🇬🇧 English version
RGPD9 min de lecture

Accords de traitement des données : gérer les relations fournisseurs

Quand vous partagez des données personnelles avec des tiers (fournisseurs cloud, outils d'analytics, processeurs de paiement), le RGPD exige des accords formels encadrant la façon dont ils gèrent ces données. Ces Accords de traitement des données (DPA) sont légalement requis, pas optionnels.

Points clés

Point Résumé
Quand c'est requis Chaque fois que vous (responsable) partagez des données personnelles avec un tiers (sous-traitant)
Exemples courants Hébergement cloud (AWS, GCP), email (Mailchimp), analytics (Google Analytics), CRM (Salesforce)
Clauses requises Objet/durée, nature/finalité, types de données, obligations du sous-traitant, mesures de sécurité
La plupart des fournisseurs ont des DPA Les principaux fournisseurs cloud/SaaS ont des DPA standards disponibles à la signature
Vous êtes responsable Le responsable est redevable du choix de sous-traitants conformes et de la mise en place d'accords appropriés

Réponse rapide : Vous avez besoin d'un DPA avec chaque fournisseur qui traite des données personnelles pour votre compte (cloud, analytics, services email, etc.). La plupart des grands fournisseurs ont des DPA standards prêts à signer. Vérifiez qu'ils contiennent les clauses RGPD requises avant de signer.

Quand un DPA est-il requis ?

Un DPA est requis chaque fois que vous (en tant que responsable) engagez un tiers (sous-traitant) pour traiter des données personnelles pour votre compte.

Évaluation de l'exigence DPA :

Vous êtes le Responsable quand vous :

  • Décidez quelles données collecter
  • Déterminez pourquoi les données sont traitées
  • Choisissez comment les données sont utilisées
  • Portez la responsabilité de la conformité

Le tiers est un Sous-traitant quand il :

  • Traite les données selon vos instructions
  • Ne détermine pas ses propres finalités
  • Agit sous votre direction
  • Exemples : Hébergement cloud, services email, analytics

DPA requis ?

  • Si le sous-traitant traite des données personnelles → OUI

Relations sous-traitant courantes

Type de service DPA requis ? Exemples
Hébergement cloud Oui AWS, GCP, Azure
Email marketing Oui Mailchimp, SendGrid
Analytics Oui (si données personnelles) Mixpanel, Amplitude
Traitement des paiements Oui Stripe, PayPal
Support client Oui Intercom, Zendesk
CRM Oui HubSpot, Salesforce
RH/Paie Oui Gusto, Rippling

Exigences DPA sous le RGPD

L'article 28 spécifie le contenu obligatoire des DPA :

Clauses requises

Exigence Ce que ça signifie
Objet et durée Quel traitement, combien de temps
Nature et finalité Pourquoi le traitement a lieu
Types de données Catégories de données personnelles
Catégories de personnes concernées À qui appartiennent les données (utilisateurs, employés, etc.)
Obligations du responsable Vos responsabilités
Obligations du sous-traitant Responsabilités du fournisseur

Obligations du sous-traitant dans le DPA

Le sous-traitant doit :

Obligations du sous-traitant (Article 28) :

1. Suivre les instructions

  • Traiter uniquement sur instructions documentées du responsable

2. Confidentialité

  • S'assurer que le personnel est lié par la confidentialité

3. Sécurité

  • Mettre en œuvre des mesures techniques/organisationnelles appropriées

4. Sous-traitants ultérieurs

  • N'engager qu'avec autorisation préalable
  • Imposer les mêmes obligations aux sous-traitants ultérieurs

5. Assistance

  • Aider avec les demandes des personnes concernées
  • Aider avec la sécurité et la notification de violation
  • Aider avec les AIPD si requis

6. Retour/Suppression des données

  • Retourner ou supprimer les données à la fin du service

7. Audits

  • Permettre et contribuer aux audits
  • Fournir les informations pour la démonstration de conformité

Structure de template DPA

Un DPA complet devrait inclure :

Sections principales

Plan de l'accord de traitement des données :

1. Définitions

  • Responsable, Sous-traitant, Données personnelles
  • Terminologie alignée sur le RGPD

2. Périmètre du traitement

  • Description des services
  • Durée
  • Activités de traitement

3. Obligations du responsable

  • Responsabilité de la base légale
  • Documentation des instructions
  • Conformité au RGPD

