Vous souhaitez savoir comment rédiger un accord légal de traitement des données (un DPA – Data Processing Agreement) ? Vous êtes au bon endroit ! Dans cet article, nous allons vous guider à travers tous les éléments importants d’un DPA en vertu du Règlement général sur la protection des données (RGPD).
Avis de non-responsabilité : Cet article ne constitue pas un avis juridique. Piwik PRO fournit un logiciel d’analyse respectueux de la vie privée, mais ne fournit pas de conseil juridique. Si vous souhaitez vous assurer que vous respectez les directives HIPAA, merci de bien vouloir consulter un avocat.
Qu’est-ce qu’un DPA ?
Pour collecter et utiliser des données personnelles, vous êtes obligés de vous conformer à de nombreuses obligations imposées par le RGPD, dont l’un des plus importants sont les DPA avec chaque partie qui a accès à ces données. Un DPA ou un avis de traitement des données commandé est un document juridiquement contraignant, signé entre le responsable du traitement et le processeur. Il réglemente les particularités du traitement des données, telles que :
- La portée et l’objet du traitement
- La relation entre ces acteurs
- Les obligations de chaque partie en vertu du règlement
Quand avez-vous besoin d’un DPA ?
Chaque fois qu’un processeur de données effectue un traitement en votre nom, vous devez avoir un contrat écrit en place.
Cela signifie que vous avez besoin d’un DPA, par exemple, lorsque vous utilisez des plateformes de gestion de la relation client (des CRM), des plateformes de données client (des CDP), des analyses et de nombreux autres types d’outils conçus pour analyser le comportement des utilisateurs.
Le contrat est important pour que les deux parties comprennent leur rôle dans le traitement des données personnelles des utilisateurs et leurs obligations qui en découlent. Il garantit que la chaîne de responsabilité soit claire pour chaque participant au processus.
Rien de nouveau ici. La signature de ce type de document est requise par de nombreux autres règlements sur la confidentialité des données, notamment la loi britannique sur la protection des données et le prédécesseur du RGPD, la directive 95/46/CE sur la protection des données.
Cela dit, en vertu du RGPD, les exigences contractuelles sont plus larges. Elles font également preuve de conformité de chaque partie en cas d’audit par les autorités de protection des données.
Selon l’office du commissaire à l’information du Royaume-Uni :
Les contrats entre les responsables du traitement et les sous-traitants garantissent que les deux parties comprennent leurs obligations et responsabilités. Ils favorisent la conformité au RGPD et en font preuve. La mise en place des contrats entre les responsables et les processeurs peut également accroître la confiance des personnes concernées dans le traitement de leurs données personnelles.
Un DPA : doit-il être un document indépendant ?
Il n’y a aucune restriction légale stipulant qu’un DPA ne peut pas faire partie d’un contrat régulier entre le processeur et le responsable. Cependant, compte tenu de sa complexité, il serait raisonnable de créer un document distinct ou une annexe au contrat principal.
Que faut-il inclure dans un DPA ?
Le RGPD donne des conseils généraux sur ce qu’il faut inclure dans un DPA. En nous basant sur le Règlement, ainsi que sur notre propre expérience et expertise, nous avons préparé une liste d’éléments que tout accord de traitement de données devrait comprendre.
Clauses générales
Dans cette partie du contrat, vous précisez les termes utilisés dans le document. Entre autres, vous y devriez définir :
- L’objet de l’accord – généralement toutes les activités liées à la relation contractuelle entre les parties.
- La portée, la nature et la durée du traitement des données – comment les données personnelles seront utilisées et quelle partie sera responsable d’assurer la conformité du processus. Cette responsabilité incombe généralement au responsable du traitement des données (vous).
- Les personnes concernées par le traitement des données, par exemple les enfants, les clients bancaires, les patients ou simplement les visiteurs du site Web. Celles-ci peuvent appartenir à plus d’une catégorie.
