Comment creer un DPA : clauses, modeles et contenu cle
Tot ou tard, le moment arrive. Soit vous devez emettre un accord de traitement des donnees a destination d'un partenaire, soit un fournisseur en fait glisser un sur la table et attend votre signature. Je me suis trouve des deux cotes de cet echange, et le travail se resume chaque fois a la meme chose : savoir ce que contient un bon DPA, et reconnaitre ou les points faibles ont tendance a se cacher.
Un DPA n'est pas une formalite que l'on signe pour faire passer au vert le formulaire d'achat. C'est le document qui definit la maniere dont une autre partie traite les donnees personnelles de vos clients et de vos employes, ce qu'elle promet quant a leur securite, et les recours dont vous disposez lorsque quelque chose tourne mal. Faites-le bien et il vous protege discretement pendant des annees. Faites-le mal et vous le decouvrez au pire moment possible.
Ce guide passe en revue l'anatomie d'un solide DPA, section par section, puis vous donne une checklist a parcourir avant de signer ou d'en envoyer un.
Il s'agit de conseils pratiques, pas d'un avis juridique. Faites examiner tout accord par un professionnel qualifie avant de vous y fier.
A la fin de ce guide, vous saurez :
- Comprendre chaque section qu'un DPA conforme a l'article 28 du RGPD devrait contenir
- Savoir quand les clauses contractuelles types entrent en jeu
- Etre capable de reperer les signaux d'alerte dans le modele "standard" d'un fournisseur
- Disposer d'une checklist avant signature que vous pourrez utiliser immediatement
L'anatomie d'un DPA
Un DPA construit selon l'article 28 du RGPD couvre generalement le terrain suivant. Je trouve utile de lire tout accord a l'aune de cette liste, car les lacunes en disent autant que le texte.
Portee et roles
Qui est le responsable du traitement et qui est le sous-traitant, ainsi que l'objet et la duree du traitement, sa nature et sa finalite. Cela parait elementaire, et pourtant j'ai vu des accords ou les roles sont confus ou simplement presumes. Faites cela mal et le reste du document repose sur du sable.
Categories de donnees et de personnes concernees
Quels types de donnees personnelles sont traites, et celles de qui : clients, employes, utilisateurs finaux. La precision ici protege tout le monde, car elle delimite ce que le sous-traitant est reellement autorise a manipuler.
Traitement sur instructions
Le sous-traitant agit uniquement sur les instructions documentees du responsable du traitement, et non de sa propre initiative. C'est la clause qui empeche vos donnees d'etre discretement reaffectees a un autre usage.
Mesures de securite
Les mesures techniques et organisationnelles requises : chiffrement, controles d'acces, resilience, tests reguliers. Le mot a surveiller est "appropriees" employe seul. Des mesures appropriees sans aucun detail sont une promesse de decider plus tard, ce qui en pratique signifie souvent une promesse de faire peu de choses. Les bonnes clauses de securite sont precises, et elles devraient correspondre au type de protections que vous attendriez de toute plateforme serieuse : l'hebergement dans l'UE, le chiffrement et l'acces base sur les roles qui sous-tendent notre propre approche de la securite.
Confidentialite
Toute personne ayant acces aux donnees est tenue d'en preserver la confidentialite. Clause courte, consequences reelles.
Sous-traitants ulterieurs
Le fait de savoir si les sous-traitants ulterieurs sont autorises ou non, l'obligation de leur repercuter des conditions equivalentes, et votre droit d'etre informe des changements et de vous y opposer. Les donnees personnelles restent rarement au sein d'une seule entreprise desormais. Elles descendent le long d'une chaine, et cette clause est la facon dont vous gardez la chaine en vue.
Assistance
Le sous-traitant vous aide a repondre aux demandes d'exercice des droits des personnes concernees et a respecter vos propres obligations en matiere de securite, de violation et d'analyse d'impact. Lorsqu'un client exerce son droit a l'effacement, vous serez heureux que cela soit ecrit.
Notification des violations
Un delai clair et court pour que le sous-traitant vous informe d'une violation de donnees personnelles. "Sans retard injustifie" est la norme que vous voulez. Tout ce qui se mesure en semaines est un probleme dont vous heriterez.
Transferts internationaux
Un mecanisme de transfert valide, comme les clauses contractuelles types, partout ou les donnees quittent l'EEE, ainsi que les analyses associees. Plus de details ci-dessous, car c'est l'element le plus souvent manquant.
Effacement ou restitution
Ce qu'il advient des donnees a la fin de la relation : effacement ou restitution, a votre choix, avec certification sur demande. Une conservation sans limite est l'un des risques les plus discrets d'un DPA faible.
Audits
Votre droit de verifier que le sous-traitant fait reellement ce qu'il a accepte de faire. De veritables droits d'audit, pas un geste poli.