4. Obligations du sous-traitant

  • Traiter uniquement sur instructions
  • Exigences de confidentialité
  • Mesures de sécurité
  • Exigences relatives aux sous-traitants ultérieurs
  • Assistance pour les droits des personnes concernées
  • Notification de violation
  • Assistance AIPD
  • Droits d'audit

5. Sous-traitants ultérieurs

  • Mécanisme d'approbation
  • Liste des sous-traitants ultérieurs actuels
  • Notification des changements

6. Mesures de sécurité

  • Mesures techniques
  • Mesures organisationnelles
  • Exigences spécifiques

7. Transferts internationaux

  • Mécanismes de transfert
  • CCT si applicable
  • Décisions d'adéquation

8. Conservation et suppression des données

  • Durée de conservation
  • Procédures de retour/suppression

9. Droits d'audit

  • Périmètre de l'audit
  • Procédures d'audit

10. Responsabilité

  • Répartition
  • Indemnisation

Annexes :

  • Annexe A : Description du traitement
  • Annexe B : Mesures de sécurité
  • Annexe C : Sous-traitants ultérieurs
  • Annexe D : Clauses contractuelles types (si nécessaire)

Gérer les sous-traitants ultérieurs

Les sous-traitants utilisent souvent leurs propres fournisseurs (sous-traitants ultérieurs). Vous avez deux options :

Option 1 : Autorisation spécifique

Approuver chaque sous-traitant ultérieur individuellement.

Avantages Inconvénients
Contrôle total Charge administrative
Savoir exactement qui traite les données Peut retarder les changements de service
Peut refuser des sous-traitants spécifiques Nécessite un suivi continu

Option 2 : Autorisation générale

Pré-approuver l'utilisation de sous-traitants ultérieurs avec notification des changements.

Avantages Inconvénients
Moins de travail administratif Moins de contrôle sur les spécificités
Flexibilité du sous-traitant Doit suivre les notifications
Standard dans les accords SaaS S'appuie sur le mécanisme d'objection

Processus d'objection aux sous-traitants ultérieurs

Avec l'autorisation générale, les DPA incluent généralement :

Processus de changement de sous-traitant ultérieur :

Le sous-traitant ajoute un sous-traitant ultérieur :

  • Notifie le responsable (ex : 30 jours à l'avance)
  • Fournit les détails du sous-traitant ultérieur
  • Explique le traitement impliqué

Options du responsable :

  • Accepter le changement (explicitement ou en ne s'opposant pas)
  • S'opposer dans le délai spécifié
  • En cas d'opposition :
    • Discuter des alternatives avec le sous-traitant
    • Peut résilier les services affectés
    • Éviter les objections déraisonnables

Réviser les DPA des fournisseurs

Lors de l'évaluation du DPA d'un fournisseur :

Points clés de révision

Domaine Quoi vérifier
Périmètre Couvre-t-il toutes les activités de traitement ?
Instructions Pouvez-vous fournir des instructions documentées ?
Sécurité Les mesures sont-elles adéquates pour vos données ?
Sous-traitants ultérieurs Savez-vous qui ils sont ?
Transferts internationaux Des garanties appropriées sont-elles en place ?
Notification de violation Le délai est-il acceptable (24-48 heures idéal) ?
Droits d'audit Pouvez-vous auditer si nécessaire ?
Suppression Les données seront-elles correctement supprimées ?

Signaux d'alerte

Signal d'alerte Préoccupation
Pas de DPA proposé Fournisseur non conforme
Ne peut pas personnaliser Peut ne pas répondre à vos besoins
Pas de liste de sous-traitants ultérieurs Manque de transparence
Limites sur les détails de sécurité Ne peut pas évaluer l'adéquation
Pas de droits d'audit Ne peut pas vérifier la conformité
Localisation des données peu claire Risque de transfert
Long délai de notification de violation Risque pour votre conformité

Clauses contractuelles types (CCT)

Pour les transferts internationaux vers des pays sans décision d'adéquation :

Quand les CCT sont nécessaires

Destination du transfert CCT requises ?
UE/EEE Non
UK (depuis l'UE) Parfois (vérifier le statut actuel)
Pays adéquats (Canada, Japon, etc.) Non
USA (organisations certifiées DPF) Non (adéquation selon Décision 2023/1795)
USA (non certifiées DPF) Oui
Autres pays Oui

