Skip to main content

Accord sur le traitement des données (DPA)

TL;DR

Le contrat de traitement des données, ou DPA en abrégé, est un contrat juridiquement contraignant entre une entreprise et un tiers chargé du traitement des données, destiné à réglementer la confidentialité des données en ce qui concerne la conformité au GDPR.

Qu'est-ce que l'accord de traitement des données (APD) ?

Toute entreprise qui a une présence en ligne s'appuie sur des tiers pour fonctionner correctement. Ces tiers peuvent être n'importe quel fournisseur de courrier électronique, un outil d'analyse de site web ou un outil de chat, etc. Un accord de traitement des données doit être signé entre l'entreprise (contrôleur) et chaque tiers (processeur) pour s'assurer que les données sont stockées correctement et ne sont pas mal utilisées, vendues ou vulnérables aux attaques. Il s'agit de l'une des étapes les plus fondamentales de la mise en conformité avec le GDPR.

La majorité de ces outils tiers mettent à disposition sur leurs sites web des APD à télécharger et à signer. Voici par exemple le DPA de Visitor Analytics : https://www.visitor-analytics.io/en/support/legal-data-privacy-certificates/standard-integration/data-processing-agreement-cookie-information/. Le DPA signé peut généralement aussi être demandé par courriel.

Si vous devez créer votre propre accord de traitement des données, le modèle officiel peut être téléchargé sur https://gdpr.eu/data-processing-agreement/. Toutes les organisations peuvent utiliser ce document afin d'être conformes au GDPR et d'éviter des amendes coûteuses.

L'accord de traitement des données s'applique aux entreprises qui stockent et/ou traitent des données provenant de l'Union européenne et aborde les questions suivantes en ce qui concerne le processeur :

  • une sécurité des informations adéquate doit être mise en place ;
  • aucun sous-processeur n'est autorisé à utiliser les données sans le consentement du contrôleur ;
  • la coopération avec les autorités chargées de la protection des données doit être assurée lorsque cela est nécessaire ;
  • les violations de données doivent être signalées immédiatement au responsable du traitement ;
  • des registres de toutes les activités de traitement doivent être conservés ;
  • le respect des règles de l'UE en matière de transfert de données ;
  • assistance au responsable du traitement pour la gestion d'éventuelles violations de données.

Des informations plus détaillées à ce sujet peuvent être trouvées ici : https://gdpr.eu/article-28-processor/.