Qu'est-ce qu'un accord de traitement des données et quand en ai-je besoin ?
Les accords de traitement des données (DPA) sont requis par le Règlement général sur la protection des données (RGPD) lorsque des données sont transférées entre un responsable du traitement et un sous-traitant. Dans cet article, nous exposons un aperçu des exigences et des études de cas réels.
Chez Gerrish Legal, nous voulons dissiper le stress associé aux DPA pour les travailleurs indépendants et les micro-entreprises en démystifiant le jargon juridique. En collaboration avec la City Law School, nous vous proposons quelques conseils pratiques pour savoir pourquoi, quand et comment utiliser les DPA.
Un accord de traitement des données est-il nécessaire et si oui, quand ?
L'Article 28(3) du RGPD stipule que :
Le traitement par un sous-traitant est régi par un contrat [...] qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.
Par conséquent, qu'est-ce qu'un responsable du traitement et qu'est-ce qu'un sous-traitant au sens du RGPD ?
L'Article 4(7) du RGPD dispose qu'un « responsable du traitement » est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. L'Article 4(8) précise ensuite qu'un « sous-traitant » est une personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
En d'autres termes, le responsable du traitement est généralement l'entreprise (qui peut être une société ou un indépendant) qui possède et/ou obtient et prend des décisions concernant les données à caractère personnel, et le sous-traitant est la partie désignée par le responsable du traitement pour traiter ces données en son nom et selon ses instructions.
La plupart des entreprises devront, à un moment donné, partager des données à caractère personnel avec un tiers, comme les fournisseurs de divers services (services d'infrastructure en cloud, SaaS, analytique, RH et paie, pour n'en citer que quelques-uns), et les prestataires de services sont susceptibles de recevoir des données personnelles de leurs clients pour les traiter en leur nom. Dans ce cas, un DPA est nécessaire.
Cela permettra au responsable du traitement de préciser l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement, conformément aux exigences de l'Article 28.
Il est alors essentiel que les responsables du traitement et les sous-traitants veillent à ce que ces activités de partage de données à caractère personnel soient conformes au RGPD et, en particulier, aux exigences de l'Article 28, qui énonce les différentes mesures de sécurité, techniques et organisationnelles qui doivent être mises en place lorsqu'un responsable du traitement partage des données avec un sous-traitant. L'Article 28(3), tel que mentionné ci-dessus, requiert la présence d'éléments spécifiques dans le DPA afin de garantir sa conformité. Il s'agit notamment des éléments suivants :
la mise en place de mesures techniques visant à garantir la sécurité et la confidentialité des données à caractère personnel ;
les règles relatives à la sélection et à l'utilisation d'autres sous-traitants tiers (sous-traitants secondaires) ;
les règles relatives au transfert de données à caractère personnel en dehors du Royaume-Uni ou de l'Union européenne ;
les règles relatives à la confidentialité et aux obligations imposées au personnel traitant les données pour le compte du sous-traitant ;
les règles définissant la manière dont le sous-traitant peut répondre aux droits ou aux demandes des personnes concernant leurs données à caractère personnel ;
les règles entourant le processus de traitement de toute violation de données ;
le processus d'effacement et/ou de portabilité des données personnelles au responsable du traitement à la fin des activités de traitement ;
les droits relatifs à la possibilité de contrôler la conformité du sous-traitant à ses obligations, tels que le droit de procéder à des audits ;
la responsabilité des parties, y compris les exigences en matière de plafonnement ou d'assurance.
Quand un DPA doit-il être mis en œuvre ?
Toute organisation agissant en qualité de responsable du traitement qui partage des données à caractère personnel avec un tiers doit mettre en place un DPA avec tous les tiers agissant en qualité de sous-traitants pour son compte. De plus, ce DPA doit être conclu avant tout traitement de données à caractère personnel. Le terme « traitement » a un sens large en vertu du RGPD, et signifie le partage, le transfert, le téléchargement vers des plateformes ou des portails ou encore le partage par courrier électronique.
Quels sont les risques encourus si l'on ne met pas en œuvre un DPA ?
Études de cas réels
L'affaire Societatea Energetică Electrica S.A :
En novembre 2022, l'autorité nationale de surveillance roumaine a mené une enquête sur l'opérateur Societatea Energetică Electrica S.A. et a constaté une violation de l'Article 28 du RGPD résultant de l'utilisation insuffisante d'un DPA. L'enquête a été ouverte après la transmission par l'opérateur Societatea Energetica Electrica S.A. d'une notification concernant la survenance d'une violation de la confidentialité des données à caractère personnel, en relation avec les dispositions du RGPD. L'affaire a abouti à une amende de 5 000 euros.