- Type de données que vous souhaitez traiter – différentes catégories de données que vous souhaitez traiter. Il peut s’agir, par exemple, des caractéristiques techniques du navigateur, des données comportementales sur les activités du site Web ou des adresses IP.
Good practices
Le responsable du traitement devrait informer le processeur s’il collecte des catégories particulières de données, étant donné qu’il existe davantage de restrictions au traitement de certains types de données. Si vous souhaitez en savoir plus sur les catégories de données personnelles, consultez cet article .
- Stockage des données – Bien que le RGPD n’interdise pas aux entreprises de stocker les données personnelles des utilisateurs en dehors de l’UE, il établit des restrictions pour ces transferts (voir : Chapitre 5). Le processeur ne doit pas envoyer de données offshore sans consentement préalable. Si vous souhaitez stocker les données à l’étranger, il faut que vous décriviez comment le processeur des données doit les traiter pour répondre aux normes de protection établies par le RGPD. Étant donné que ces instructions doivent être détaillées, il vaut la peine de les inclure dans une clause distincte ou même une annexe au contrat.
- Conditions de résiliation du contrat – Ici, vous indiquez que toutes les données concernant vos utilisateurs doivent être supprimées des bases de données du processeur après la résiliation du contrat. Il faut également que vous précisiez les circonstances où vous avez le droit de résilier le contrat : par exemple, si le processeur ne vous informe pas d’une violation de données ou apporte des modifications non autorisées aux procédures de traitement des données.
Droits et devoirs des responsables du traitement (vous)
Il convient également que vous indiquiez vos devoirs en tant que responsable du traitement des données et que vous incluiez les dispositions suivantes :
- Vous êtes responsable de l’établissement d’un traitement légal des données et du respect des droits des personnes concernées, y compris de la collecte des consentements et des demandes des personnes concernées.
- Vous êtes responsable d’émettre des instructions sur le traitement des données, par exemple, en nommant des employés qui serviront de point de contact.
Pour apprendre plus sur le rôle du responsable des données en vertu du RGPD, lisez l’article 24 du Règlement.
Devoirs de responsable du processeur des données
Les articles 28-36 du RGPD définissent les responsabilités des processeurs de données qui, entre autres,
- doivent assurer une sécurité adéquate de l’information,
- sont défendus d’engager des sous-traitants sans votre consentement préalable,
- sont obligés de coopérer avec les autorités en cas d’enquête,
- sont tenus de vous signaler les violations de données dès qu’il en ont connaissance,
- peuvent le trouver nécessaire de nommer un délégué à la protection des données,
- doivent vous donner la possibilité de réaliser des audits pour vérifier leur conformité,
- sont obligés de conserver des registres de toutes les activités de traitement,
- doivent respecter les règles de l’UE en matière de transfert transfrontalier de données,
- sont tenus de vous aider à respecter les droits des personnes concernées, y compris le traitement des demandes des personnes concernées,
- doivent vous assister à gérer les conséquences des violations de données,
- ont pour l’obligation de supprimer ou de retourner toutes les données personnelles à l’échéance du contrat, si vous leur en demander,
- doivent vous informer si vos instructions de traitement enfreignent le RGPD.
Good practices
Un DPA ne devrait laisser aucune place à une mauvaise interprétation. Pour éviter toute imprécision, n’oubliez pas de :
- définir les délais dans lesquels le processeur de données doit traiter les demandes de données et dans lesquels ce dernier doit vous informer d’une violation de données;
- communiquer les coordonnées de votre délégué à la protection des données;
- préciser si et à quelle fréquence vous prévoyez de réaliser des audits sur le processeur et qui couvrira les dépenses qui en découlent.
De cette façon, vous vous assurez qu’il n’y a aucun maillon faible et que le processeur de données connaît exactement vos attentes.
Les dispositions de cette partie du contrat devraient être adaptées aux besoins spécifiques de l’organisation et aux exigences applicables à votre secteur. Étudiez plus en détail les responsabilités du processeur de données.
