La Loi 25 impose des obligations contractuelles précises lorsque vous confiez des renseignements personnels à un fournisseur étranger. Ces obligations ne sont pas optionnelles. Et la plupart des contrats SaaS standards — rédigés aux États-Unis pour un marché mondial — ne les contiennent pas.
Les clauses obligatoires selon la Loi 25
L'article 18.3 de la Loi 25 exige que tout contrat de communication de renseignements personnels à un tiers comprenne :
1. Les mesures de protection. Le contrat doit décrire les mesures de sécurité que le fournisseur s'engage à appliquer : chiffrement, contrôle d'accès, sauvegardes, procédures en cas d'incident.
2. L'obligation de notification en cas d'incident. Si vos données sont compromises chez le fournisseur, il doit vous en informer promptement. Le contrat doit préciser les délais et les modalités de cette notification.
3. Le droit d'audit. Vous devez pouvoir vérifier que les mesures de protection sont effectivement appliquées, directement ou via un tiers.
4. Le sort des données à la fin du contrat. Que se passe-t-il avec vos données si vous résiliez ? Le contrat doit préciser les délais de suppression ou de retour des données.
Ce que les contrats SaaS standard omettent
La majorité des contrats SaaS américains ont des clauses de notification d'incident vagues (« dans un délai raisonnable »), pas de droit d'audit réel, et des clauses de fin de contrat qui donnent 30 jours pour récupérer les données avant suppression. Tout cela est insuffisant sous Loi 25.
Que faire si votre contrat est non conforme
Deux options : négocier un avenant avec votre fournisseur qui ajoute les clauses manquantes, ou changer de fournisseur pour un qui propose des contrats conformes par défaut. Les fournisseurs européens soumis au RGPD ont généralement déjà ces clauses — leurs contrats ont été rédigés pour satisfaire des exigences similaires.
Fournisseur européen – contrat conforme Loi 25 inclus