Qu'est-ce qu'un accord de traitement des données (DPA) ?
Appelé "Data Processing Agreement", le DPA est un accord de traitement des données. Il s'agit d'un contrat engageant le responsable de traitement et le(s) sous-traitant(s) qui traiteront les données personnelles. Cet accord est nécessaire à la mise en conformité avec le RGPD est assure la sécurité des données des consommateurs.
Cet accord vient spécifier l'ensemble des droits et obligations associées au traitement des données personnelles. Il s'agit notamment de la nature des données, des finalités et de la durée des activités de traitement en question.
Le DPA a une réelle valeur juridique. De ce fait, le responsable de traitement ainsi que le sous-traitant peuvent être sanctionnés en cas de non respect des obligations.
Ainsi, le DPA permet d'assurer la responsabilité du sous-traitant. Les entreprises sont garanties que leur sous-traitant est soumis aux règles relatives au traitement des données personnelles. Il s'agit d'une certaine preuve de fiabilité de la part du collaborateur. Le DPA a donc un impact manifeste sur les différentes activités commerciales.
Vous souhaitez vous mettre en conformité avec le RGPD ? Consultez notre offre de mise en conformité globale avec le RGPD ou contactez-nous.
.svg)
Quand trouve-t-on un DPA dans le cadre du RGPD ?
Le DPA trouve son utilité pour régir les activités de traitement de données personnelles des responsables de traitement et des sous-traitants.
Le responsable de traitement :
Pour rappel, le responsable de traitement est celui qui détermine les finalités et les moyens du traitement de données, selon l'article 4 du RGPD.
Le sous-traitant :
D'autre part, pour être reconnu en tant que sous-traitant soumis au RGPD, vous devez :
- Etre établi dans l'Union Européenne
- Ne pas être établi au sein de l'UE mais avoir des activités de traitement liées à l'offre de biens ou de services ou au suivi du comportement des personnes concernées dans l'Union Européenne (article 3 RGPD).
De plus, le sous-traitant est considéré comme tel s'il traite des données personnelles pour le compte et sous l'autorité du responsable de traitement. Selon l'article 28 du RGPD, il doit proposer des garanties suffisantes pour répondre aux exigences du RGPD.
Si ces conditions sont remplies, la conclusion d'un contrat entre le responsable de traitement et le tiers sous-traitant des données personnelles est obligatoire au regard du RGPD. En effet, le DPA est exigé chaque fois qu'un organisme fournit des données personnelles à un fournisseur de services tiers.
Par exemple, la signature d'un DPA est nécessaire lorsque qu'une entreprise traite des données personnelles pour fournir des publications ciblées, pour externaliser l'envoi des emails, pour la gestion de la paie des salariés, ou qu'il s'agit d'une société de sécurité informatique.
Certaines entreprises ne nécessitent pourtant pas d'établir un DPA, car elles ont déjà des protections intégrées. Il s'agit notamment des essais cliniques ou encore lorsqu'un fournisseur de services possède des accords de confidentialité spécifiques, et les agences de recouvrement de créances.
Que contient un DPA ?
Le DPA exige le respect de diverses obligations. En effet, des clauses importantes ne doivent pas être négligées. Il s'agit notamment de respecter :
L'obligation de détails et de transparence
Les consommateurs doivent être dûment informés au sujet de le traitement de leurs données personnelles par le responsable de traitement et le sous-traitant et doivent donner leur consentement. Les détails doivent être précis au sujet du type de données traité, les catégories de personnes en question...
Le fait de préciser les différentes responsabilités du responsable de traitement et du sous-traitant
Le DPA que les deux parties doivent respecter les dispositions prévues dans le contrat. Le responsable de traitement prend des décisions et le sous-traitant agit en fonctions des instructions qui lui sont données.
Le principe Privacy By Design et By Default
Il consiste à assurer la protection des données dès la conception de vos produits et services et pendant toute la durée de leur mise en oeuvre. Il s'agit pour le sous-traitant de respecter le principe de minimisation des données, leur finalité, et leur durée de conservation.
L'obligation de sécuriser les données
Les responsables de traitement et sous-traitants doivent mettre en place diverses mesures techniques et organisationnelles pour garantir la sécurité des données personnelles. Il s'agit notamment du respect de la confidentialité, du cryptage des données, de la pseudonymisation des données, de la réalisation d'analyse d'impact (AIPD) et d'audits de conformité, du respect des droits et libertés des clients ( droit d'accès, à la modification, à la suppression, à la portabilité, à l'opposition des données)...
Le sous-traitant doit également veiller à sauvegarder l'ensemble de ses activités de traitement afin de pouvoir prouver sa conformité avec le RGPD.
L'obligation de notification de violation des données à la CNIL et les personnes concernées
Cette notification doit être effectuée dans les 72h suivant la découverte, ainsi que l'obligation d'arrêter et réparer immédiatement cette violation. Cela est par exemple le cas si une banque a subit une attaque de données personnelles et que les coordonnées bancaires des clients ont fuité.
L'obligation d'assistance et de conseil
Le sous-traitant doit jouer un rôle de conseil et d'assistance envers le responsable de traitement sur toutes les problématiques liées au traitement des données prévu dans le contrat.
Quelles sont les sanctions en cas de non-respect du RGPD ?
Un organisme jugé non conforme avec les dispositions du RGPD tel que la mise en place d'un DPA fera l'objet de sanctions. Il en est de même pour le sous-traitant. La CNIL a rendu diverses décisions, dans lesquelles elle a relevé que le responsable de traitement doit décider de mettre en place des mesures et donner des instructions au sous-traitant. Cependant, le sous-traitant doit lui aussi trouver des solutions appropriées pour garantir la sécurité des données personnelles et en faire part au responsable de traitement.
En cas de non-respect du RGPD, la personne qui a subi un préjudice peut demander réparation de son préjudice de la part du responsable de traitement et du sous-traitant. En fonction de la gravité peut aller d'un simple avertissement, à une interdiction temporaire ou définitive du traitement, ou encore une amende dont le coût s'élève jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel de l'entreprise.