Quand avez-vous besoin d'un accord de traitement des données ?
Si votre entreprise utilise des outils ou des services externes qui traitent des données à caractère personnel, il y a de fortes chances que la loi vous oblige à conclure un type de contrat spécifique avec au moins certains de ces prestataires. Il s'agit d'un accord de traitement des données, une obligation légale prévue par le RGPD britannique et le RGPD européen, et c'est l'une des obligations de conformité les plus souvent négligées, en particulier par les petites entreprises et les start-ups.
La bonne nouvelle, c'est qu'une fois que vous comprenez quand un accord de traitement des données est nécessaire et ce qu'il doit contenir, sa mise en place est généralement simple. Ce guide explique les points clés en toute clarté.
Qu'est-ce qu'un accord de traitement des données ?
Un accord de traitement des données (DPA) est un contrat juridiquement contraignant conclu entre un responsable du traitement et un sous-traitant. Le responsable du traitement est l'organisation qui détermine les finalités et les modalités du traitement des données à caractère personnel. Le sous-traitant est l'organisation qui effectue le traitement pour le compte du responsable du traitement, en suivant ses instructions, sans en déterminer elle-même les finalités.
L'article 28 du RGPD britannique et du RGPD européen stipule clairement que lorsqu'un responsable du traitement fait appel à un sous-traitant pour traiter des données à caractère personnel, cet accord doit être régi par un contrat contraignant définissant des conditions spécifiques.
Comment savoir si une personne est un sous-traitant ?
C'est une question qui suscite une réelle confusion, et elle est importante car elle détermine le type de relation contractuelle dont vous avez besoin. Un sous-traitant n’est pas simplement un tiers qui entre en contact avec vos données. Il doit traiter ces données selon vos instructions et à vos fins, et non pour ses propres fins.
Un exemple concret permet de clarifier les choses. Si vous utilisez un système RH basé sur le cloud pour gérer les dossiers de vos employés, le fournisseur de ce système agit probablement en tant que sous-traitant. Il stocke et organise les données que vous saisissez, en suivant vos instructions, sans les utiliser à ses propres fins. Si, en revanche, vous partagez ces mêmes données sur les employés avec un prestataire de retraite qui gère ensuite les droits à pension pour le compte de vos employés, ce prestataire est plus susceptible d'agir en tant que responsable du traitement à part entière, car il prend des décisions indépendantes quant à la manière et aux raisons pour lesquelles il traite ces données.
Les directives de l'ICO sur les responsables du traitement et les sous-traitants fournissent une explication détaillée et des exemples concrets si vous devez analyser une situation spécifique.
Quand un accord de traitement des données (DPA) est-il légalement obligatoire ?
Un accord de traitement des données (DPA) est obligatoire dès lors que vous faites appel à un sous-traitant pour traiter des données à caractère personnel en votre nom. Le traitement de données à caractère personnel par un sous-traitant tiers sans que le contrat requis ne soit en place constitue une infraction à la loi, même si vous avez conclu avec ce prestataire un accord commercial plus général qui ne traite pas spécifiquement de la protection des données.
Parmi les situations courantes où un accord de traitement des données (DPA) est requis, on peut citer l'utilisation d'un service de stockage dans le cloud ou d'hébergement de messagerie électronique, le recours à une plateforme de marketing par mail pour envoyer des communications à vos clients, l'utilisation d'un système de gestion de la paie ou des ressources humaines, l'utilisation d'un outil d'analyse Web ou de publicité qui traite les données des utilisateurs, l'utilisation d'un système de gestion de la relation client qui contient les coordonnées des clients, et l'externalisation de toute fonction d'assistance à la clientèle à une équipe qui aura accès à des données à caractère personnel.
Si vous n'êtes pas certain qu'un prestataire donné agisse en tant que sous-traitant, une bonne question à se poser est de savoir s'il pourrait utiliser les données que vous lui communiquez à des fins qui lui sont propres. S'il ne le peut pas, parce qu'il est contractuellement tenu de les traiter uniquement selon vos instructions, alors il s'agit probablement d'un sous-traitant et un DPA est nécessaire.