Clauses contractuelles types : quand en avez-vous besoin
Si des donnees personnelles sont traitees en dehors de l'EEE, ou par un sous-traitant ulterieur qui l'est, le DPA doit generalement incorporer des CCT et faire reference a une analyse d'impact des transferts. C'est l'un des elements les plus frequemment oublies que je rencontre.
Le piege est subtil. Le DPA "standard" d'un fournisseur presume souvent un traitement uniquement dans l'UE parce que c'etait vrai lorsque le modele a ete redige pour la premiere fois, ou parce qu'il etait simplement plus facile de le rediger ainsi. Puis le fournisseur ajoute un outil de support base aux Etats-Unis ou un sous-traitant ulterieur d'analyse, et la realite ne correspond plus aux documents. Personne ne met a jour le DPA, parce que personne ne le regarde. Le transfert se produit quand meme, sans couverture.
Donc lorsque vous examinez un DPA, regardez au-dela du simple fait que les CCT soient mentionnees. Verifiez si les flux de donnees que le contrat decrit correspondent reellement a l'endroit ou le traitement a lieu. C'est dans ce decalage que reside l'exposition.
Signaux d'alerte au moment d'accepter le DPA d'un fournisseur
Lorsque le DPA d'un fournisseur atterrit devant vous, voici les signes d'avertissement que je scrute en premier :
- Des delais de notification des violations mesures en semaines plutot que "sans retard injustifie"
- Des droits de sous-traitance generaux sans mecanisme de notification ou d'opposition
- Un langage de securite vague sans aucune mesure precise nommee
- Des conditions d'effacement qui permettent au sous-traitant de conserver les donnees indefiniment
- Aucun mecanisme de transfert, malgre un traitement qui quitte clairement l'EEE
Chacun de ces points merite une conversation avant de signer. Deux ou plus, et vous avez affaire a un modele qui a ete redige pour proteger le fournisseur, pas vous.
Une checklist avant signature
Avant de signer, ou avant d'envoyer, parcourez ceci. J'en garde une version a portee de main chaque fois qu'un DPA arrive sur mon bureau.
| Verification | Confirmer que |
|---|---|
| Roles | Le responsable du traitement et le sous-traitant sont correctement identifies |
| Securite | Les mesures sont precises, allant au-dela de "appropriees" |
| Sous-traitants ulterieurs | Des droits de notification et d'opposition existent |
| Violation | La notification est rapide ("sans retard injustifie") |
| Transferts | Un mecanisme valide est en place si les donnees quittent l'EEE |
| Effacement | Les conditions de fin de relation sont claires |
| Audits | Les droits de verification sont reels, pas decoratifs |
Si vous negociez ces conditions regulierement dans le cadre des achats ou plus largement de la gestion des contrats fournisseurs, il est payant de standardiser cette checklist afin que chaque accord beneficie du meme examen plutot que de dependre de la personne qui se trouvait l'examiner.
Le DPA ne s'arrete pas a la signature
Voici la partie que l'on oublie. Une fois signe, un DPA devient une obligation continue, pas une tache close. La liste des sous-traitants ulterieurs change. La revue annuelle arrive a echeance. Une evolution juridique signifie que les CCT doivent etre revalidees. Rien de tout cela ne s'annonce de lui-meme.
Garder le DPA aux cotes du contrat fournisseur, avec ses dates de revue, ses conditions de sous-traitance et ses obligations de transfert suivies, c'est exactement a quoi sert la gestion des accords de traitement des donnees. Cela signifie que l'accord que vous avez negocie avec tant de soin ne se perime pas discretement dans un dossier. Un referentiel de contrats garde le document facile a retrouver, et des rappels d'expiration et de renouvellement automatises font en sorte que les dates de revue remontent reellement au lieu de passer inapercues. Si vous voulez sentir comment cela fonctionne sans vous engager a quoi que ce soit, notre rappel d'accord de traitement des donnees gratuit en configure un en quelques minutes.
En examiner un plus vite
Si vous fixez en ce moment le DPA d'un fournisseur et que vous voulez une lecture rapide pour savoir s'il est solide, notre analyseur d'accord de partage de donnees gratuit extrait les conditions d'utilisation autorisee, de securite, de conservation, de notification des violations et de transfert, et signale la ou elles semblent insuffisantes. C'est un premier passage utile avant une revue juridique detaillee, le genre de chose qui vous dit en une minute si vous regardez un accord soigne ou un probleme en gestation. Si vous voulez le tableau plus large de la facon dont l'IA transforme ce type de travail, notre article sur l'IA juridique est un bon complement de lecture.
Rediger et examiner des DPA est un travail veritablement satisfaisant une fois que vous avez une image claire de ce a quoi ressemble le bon, et je suis toujours heureux d'aider quelqu'un a y parvenir. N'hesitez pas a me contacter si vous avez des questions. Je lis chaque message moi-meme et y reponds personnellement.
Lancez-vous avec Contracko
Débarrassez-vous des tracas de la gestion des contrats et des abonnements. Contracko vous permet de rester organisé, ponctuel et maître de la situation. Commencez à simplifier dès aujourd'hui.