Blog
Data
Data Processing Agreement (DPA) : définition et cas particuliers
Data
5 mins

Comment s'en sortir avec le Data Processing Agreement (DPA) ?

Publié le
23/4/24

TOC Example

La contrathèque

Accédez gratuitement à nos modèles de contrats et templates

En tant que startup, vous êtes amené à traiter des données personnelles, certaines d’entre elles étant potentiellement sensibles. Vous pouvez avoir recours à des sous-traitants, au sens du RGPD (Règlement Général sur la Protection des Données), qui seront amenés à traiter des données personnelles de vos clients, prospects, salariés. Ces sous-traitants peuvent être de tout type, par exemple pour envoyer des newsletters, pour héberger vos données (prestataire d'hébergement), comme outil CRM, etc.

Si vous utilisez des sous-traitants qui ont accès aux données personnelles de vos clients, prospects, salariés, vous devez conclure un contrat de sous-traitance des données, appelés Data Processing Agreements (DPA) avec eux, qui est conformité à l'article 28 du RGPD.

Le DPA dans le cadre du RGPD

Un Data Processing Agreement est un contrat obligatoire en vertu du Règlement Général sur la Protection des Données (RGPD) dans l'Union Européenne. Il est établi entre le responsable du traitement (celui qui détermine les finalités et les moyens du traitement de données personnelles) et le sous-traitant des données (celui qui traite les données personnelles pour le compte du responsable du traitement).

Quand est-ce qu'un DPA est requis ?

Un DPA est requis chaque fois qu'un responsable de traitement engage un sous-traitant pour traiter les données personnelles pour son compte. Cela inclut non seulement le traitement physique des données (par exemple, leur stockage), mais aussi des tâches plus abstraites, comme leur analyse.

Cas particuliers où un DPA n'est pas requis

Il existe cependant des exceptions à la règle, où un DPA n'est pas requis. Il est important de noter que le DPA n'est pas requis si le traitement des données n'implique pas de données personnelles.

Le contenu obligatoire des DPA

1. La description du traitement de données personnelles dans le DPA

Le DPA devra inclure au minimum:

  • L'objet et la durée du traitement de données personnelles
  • La nature et la finalité du traitement de données personnelles
  • Le type de données personnelles traitées
  • Les catégories de personnes concernées

2. Les obligations du sous-traitant dans le DPA

Le sous-traitant a des obligations qui doivent être inscrites dans le contrat de sous-traitance des données.

Traitement des données personnelles sur instructions du responsable de traitement

Il doit être indiqué que le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

Obligations de confidentialité du sous-traitant

Le DPA doit prévoir que le sous-traitant doit veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

Mesures de sécurité

Le DPA doit prévoir que le sous-traitant doit prendre toutes les mesures de sécurité nécessaires pour protéger les données personnelles.

Le sous- traitant doit mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

  • la pseudonymisation et le chiffrement des données à caractère personnel,
  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constances des systèmes et des services de traitement,
  • des moyens permettant de rétablir la disponibilités des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique,
  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Recrutement d'un nouveau sous-traitant
L'autorisation écrite générale ou spécifique

Il existe deux options pour recruter un nouveau sous-traitant :

  • soit une autorisation écrite générale

Dans ce cas, le sous-traitant doit informer le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable de traitement la possibilité d'émettre des objections à l'encontre de ces changements.

  • soit une autorisation écrite spécifique

Dans ce cas, le sous-traitant devra obtenir l'autorisation écrite spécifique du responsable de traitement pour tout changement ou modification de sous-traitant.

Le DPA doit prévoir l'option prévue pour recruter un nouveau sous-traitant.

Les obligations entourant le recrutement du sous-traitant ultérieur

Lorsque le sous-traitant recrute un autre sous-traitant, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant sont imposées à cet autre sous-traitant par contrat, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.

Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations.

Assistance du responsable de traitement pour répondre aux demandes d'exercice de droits des personnes concernées

Le DPA doit prévoir que le sous-traitant doit aider le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits : par exemple droit d'effacement, droit de modification, etc.

Assistance du responsable de traitement

Le DPA doit prévoir que le sous-traitant doit assister le responsable de traitement pour plusieurs obligations.

Le sous-traitant aide le responsable de traitement à garantir l'obligation de respecter les mesures de sécurité.

Il doit également aider le responsable de traitement à notifier une violation de données personnelles à la CNIL, qui est l'autorité de protection des données française. Le sous-traitant doit notifier le responsable de traitement d'une violation de données dans les meilleurs délais.

Si le responsable de traitement doit informer les personnes concernées de la violation de données, le sous-traitant doit assister le responsable de traitement pour cette information.

Le sous-traitant doit assister le responsable de traitement pour réaliser une analyse d'impact sur la protection des données si elle est nécessaire.

Le sous-traitant doit assister le responsable de traitement si l'autorité de protection des données doit être consultée préalablement au traitement dans le cas où l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque.

Supprimer les données personnelles à la fin du DPA

Selon le choix du responsable de traitement, le sous-traitant doit supprimer toutes les données à caractère personnel ou les renvoyer au responsable de traitement au terme de la prestation de services relatifs au traitement. Le sous-traitant doit détruire les copies existantes, sauf si une obligation légale exige la conservation des données à caractère personnel.

Audits

Le sous-traitant doit mettre à la disposition du responsable de traitement toutes les informations nécessaires pour démonter le respect des obligations relatives à la protection des données et pour permettre la réalisation d'audits, y compris des inscriptions, par le responsable de traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

Information en cas d'instruction contraire au RGPD

En cas d'instruction qui constitue une violation du RGPD ou d'autres obligations légales, le sous-traitant doit en informer immédiatement le responsable de traitement.

L'abonnement juridique illimité pour les entrepreneurs

Fonds publics, conflit d'associés, mise en conformité RGPD, M&A, contentieux : découvrez toutes nos offres conçues pour les startups.