Un DPA, pour Data Processing Agreement, est un contrat de sous-traitance des données qui lie une entreprise ou une structure publique (le responsable de traitement) à un prestataire externe. Bien plus qu’une exigence légale, il est un outil de gestion des risques essentiel à la protection des données personnelles.
Ce qu’il faut retenir
- Un DPA, pour Data Processing Agreement, est un contrat de sous-traitance qui formalise et encadre le traitement de données personnelles par un sous-traitant.
- Il est obligatoire lorsqu’un responsable de traitement engage un sous-traitant pour traiter des données personnelles pour son compte (article 28 du RGPD).
- Il définit notamment les instructions, les obligations de sécurité et l’étendue des responsabilités de chaque partie.
- Il n’est pas requis si le traitement ne concerne pas de données personnelles.
S’appuyer sur un cabinet conseil RGPD comme Lexagone vous permet de transformer vos obligations légales en avantages stratégiques.
PARLER À UN EXPERTQue signifie DPA (Data Processing Agreement) ?
Le DPA est le document contractuel qui encadre la relation entre le responsable du traitement et son sous-traitant
Le DPA, Data Processing Agreement est le cahier des charges légal et sécuritaire qu’une entreprise, une structure publique, ou plus généralement tout responsable de traitement impose à un prestataire (le sous-traitant) concernant le processus et la manière dont il doit manipuler les données personnelles qui lui sont confiées pour la réalisation de la prestation concernée.
Il assure que le sous-traitant offre des garanties suffisantes en matière de protection des données, comme l’exige le RGPD. Il se présente sous forme écrite, en version papier et/ou électronique.
Un DPA est conclu entre deux parties :
- Une entreprise, structure publique ou tout entité agissant en tant que responsable de traitement qui détermine les finalités et les moyens du traitement des données personnelles.
- Un prestataire externe qui, en tant que sous-traitant, est amené à traiter des données personnelles pour le compte et selon les instructions du responsable de traitement. Cela peut par exemple être le cas d’un hébergeur cloud, d’un fournisseur de logiciel RH ou encore d’un prestataire de paie.
La législation sur le DPA : garantir la conformité au RGPD
Le DPA n’est pas optionnel : l’article 28 du RGPD le rend obligatoire en cas de recours à un sous-traitant (transmission, accès, partage, etc de données à caractère personnel).
Le DPA est un document contractuel obligatoire en vertu du RGPD. Son contenu est décrit dans le chapitre IV (Responsable du traitement et sous-traitant), et plus spécifiquement dans l’article 28, relatif aux sous-traitants.
« Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. »
Ainsi, le RGPD oblige formellement les structures à contractualiser leur relation avec chaque sous-traitant par un DPA. Sans lui, une entreprise ou structure publique est en non-conformité avec le RGPD ! Par ailleurs, le responsable de traitement pourrait ne pas être en mesure de respecter d’autres obligations, telles que la notification des violation de données ou le respect des droits des personnes concernées par le traitement des données.
En vertu du principe de responsabilisation (Accountability), c’est au responsable du traitement de prouver que le sous-traitant choisi offre des garanties de sécurité adéquates. Le DPA est la preuve documentaire essentielle en cas de contrôle de la CNIL.
Les éléments à inclure dans un DPA
Le DPA permet au responsable du traitement de démontrer qu’il a pris toutes les mesures raisonnables pour garantir la sécurité des données confiées à des sous-traitants.
Le détail des traitements sous-traités
Un DPA a notamment pour objectif de garantir la transparence et le respect du principe de minimisation des données. Il doit pour cela définir le périmètre exact de la prestation et des traitements concernés : la nature des activités de traitement, la finalité, la durée du traitement, les types de données personnelles et les catégories de personnes concernées (clients, salariés, usagers, etc.).
Les droits et obligations du responsable du traitement
Le responsable du traitement doit documenter ses instructions au sous-traitant et conserver un droit d’audit pour vérifier la conformité. Le DPA doit formaliser ce pouvoir de contrôle. Il doit également prévoir les autres obligations du responsable de traitement : documenter les instructions, fournir les données nécessaire, etc.
Les obligations du sous-traitant
À travers le DPA, le sous-traitant s’engage à traiter les données uniquement sur demande écrite du responsable du traitement. Il doit garantir la confidentialité des données et mettre en œuvre les mesures techniques organisationnelles (MTO) appropriées pour assurer leur sécurité (par exemple la pseudonymisation des données, l’utilisation de serveurs dédiés, etc). La tenue du registre des traitements est également une obligation pour le sous-traitant.
Le sous-traitant est également tenu d’informer dans les meilleurs délais le responsable du traitement de toute violation de données à caractère dont il a connaissance. Cette clause est cruciale car elle permet au responsable du traitement de respecter son obligation légale de notifier la violation à la CNIL dans les 72 heures après en avoir pris connaissance.
De la même manière, le contrat va venir déterminer comment les parties s’organise pour rendre effectifs les droits des personnes concernées. Le DPA viendra ainsi déterminer sur qui pèse l’obligation d’information des personnes, et comment les parties s’organisent pour répondre aux demandes d’exercice des droits.
Les conditions de recours à des sous-traitants ultérieurs
Selon l’article 28.2. :
« Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. »
Il doit ensuite imposer à ce sous-traitant ultérieur les mêmes obligations en matière de protection des données que celles définies dans le DPA initial.
Le sous-traitant doit alors s’assurer des garanties offertes par le sous-traitant ultérieur.
Tout autre élément utile au DPA
Cela inclut notamment :
- Les conditions de transfert des données en dehors de l’Espace Économique Européen (CCT ou décision d’adéquation).
- Le sort des données à la fin de la prestation (suppression ou renvoi).
Un audit RGPD vous permet d’évaluer et renforcer votre conformité. Confiez vos missions à un DPO externalisé de Lexagone : notre équipe de juristes experts RGPD vous aide à assurer la mise en conformité de votre organisation.
PARLER À UN EXPERTQuestions fréquentes
Quelles sont les conséquences de l’absence de DPA ou d’un DPA incomplet ?
La sanction administrative pour manquement à l’article 28 peut s’élever jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial annuel (si ce montant est supérieur à 10 millions d’euros). Au-delà de l’aspect financier, il faut également prendre en compte le préjudice causé par l’atteinte à l’image de la structure.
Toutes les données sont-elles concernées par le DPA ?
Toutes les données personnelles, transmises à un sous-traitant, prestataire, etc qui va mettre en oeuvre des actions pour le compte d’un responsable de traitement, sont concernées par le DPA. Un simple nom ou une adresse e-mail suffisent à requérir la signature d’un contrat de sous-traitance. Les données qui ne sont pas à caractère personnelle sont quant à elles exemptées.
Comment s’assurer qu’un sous-traitant respecte les obligations du DPA ?
Le responsable du traitement dispose du droit d’audit, permettant de vérifier les MTO mises en œuvre et le respect des obligations contractuelles découlant du DPA. Il doit par ailleurs obliger le sous-traitant à fournir toute preuve documentaire nécessaire pour démontrer sa conformité et à tenir à jour un registre des activités de traitement.
