RGPD : Qu’est-ce que le DPA ?

Depuis son entrée en application en mai 2018, le Règlement Général sur la Protection des Données a instauré des règles strictes en matière de protection des données personnelles. Au cœur de cette réglementation se trouve l’article 28, qui définit les obligations des sous-traitants de traitement de données et impose la nécessité de mettre en place un acte ou un contrat de sous-traitance.

Le contrat de sous-traitance, également connu sous le nom de Data Processing Agreement (DPA) en anglais, est un accord juridique qui lie un responsable du traitement de données personnelles à un sous-traitant qui traite ces données pour le compte du responsable. Conformément à l’article 28¹ du RGPD, ce contrat doit contenir certaines clauses spécifiques garantissant que le sous-traitant respecte les obligations légales en matière de protection des données.

Un contrat de sous-traitance conforme à l’article 28^[1] du RGPD doit inclure les éléments suivants :

Description du traitement faisant l’objet de la sous-traitance

• Il doit comprendre une description claire des opérations de traitement effectuées par le sous-traitant.
• Cela inclut la nature et la finalité du traitement des données personnelles ainsi que les catégories de données et de personnes concernées.

Obligations et droits du responsable du traitement

• Le responsable de traitement doit documenter par écrit toutes les instructions fournies au sous-traitant.
• Il doit également avoir le droit de réaliser des audits et des inspections pour s’assurer que le sous-traitant respecte les obligations contractuelles et légales.

Obligations du sous-traitant

• Le sous-traitant est tenu de traiter les données conformément aux instructions documentées du responsable de traitement.
• Il doit également garantir la confidentialité des données, mettre en place des mesures de sécurité adéquates, et assister le responsable de traitement dans ses obligations en matière de protection des données à caractère personnel.

Sous-traitants ultérieurs

• Si le sous-traitant engage d’autres sous-traitants, il doit obtenir l’autorisation préalable du responsable du traitement et veiller à ce que ces sous-traitants respectent également les obligations du contrat.

Autres éléments pertinents à inclure

Le contrat doit également aborder des aspects tels que la sécurité des données, les transferts de données hors de l’Union européenne, et les procédures de restitution ou de suppression des données à la fin du contrat.

En définissant clairement les responsabilités et les engagements des parties prenantes, ce contrat contribue à assurer la conformité au RGPD et à garantir la confidentialité et la sécurité des données des individus. Il est donc essentiel pour les entreprises de s’assurer que de tels contrats sont établis et respectés lorsqu’elles font appel à des sous-traitants pour le traitement de données personnelles.

En résumé, le contrat de sous-traitance ou Data Processing Agreement (DPA) est un élément clé pour garantir la conformité de votre organisation au RGPD. En définissant clairement les responsabilités du responsable du traitement et du sous-traitant, et en intégrant les mesures de sécurité et de confidentialité nécessaires, vous assurez non seulement la protection des données personnelles, mais également la confiance de vos clients et partenaires. Veiller à la bonne mise en place et au respect de ce contrat est donc un impératif pour toute entreprise qui fait appel à des prestataires pour le traitement de données.

Sources

¹ RGPD article 28, site de la CNIL (Commission Nationale de l’Informatique et des Libertés)