Blog
Data
Data Processing Agreement (DPA) : Ce que vous devez savoir
Data
5 mins

Comment s'en sortir avec le Data Processing Agreement (DPA) ?

Publié le
23/4/24

TOC Example

Example H2
Example H3
Example H4
Example H5
Example H6

La contrathèque

Accédez gratuitement à nos modèles de contrats et templates

Contrathèque

En tant que start-up, vous traitez régulièrement des données personnelles, et il est crucial de s'assurer que cela se fait en toute conformité avec le RGPD.

Lorsque vous faites appel à des sous-traitants pour gérer ces données, comme un prestataire d'hébergement ou un outil CRM, la mise en place d'un Data Processing Agreement (DPA) devient une étape incontournable. Ce contrat, exigé par le RGPD, formalise la relation entre vous, le responsable de traitement, et vos sous-traitants.

Voyons ensemble pourquoi et comment rédiger ce document clé pour protéger vos données et respecter vos obligations légales.

Le DPA dans le cadre du RGPD

Un Data Processing Agreement est un contrat obligatoire en vertu du Règlement Général sur la Protection des Données (RGPD) dans l'Union Européenne. Il est établi entre le responsable du traitement (celui qui détermine les finalités et les moyens du traitement de données personnelles) et le sous-traitant des données (celui qui traite les données personnelles pour le compte du responsable du traitement).

Quand est-ce qu'un DPA est requis ?

Un DPA est requis chaque fois qu'un responsable de traitement engage un sous-traitant pour traiter les données personnelles pour son compte. Cela inclut non seulement le traitement physique des données (par exemple, leur stockage), mais aussi des tâches plus abstraites, comme leur analyse.

Cas particuliers où un DPA n'est pas requis

Il existe cependant des exceptions à la règle, où un DPA n'est pas requis. Il est important de noter que le DPA n'est pas requis si le traitement des données n'implique pas de données personnelles.

Le contenu obligatoire des DPA

1. La description du traitement de données personnelles dans le DPA

Le DPA devra inclure au minimum:

  • L'objet et la durée du traitement de données personnelles
  • La nature et la finalité du traitement de données personnelles
  • Le type de données personnelles traitées
  • Les catégories de personnes concernées

2. Les obligations du sous-traitant dans le DPA

Le sous-traitant a des obligations qui doivent être inscrites dans le contrat de sous-traitance des données.

Traitement des données personnelles sur instructions du responsable de traitement

Il doit être indiqué que le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

Obligations de confidentialité du sous-traitant

Le DPA doit prévoir que le sous-traitant doit veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

Mesures de sécurité

Le DPA doit prévoir que le sous-traitant doit prendre toutes les mesures de sécurité nécessaires pour protéger les données personnelles.

Le sous- traitant doit mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

  • la pseudonymisation et le chiffrement des données à caractère personnel,
  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constances des systèmes et des services de traitement,
  • des moyens permettant de rétablir la disponibilités des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique,
  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Recrutement d'un nouveau sous-traitant

L'autorisation écrite générale ou spécifique

Il existe deux options pour recruter un nouveau sous-traitant :

  • soit une autorisation écrite générale

Dans ce cas, le sous-traitant doit informer le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable de traitement la possibilité d'émettre des objections à l'encontre de ces changements.

  • soit une autorisation écrite spécifique

Dans ce cas, le sous-traitant devra obtenir l'autorisation écrite spécifique du responsable de traitement pour tout changement ou modification de sous-traitant.

Le DPA doit prévoir l'option prévue pour recruter un nouveau sous-traitant.

Les obligations entourant le recrutement du sous-traitant ultérieur

Lorsque le sous-traitant recrute un autre sous-traitant, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant sont imposées à cet autre sous-traitant par contrat, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.

Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations.