Mesures techniques et organisationnelles
Ce point du contrat concerne les systèmes et procédures que les processeurs mettent en œuvre pour assurer la sécurité des données personnelles, faciliter le respect de la loi et éviter les violations de données.
Conformément à l’article 32 du Règlement :
Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
- la pseudonymisation et le chiffrement des données à caractère personnel;
- des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
- une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Le contrat devrait indiquer que le processeur doit mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires avant de commencer à traiter les données personnelles des utilisateurs. Après tout, l’un des rôles clés d’un DPA est de veiller à ce que les processeurs fournissent des garanties suffisantes pour la protection des données.
Compte tenu de la complexité de ces mesures, il est préférable de les inclure dans une annexe au contrat.
Relations sous-contractuelles
Cette section apporte un peu plus de clarté sur la relation entre le processeur de données principal et les sous-traitants (parties qui traitent les données pour le compte du processeur). Voici ce qu’il faut inclure dans cette partie de l’accord :
- Le processeur doit obtenir le consentement écrit du responsable du traitement des données pour impliquer des sous-traitants.
- Le contrat entre le processeur et le sous-traitant doit garantir un niveau de protection des données comparable à celui fourni par un DPA.
- Le responsable du traitement des données devrait être chargé de vérifier régulièrement la conformité des processeurs (par exemple, au moins une fois par an).
Aussi, par souci de clarté, il est recommandé de lister les sous-traitants dans une annexe séparée au contrat.
Clauses finales
C’est une partie standard de chaque contrat. Ici, précisez que :
- toute modification du contrat doit être acceptée par les deux parties,
- un DPA remplace tout autre accord entre le processeur de données et le responsable de données
Ces provisions ne laisseront aucune possibilité d’interprétation erronée au cas où les dispositions d’autres accords entreraient en conflit avec le DPA.
Annexes
Un DPA ne serait pas complet sans des annexes qui élaborent les dispositions contractuelles. Voici ce que vous devriez y inclure :
Annexe 1 : Mesures techniques et organisationnelles
La présente annexe complète les provisions d’un DPA concernant les mesures techniques et organisationnelles. Ici, le processeur doit prouver qu’il a « des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement » et qu’il établit « une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. » Les deux citations sont des extraits de l’article 32 du RGPD.
Voici une liste des éléments cruciaux pour assurer la conformité au RGPD :
Confidentialité
Entre autres choses, le processeur doit décrire :
- la structure du centre de données où ils envisagent de stocker des données personnelles,
- les protocoles de contrôle de la sécurité de l’information,
- l’accès physique au bureau et mesures de sécurité appliquées,
- l’accès à distance au bureau,
- le contrôle d’accès aux applications (logiciel)
Intégrité
Dans cette partie du contrat, le processeur est tenu de prouver que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées par une partie non autorisée pendant les transferts de données.
Disponibilité et résilience
Dans cette section de l’annexe, le processeur doit présenter ses politiques et mesures de sauvegarde utilisées pour garantir la redondance, la recouvrabilité et la haute disponibilité des données.
Procédures d’examen périodique
Dans ce cas, le responsable du traitement des données devrait préparer un cadre d’évaluation périodique des mesures techniques et organisationnelles des parties précédentes de l’annexe.
Annexe 2 – Liste des sous-traitants
Rien de difficile ici – cette liste devrait inclure tous les sous-traitants de données, ainsi que les adresses de leurs sièges sociaux.
Accord de traitement des données (DPA) en vertu du RGPD : un résumé
Nous espérons que cet article vous donnera une bonne idée de ce à quoi devrait ressembler un accord de traitement de données. Néanmoins, nous savons qu’il s’agit d’un sujet complexe et que vous pourriez encore avoir quelques doutes. Si cela est le cas, n’hésitez pas à consulter d’autres sources d’information concernant la rédaction d’un DPA, y compris ce guide extrêmement instructif de l’office du commissaire à l’information du Royaume-Uni.