5 étapes faciles pour gérer les contrats de traitement des données

Les contrats de traitement des données (DPA) sont obligatoires lorsque des données personnelles sont traitées entre deux ou plusieurs parties. Quiconque se tenant un peu au courant de la législation RGPD en est conscient. Une question subsiste pourtant : comment rédiger au mieux un DPA ? Dans cet article, vous obtiendrez une réponse aux 5 questions fréquemment posées concernant les DPA tout en découvrant les étapes de rédaction à suivre.

Qu’est-ce qu’un contrat de traitement de données?

Les contrats de traitement de données (DPA) sont des contrats obligatoires, conclus entre deux ou plusieurs parties, lorsqu’une partie traite des données personnelles (provenant de tiers) pour une autre partie. Il peut s’agir de données dans des systèmes CRM, des systèmes analytiques, des plateformes de données client, etc.

Un DPA vous indique ce qui est attendu des deux parties concernant:

• la sécurité des données;
• l’endroit où sont conservées les données;
• les possibilités d’audit;
• la personne responsable en cas de problème tel qu’une fuite de données.

Dans les 5 étapes suivantes, vous découvrirez comment gérer un DPA de la manière la plus efficace. 

ÉTAPE 1 : Avec quelles parties avez-vous besoin d’un DPA?

Le Règlement général sur la protection des données (RGPD) oblige tous les sous-traitants de données personnelles en Europe à conclure un DPA. Si vous réfléchissez avec quelles personnes vous devez conclure un accord, de simples parties, comme votre secrétariat social ou votre hébergeur, vous viendront certainement à l’esprit. Il est toutefois important de ne pas oublier les parties moins évidentes. Notamment les services d’élimination des ordures, un consultant en informatique ou l’un de vos fournisseurs qui pourraient traiter des données personnelles sensibles pour vous. Un moyen pratique d’obtenir un aperçu complet de toutes les parties impliquées est de jeter un coup d’œil aux contrats de votre entreprise. Vous ne savez pas par où commencer ? Facile ! Un contrôle des contrats vous fournit un aperçu complet des contrats dont vous pourriez avoir besoin pour votre recherche.

ÉTAPE 2 : Que doit contenir un DPA?

Votre DPA doit, de toute évidence, contenir les informations suivantes:

• l’objet de l’accord et du traitement des données;
• la durée du traitement des données;
• la nature et la finalité du traitement.

Gardez à l’esprit que vous devez également inclure des informations plus spécifiques telles que le type des données personnelles, les catégories de données et bien sûr les obligations et les droits du responsable du traitement. Pour obtenir une liste complète des informations à inclure dans le DPA, adressez-vous à l’avocat de votre société ou au délégué à la protection des données (DPD).

ÉTAPE 3 : Devez-vous rédiger le DPA séparément ou dans le cadre de l’accord principal?

Tout comme pour les accords de non-divulgation (NDA), il existe trois façons d’établir un accord avec les DPA:

• Les accords DPA sont intégrés aux conditions générales de votre propre entreprise ou à celles de l’autre partie. Par exemple : Amazon, Google, Office 365, etc.
• Le DPA est un accord distinct et n’est donc pas lié à un autre accord existant.
• Le DPA est un avenant à un contrat existant et y est donc lié.

Aucune limitation légale ne stipule qu’un DPA ne peut pas faire partie d’un contrat ordinaire entre le sous-traitant et la partie responsable. Compte tenu de la complexité des DPA, il est conseillé d’ajouter un document séparé ou une annexe au contrat principal. Vous pouvez ainsi facilement retrouver le contrat de traitement des données sans avoir à parcourir l’intégralité du contrat à la recherche d’un paragraphe ou d’une page. Vous n’avez également pas à négocier un nouveau DPA en cas de résiliation du contrat existant dans lequel le DPA était contenu ou une annexe.

ÉTAPE 4 : Comment se déroule le suivi du DPA?

Les DPA doivent toujours être à portée de mains des personnes concernées, même s’ils sont inclus dans les conditions générales ou dans un accord plus large. Il est également important que vous soyez toujours au courant de la durée de l’accord. Un système tel qu’Excel ou un système de management des documents n’offre pas ici le meilleur support. Surtout si vous avez plus d’une centaine de contrats ou si vous travaillez avec différents départements ! Un système de management des contrats peut alors vous apporter un grand soutien en:

• attribuant les droits de lecture ou d’accès adéquats aux personnes concernées;
• indiquant de qui vous attendez un DPA et avec qui vous n’en avez pas encore;
• récupérant tous les contrats ou clauses souhaités en quelques clics.

Vos collègues et vous gagnez non seulement du temps, mais vous évitez également les mauvaises surprises en cas de problèmes avec des données personnelles ou de fuites de données.

ÉTAPE 5 : Comment éviter la duplication du travail à l’avenir?

Pour éviter de devoir repartir de zéro pour un même travail dans le cadre d’un prochain accord, nous vous recommandons d’impliquer le délégué à la protection des données (DPO) lorsque vous signez de nouveaux contrats ou lorsque vous travaillez avec de nouvelles parties. Il sera ainsi tenu informé dès le départ et le DPO pourra effectuer les adaptations nécessaires. Vous pouvez également effectuer une dernière vérification avant la signature.

En savoir plus sur les DPA et la façon de les gérer efficacement?

Téléchargez le guide complet ici.