Les missions du sous-traitant dans le DPA

Assistance du responsable de traitement pour répondre aux demandes d'exercice de droits des personnes concernées

Le DPA doit prévoir que le sous-traitant doit aider le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits : par exemple droit d'effacement, droit de modification, etc.

Assistance du responsable de traitement

Le DPA doit prévoir que le sous-traitant doit assister le responsable de traitement pour plusieurs obligations.

Le sous-traitant aide le responsable de traitement à garantir l'obligation de respecter les mesures de sécurité.

Il doit également aider le responsable de traitement à notifier une violation de données personnelles à la CNIL, qui est l'autorité de protection des données française. Le sous-traitant doit notifier le responsable de traitement d'une violation de données dans les meilleurs délais.

Si le responsable de traitement doit informer les personnes concernées de la violation de données, le sous-traitant doit assister le responsable de traitement pour cette information.

Le sous-traitant doit assister le responsable de traitement pour réaliser une analyse d'impact sur la protection des données si elle est nécessaire.

Le sous-traitant doit assister le responsable de traitement si l'autorité de protection des données doit être consultée préalablement au traitement dans le cas où l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque.

Supprimer les données personnelles à la fin du DPA

Selon le choix du responsable de traitement, le sous-traitant doit supprimer toutes les données à caractère personnel ou les renvoyer au responsable de traitement au terme de la prestation de services relatifs au traitement. Le sous-traitant doit détruire les copies existantes, sauf si une obligation légale exige la conservation des données à caractère personnel.

Audits

Le sous-traitant doit mettre à la disposition du responsable de traitement toutes les informations nécessaires pour démonter le respect des obligations relatives à la protection des données et pour permettre la réalisation d'audits, y compris des inscriptions, par le responsable de traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

Information en cas d'instruction contraire au RGPD

En cas d'instruction qui constitue une violation du RGPD ou d'autres obligations légales, le sous-traitant doit en informer immédiatement le responsable de traitement.

Conclusion

Le Data Processing Agreement (DPA) est bien plus qu'une simple formalité légale, c'est un outil essentiel pour garantir que les données personnelles que vous confiez à vos sous-traitants sont traitées en toute sécurité et en conformité avec le RGPD.

En veillant à intégrer ce contrat dans vos relations avec vos sous-traitants, vous protégez non seulement vos données, mais aussi les droits des personnes concernées, tout en limitant les risques juridiques pour votre entreprise. Les avocats experts en RPGD de chez Bold peuvent vous aider dans votre mise en conformité.

L'abonnement juridique illimité pour les entrepreneurs

Fonds publics, conflit d'associés, mise en conformité RGPD, M&A, contentieux : découvrez toutes nos offres conçues pour les startups. 

Voir notre abonnement

Nos autres articles

Corporate

Comment déclarer le lieu de travail de sa société

Découvrez les étapes détaillées pour déclarer correctement le lieu de travail de votre entreprise et naviguer sans encombre dans les formalités administratives.

Comment réussir votre levée de fonds Seed ?

Découvrez comment réussir votre levée de fonds Seed pour financer le développement de votre startup. Guide complet et conseils.

Protection d'entreprise par un avocat RGPD à Paris contre les sanctions

Votre avocat RGPD à Paris est à votre disposition pour prendre en main la protection des données personnelles qui vous sont confiées.
Business

Comment éviter les problèmes de propriété intellectuelle

Apprenez à protéger votre entreprise des litiges de propriété intellectuelle grâce à nos conseils pratiques, anticipant les problèmes avant qu'ils ne surgissent.

Levée de Fonds Non Dilutive : Guide des Meilleures Options

Financez votre start up sans dilution de capital. Découvrez les alternatives non dilutives pour réussir votre levée de fonds. Cliquez ici pour en savoir plus
Social

Transcription des valeurs d'entreprise : Guide complet sur la politique sociale

Explorez comment matérialiser les valeurs de votre entreprise dans une politique sociale efficace avec ce guide complet, détaillé et orienté action.