Que doit contenir concrètement un accord de traitement des données ?
L'article 28 établit une liste spécifique de dispositions que tout accord de traitement des données doit inclure. Le contrat doit préciser l'objet du traitement, sa durée, la nature et la finalité du traitement, le type de données à caractère personnel concernées et les catégories de personnes dont les données sont traitées.
Au-delà de cela, l'accord de traitement des données doit exiger du sous-traitant qu'il traite les données uniquement sur la base d'instructions documentées du responsable du traitement, qu'il veille à ce que tout le personnel autorisé soit soumis à des obligations de confidentialité, qu'il mette en œuvre des mesures de sécurité techniques et organisationnelles appropriées, qu'il aide le responsable du traitement à respecter ses obligations en matière de droits des personnes concernées, et qu'il efface ou restitue toutes les données à caractère personnel à l'expiration du contrat.
L'accord doit également traiter de la sous-traitance. Si le sous-traitant a l'intention de faire appel à une autre organisation pour effectuer une partie du traitement, il doit d'abord obtenir votre autorisation écrite, et tout sous-traitant doit être lié par les mêmes obligations au moyen d'un contrat qui lui est propre.
Doit-il s'agir d'un document distinct ?
Non, un DPA peut être un contrat autonome ou être intégré à un contrat de service plus général, à condition que les dispositions requises y soient clairement énoncées. De nombreux fournisseurs de logiciels et de services proposent un DPA standard ou un avenant relatif au traitement des données qu'ils mettent à la disposition de leurs clients, soit dans leurs conditions d'utilisation, soit sur simple demande.
Vous devez toujours examiner attentivement tout DPA standard avant de l'accepter. Si un fournisseur ne propose pas de DPA du tout, ou s'il refuse d'en conclure un lorsque vous le demandez, c'est un signal d'alerte important. Cela peut indiquer qu'il n'a pas respecté ses propres obligations en matière de protection des données, et il vaut la peine de reconsidérer l'opportunité d'utiliser ce service.
Qu'en est-il des transferts internationaux de données ?
Si votre sous-traitant est basé en dehors du Royaume-Uni ou de l'UE, ou s'il stocke des données sur des serveurs situés dans un pays n'offrant pas un niveau adéquat de protection des données, vous devrez mettre en place des garanties supplémentaires en plus de l'accord de traitement des données. Au Royaume-Uni, cela implique généralement d'utiliser l' accord britannique sur les transferts internationaux de données (IDTA) ou un autre mécanisme approuvé. Les recommandations de l'ICO sur les transferts internationaux présentent les différentes options et expliquent quand chacune s'applique.
Par où commencer ?
Une première étape pratique consiste à dresser la liste de tous les outils et services tiers utilisés par votre entreprise qui impliquent des données à caractère personnel sous quelque forme que ce soit. Pour chacun d'entre eux, vérifiez si un DPA est en place. Si ce n'est pas le cas, contactez le fournisseur et demandez-lui s'il dispose d'un DPA standard et comment le signer. La plupart des fournisseurs réputés en auront un prêt à l'emploi.
Une fois vos accords en place, relisez-les lorsque vous renouvelez ou renégociez vos contrats, et mettez-les à jour si la nature du traitement change de manière significative. Si vous traitez de grands volumes de données à caractère personnel ou des catégories de données sensibles, il est judicieux de faire appel à un conseiller juridique pour examiner vos accords clés. Disposer des contrats adéquats offre une réelle protection juridique en cas de problème et démontre aux autorités de contrôle que vous avez abordé vos obligations avec un soin réel.
Comment Gerrish Legal peut vous aider?
Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.
Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.
Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations.
Article de Nathalie Pouderoux, Consultante pour Gerrish Legal