de la chose l'exige.

Signatures

Pour le responsable du traitement :

_______________________________________
Lieu, date

_______________________________________
Nom, fonction

_______________________________________
Signature

Pour arades GmbH :

_______________________________________
Lieu, date

_______________________________________
Nom, fonction

_______________________________________
Signature

Annexe 1 : Description du traitement

1. Objet et finalité du traitement

Le traitement des données à caractère personnel est effectué aux fins de la fourniture des prestations convenues dans le contrat principal, notamment :

  • conseil, configuration, mise en œuvre, customization et support de Microsoft Dynamics 365, Microsoft Power Platform et Microsoft 365 ;
  • mise à disposition et exploitation des solutions SaaS propres d'arades ;
  • intermédiation et revente d'abonnements Microsoft dans le cadre du programme Microsoft Cloud Solution Provider ;
  • création et customization de solutions logicielles spécifiques ;
  • maintenance et correction d'anomalies sur les systèmes du responsable du traitement.

2. Nature des données à caractère personnel

Dans le cadre du traitement, les catégories de données à caractère personnel suivantes peuvent en particulier être traitées — selon la mission concrète et l'environnement système du responsable du traitement :

  • données d'identité (nom, prénom, civilité, titre, date de naissance) ;
  • coordonnées (adresse, adresse électronique, numéro de téléphone fixe/mobile) ;
  • données professionnelles (employeur, fonction, service, matricule) ;
  • données contractuelles et de facturation contractuelle ;
  • données de communication (contenus de courriels, notes, comptes rendus d'entretiens dans des systèmes CRM) ;
  • données d'utilisation (données de connexion, adresses IP, fichiers journaux, journaux d'activité) ;
  • autres données à caractère personnel stockées dans les systèmes du responsable du traitement auxquelles arades a accès dans le cadre de la fourniture des prestations.

Le traitement de catégories particulières de données à caractère personnel au sens de l'article 9 du RGPD n'est pas envisagé de manière régulière. Si de telles données font partie de l'environnement système du responsable du traitement, ce dernier en a connaissance ; arades ne traite ces données que dans la mesure où cela est inévitable pour la fourniture des prestations contractuelles.

3. Catégories de personnes concernées

Le traitement peut concerner les catégories de personnes suivantes :

  • collaborateurs, salariés et direction du responsable du traitement ;
  • clients, prospects et partenaires commerciaux du responsable du traitement ;
  • fournisseurs et prestataires du responsable du traitement ;
  • autres personnes dont les données sont stockées dans les systèmes du responsable du traitement.

4. Durée du traitement

Le traitement est effectué pendant la durée du contrat principal. Après cette dernière, les données sont traitées conformément au § 8 du présent CST.

Annexe 2 : Mesures techniques et organisationnelles (MTO)

arades met en œuvre les mesures techniques et organisationnelles suivantes, conformément à l'article 32 du RGPD, afin de garantir un niveau de protection adapté au risque. Dans la mesure où des traitements sont effectués au sein de services cloud de tiers (notamment Microsoft Azure, Microsoft 365), les MTO de ces fournisseurs complètent les mesures d'arades.

1. Confidentialité (article 32, paragraphe 1, point b, du RGPD)

Contrôle d'accès aux locaux

  • les locaux sont sécurisés par des systèmes d'accès électroniques ou des serrures ;
  • l'accès aux salles serveurs est restreint à un cercle limité de personnes ;
  • les visiteurs sont accueillis, enregistrés et accompagnés dans les zones sensibles.

Contrôle d'accès aux systèmes

  • authentification aux systèmes informatiques au moyen d'un nom d'utilisateur et d'un mot de passe sécurisé ;
  • authentification multi-facteurs (MFA) pour les accès administratifs et les services cloud ;
  • politiques de mot de passe (longueur minimale, complexité, renouvellement périodique) ;
  • verrouillage automatique de l'écran après une période d'inactivité ;
  • chiffrement des disques durs des terminaux.

