Visitor Analytics
Skip to main content

Accord sur le traitement des données (DPA)

TL; DR

L'accord de traitement des données, ou DPA en abrégé, est un contrat juridiquement contraignant entre une entreprise et un processeur de données tiers, destiné à réglementer la confidentialité des données en ce qui concerne la conformité au RGPD.

Qu'est-ce que l'accord de traitement des données (DPA) ?

Toute entreprise qui a une présence en ligne s'appuie sur des tiers pour fonctionner correctement. Ces tiers peuvent être n'importe quoi, d'un fournisseur de messagerie à un outil d'analyse de site Web ou un outil de chat, etc. en gros, tout outil qui traite les données personnelles de l'utilisateur. Un accord de traitement des données doit être signé entre cette entreprise (contrôleur) et chaque tiers (processeur) garantissant que les données sont stockées correctement et ne sont pas utilisées à mauvais escient, vendues ou vulnérables aux attaques. C'est l'une des étapes les plus élémentaires pour être conforme au RGPD.

La majorité de ces outils tiers rendent les DPA disponibles sur leurs sites Web pour être téléchargés et signés. Le DPA signé peut généralement également être demandé par e-mail.

Si vous devez créer votre propre accord de traitement des données, le modèle officiel peut être téléchargé à partir de https://gdpr.eu/data-processing-agreement/. Toutes les organisations peuvent utiliser ce document afin de se conformer au RGPD et d'éviter des amendes coûteuses.

L'accord sur le traitement des données s'applique aux entreprises qui stockent et/ou traitent des données de l'Union européenne et traite des questions suivantes concernant le sous-traitant :

  • une sécurité adéquate de l'information doit être en place ;
  • aucun sous-traitant n'est autorisé à utiliser les données sans le consentement du contrôleur ;
  • une coopération avec les autorités de protection des données doit être fournie si nécessaire ;
  • les violations de données doivent être signalées immédiatement au responsable du traitement ;
  • des enregistrements de toutes les activités de traitement doivent être conservés ;
  • le respect des règles de transfert de données de l'UE ;
  • assistance au responsable du traitement lors de la gestion d'éventuelles violations de données.

Des informations plus détaillées à ce sujet peuvent être trouvées ici : https://gdpr.eu/article-28-processor/.