L'affaire Wens Experience SRL :
Au terme d'une enquête menée au sujet de Wens Experience SRL, une violation de l'Article 28(2) du RGPD a été découverte. La société Wens Experience SRL, en sa qualité de sous-traitant, a été condamnée à une amende de 1 500 euros en 2022. L'enquête a débuté à la suite de la transmission par le responsable du traitement concerné d'une notification de violation de données à caractère personnel par son sous-traitant en vertu du RGPD. L'enquête a révélé que le sous-traitant Wens Experience SRL avait recruté un autre sous-traitant pour traiter les données des employés du responsable du traitement sans avoir reçu d'autorisation écrite préalable, spécifique ou générale, de ce dernier, ce qui constitue une violation de l'Article 28(2) du RGPD.
L'affaire Kolibri Image GbR :
L'autorité de protection des données de Hambourg a infligé une amende à une petite société de vente par correspondance, Kolibri Image, et lui a demandé de payer un montant de 5000 euros ainsi que 250 euros de frais en raison de l'absence d'un DPA.
L'autorité de protection des données a déclaré que l'obligation de conclure un DPA s'applique non seulement au prestataire de services (sous-traitant), mais également au client en sa qualité de responsable du traitement des données.
Au vu de ce qui précède, nous pouvons constater qu'un DPA présente donc 3 avantages essentiels :
Amélioration de votre sensibilisation à la cybersécurité : Aucune entreprise ne souhaite se confronter au risque que représente la méconnaissance de la cybersécurité ou des violations de données, aux coûts de ces dernières ou aux temps d'arrêt de l'activité dus au vol ou à la perte de données. La mise en œuvre du RGPD dans votre organisation peut vous aider à établir un rythme de travail plus attentif à la sécurité.
Amélioration de la crédibilité, de la stabilité et de la transparence : Il existe sept principes fondamentaux énoncés à l'Article 5 du RGPD :
Légalité, équité et transparence
Limitation de la finalité
Minimisation des données
Exactitude
Limitation du stockage
Intégrité et confidentialité
Responsabilité
Par conséquent, en montrant que votre entreprise peut se conformer à ces principes tout en traitant des questions liées à la protection des données, vous montrez que vous êtes réputé et digne de confiance. La conformité au RGPD constitue de plus en plus une référence nécessaire pour les prestataires de services.
En l'absence d'un engagement sérieux et avéré en faveur de la protection de la vie privée, les entreprises peuvent être exposées à des risques d'atteinte à la notoriété de leur marque.
Sécurité et conformité juridique : Que vous soyez un responsable du traitement ou un sous-traitant, la conformité au RGPD et aux exigences de l'Article 28 du RGPD est une obligation légale dès lors que vous entrez dans une relation responsable du traitement – sous-traitant, que vous soyez une société multinationale, une micro- entreprise ou un indépendant. Suivre les règles applicables peut vous apporter une sécurité juridique et éviter le risque de sanctions pour non-conformité en cas de violation de données, d'enquête réglementaire ou de plainte déposée par un particulier concernant le traitement de ses données.
Quels sont les pièges d'un DPA mal rédigé ?
Bien entendu, l'absence de DPA est clairement problématique, mais si un DPA est rédigé de manière vague ou si des éléments requis par le RGPD sont absents, cela peut entraîner une confusion et des complications importantes pour les deux parties.
En effet, si un DPA est mal rédigé, il peut entrainer plus de dommages que de bénéfices. Par exemple, si l’une partie n'est pas sûre des obligations qui lui incombe ni de ce qu'elle est autorisée à faire, des problèmes importants peuvent se poser en l'absence de solutions et de clauses claires dans cet accord, en particulier en cas de violation des données ou de demande de la personne concernée.
Prochaines étapes
N'hésitez pas à nous contacter pour discuter de l'élaboration de votre DPA et pour tout conseil relatif au RGPD ou à la protection de la vie privée.
Article en collaboration avec City Law School, rédigé par :
Sarah Hafez
Harley Wallis
Mujhda Abed
Lubna Ahmad
Abdulaziz Osama Basha
Article de Nathalie Pouderoux, Paralegal / Consultante pour Gerrish Legal