Contrôle d'accès aux données

  • concept de droits fondé sur les rôles et les habilitations (principe du besoin d'en connaître) ;
  • séparation des environnements de test, de développement et de production ;
  • journalisation des accès administratifs ;
  • vérification périodique des habilitations.

Contrôle de séparation

  • séparation logique des données des différents clients/mandants ;
  • architecture système multi-clients pour les solutions SaaS ;
  • séparation des données de production et des données de test.

Pseudonymisation

  • la pseudonymisation est mise en œuvre, dans la mesure où cela est possible et nécessaire pour la fourniture de la prestation (par exemple lors de tests effectués avec des jeux de données anonymisés ou pseudonymisés).

2. Intégrité (article 32, paragraphe 1, point b, du RGPD)

Contrôle des transmissions

  • transmission chiffrée des données (TLS/SSL) lors des échanges via des réseaux publics ;
  • accès distants sécurisés exclusivement via VPN ou des mécanismes de sécurité comparables ;
  • absence de transmission de données à caractère personnel par des canaux non chiffrés ;
  • documentation des transferts de données.

Contrôle de saisie

  • journalisation des saisies, modifications et effacements dans les systèmes de production, dans la mesure où cela est techniquement pertinent et pris en charge par le système ;
  • traçabilité des activités administratives ;
  • principe des quatre yeux pour les modifications particulièrement critiques.

3. Disponibilité et résilience (article 32, paragraphe 1, point b, du RGPD)

  • sauvegarde régulière des données (backups) des systèmes propres d'arades ;
  • recours à des infrastructures cloud professionnelles (en particulier Microsoft Azure) avec hébergement des données en redondance géographique ;
  • protection contre les logiciels malveillants au moyen de solutions anti-malware à jour ;
  • mesures de sécurité des pare-feu et du réseau ;
  • alimentation électrique sans coupure dans les zones critiques, via le fournisseur cloud ;
  • plans de continuité et de reprise d'activité.

4. Procédure de vérification, d'évaluation et d'appréciation périodiques (article 32, paragraphe 1, point d, du RGPD)

  • gestion de la protection des données : formation des collaborateurs à la protection des données et à la sécurité de l'information ;
  • engagement des collaborateurs au respect du secret des données et de la confidentialité ;
  • processus de réponse aux incidents : processus établi pour la détection, l'évaluation et la notification des violations de données à caractère personnel ;
  • vérification et mise à jour régulières des mesures techniques et organisationnelles ;
  • réalisation d'analyses d'impact relatives à la protection des données, lorsque cela est requis (article 35 du RGPD).

5. Contrôle de l'exécution des missions

  • les contrats conclus avec les sous-traitants ultérieurs contiennent des clauses de protection des données conformes à l'article 28 du RGPD ;
  • sélection rigoureuse des sous-traitants ultérieurs au regard de leur conformité en matière de protection des données ;
  • vérification périodique des mesures de protection mises en œuvre chez les sous-traitants ultérieurs, sur la base des justificatifs fournis.

Avis : la présente description des mesures est donnée à titre d'exemple et devra, dans la version définitive, être adaptée aux mesures effectivement mises en œuvre chez arades. Dans la mesure où une certification SMSI (par exemple ISO 27001) ou une attestation comparable existe, il pourra y être renvoyé en complément.

Annexe 3 : Sous-traitants ultérieurs

À la date de la conclusion du contrat, il est fait appel aux sous-traitants ultérieurs suivants :

[Cette liste devra être complétée avant la conclusion du contrat et adaptée aux sous-traitants ultérieurs effectivement sollicités. Pour les services Microsoft, il convient de renvoyer à la version en vigueur du Microsoft Data Protection Addendum (DPA) ainsi qu'à l'EU Data Boundary.]

Version : 8 mai 2026 · Documents associés : Politique de confidentialité · CGV · Mentions légales