Mise en œuvre des CCT

Intégration des CCT :

Sélection du module (CCT 2021) :

  • Module 1 : Responsable à Responsable
  • Module 2 : Responsable à Sous-traitant (le plus courant)
  • Module 3 : Sous-traitant à Sous-traitant
  • Module 4 : Sous-traitant à Responsable

Annexes requises :

  • Annexe I : Parties et détails du transfert
  • Annexe II : Mesures techniques/organisationnelles
  • Annexe III : Sous-traitants ultérieurs (si applicable)

Évaluation d'impact du transfert :

  • Évaluer les lois du pays de destination
  • Évaluer les mesures supplémentaires nécessaires
  • Documenter l'évaluation

Note sur la transition des CCT : Les CCT 2021 (Décision d'exécution 2021/914 de la Commission) ont remplacé les précédentes CCT 2010. La période de transition s'est terminée le 27 décembre 2022, ce qui signifie que tous les transferts internationaux de données doivent maintenant utiliser les CCT 2021. Les organisations auraient dû migrer tous les contrats existants vers les nouvelles clauses avant cette date. Tout accord legacy faisant encore référence aux CCT 2010 devrait être mis à jour immédiatement.

Processus de gestion des DPA

Configuration initiale

  1. Inventorier les fournisseurs traitant des données personnelles
  2. Vérifier les contrats existants pour la couverture DPA
  3. Demander des DPA aux fournisseurs sans
  4. Réviser et négocier les termes clés
  5. Exécuter et archiver les DPA

Gestion continue

Activité Fréquence
Révision DPA nouveau fournisseur Avant l'onboarding
Mises à jour sous-traitants ultérieurs Comme notifié
Révision de renouvellement DPA Au renouvellement du contrat
Vérification conformité fournisseur Annuellement
Mise à jour inventaire DPA Trimestriellement

Suivi des DPA

Fournisseur Statut DPA Expiration Sous-traitants ultérieurs CCT
AWS Signé N/A Liste archivée Oui
Stripe Signé N/A Liste archivée Oui
Mailchimp Signé N/A Changements notifiés Oui
CRM interne Nécessaire - Inconnu À déterminer

Questionnaire d'évaluation fournisseur

Avant de signer un DPA, évaluez le fournisseur :

Question Pourquoi c'est important
Quelles données personnelles allez-vous traiter ? Comprendre le périmètre
Où les données sont-elles traitées/stockées ? Implications de transfert
Quelles mesures de sécurité avez-vous ? Évaluation d'adéquation
Utilisez-vous des sous-traitants ultérieurs ? Risque de chaîne d'approvisionnement
Comment gérez-vous les DSAR ? Pouvez-vous remplir les droits ?
Quel est votre processus de notification de violation ? Respecter l'obligation de 72 heures
Pouvons-nous auditer votre conformité ? Capacité de vérification
Que se passe-t-il à la résiliation ? Retour/suppression des données

Comment Bastion peut vous aider

Gérer les DPA à travers tous les fournisseurs peut devenir complexe à mesure que votre écosystème de fournisseurs grandit. Travailler avec des partenaires expérimentés aide à assurer une couverture complète sans surcharger votre équipe.

Défi Comment nous aidons
Templates DPA Templates pré-approuvés pour les scénarios fournisseurs courants
Évaluation fournisseur Questionnaires structurés et conseils pour évaluer la conformité des fournisseurs
Suivi DPA Inventaire centralisé avec rappels pour les renouvellements et révisions
Support de négociation Conseils experts sur les termes clés quand les DPA des fournisseurs nécessitent des modifications
Monitoring continu Suivi des changements de sous-traitants ultérieurs et mises à jour DPA à travers votre écosystème fournisseur

Avoir une expertise supplémentaire aide à s'assurer que la couverture DPA est complète et appropriée, évitant les lacunes qui surgissent souvent lors des audits ou des revues de sécurité par des clients enterprise.

Vous cherchez de l'aide pour gérer les accords fournisseurs ? Parlons-en →

← PrécédentNotification de violation de données : la règle des 72 heuresSuivant →Conformité cookies RGPD : au-delà de la bannière
Retour aux guides RGPD