Qu'est-ce qu'un accord sur le traitement des données ? Les accords sur le traitement des données expliqués

Si votre entreprise collecte des informations personnelles auprès des utilisateurs et fait appel à un tiers pour traiter ces données, vous devrez conclure un accord de traitement des données (ATD) afin d'éviter les amendes pour non-respect de plusieurs textes législatifs relatifs à la protection de la vie privée dans le monde.

En termes simples, un accord de traitement des données est un contrat entre un collecteur de données et les services tiers qu'il emploie pour traiter les données.

Nous verrons ci-dessous ce qu'est un accord de traitement des données, à quoi il ressemble et pourquoi votre entreprise pourrait en avoir besoin aujourd'hui en raison de la nouvelle législation sur la protection de la vie privée.

Qu'est-ce qu'un accord sur le traitement des données (ATD) ?

Un accord sur le traitement des données - également appelé avenant sur le traitement des données ou DPA - est un contrat légal dans lequel vous déterminez les droits et les obligations des parties impliquées dans le traitement des données.

La plupart du temps, il s'agit de votre entreprise et des services tiers que vous utilisez.

Votre entreprise est le collecteur de données, et toute entreprise tierce qui vous aide à collecter ou à traiter des données est le responsable du traitement des données.

Un accord de traitement des données permet de garantir aux utilisateurs que vous prenez en charge le processus de collecte des données, car vous vérifiez que les sous-traitants avec lesquels vous travaillez traitent, manipulent et stockent leurs informations conformément à la législation en vigueur.

Pourquoi a-t-on besoin de DPA ?

Les accords sur le traitement des données sont nécessaires car ils protègent votre entreprise en obligeant contractuellement tous les sous-traitants tiers avec lesquels vous travaillez à se conformer aux lois sur la protection de la vie privée.

En l'absence de DPA, votre entreprise risque d'être tenue pour responsable des pratiques illégales de traitement des données du tiers, le cas échéant.

Cela dit, techniquement, vous n'êtes pas légalement obligé d'utiliser un DPA. Toutefois, ces documents contiennent généralement des clauses couvrant toutes les lignes directrices et exigences définies par les différentes réglementations en matière de protection de la vie privée, ce qui vous permet d'assurer plus facilement la conformité.

Ces accords juridiques permettent également de définir les attentes des clients quant à la manière dont votre entreprise traite leurs informations personnelles.

Initialement, l'utilisation d'un DPA pour créer des contrats légaux était l'un des éléments essentiels pour se conformer au règlement général sur la protection des données (RGPD).

Mais à partir de 2023, cinq autres États américains - la Californie, l'Utah, la Virginie, le Colorado et le Connecticut - ont commencé à exiger des contrats similaires aux DPA, stipulant qu'ils doivent inclure des clauses couvrant les éléments suivants :

• Finalité du traitement des données
• Type de données traitées
• Instructions de traitement des données
• Durée des droits de traitement des données
• Obligations des deux parties.

En comparaison, l'article 28 du RGPD exige que les responsables du traitement établissent avec leurs sous-traitants un contrat stipulant :

• Objet et durée du traitement
• Nature et finalité du traitement
• Type de données personnelles
• Catégories de personnes concernées
• Les obligations et les droits du responsable du traitement

Lois exigeant des DPA

Toutes les lois et réglementations suivantes en matière de protection de la vie privée exigent ou exigeront des entreprises qu'elles établissent des contrats avec des sous-traitants tiers, et l'utilisation d'une autorité de protection des données répond à ces obligations :

• Règlement général sur la protection des données (RGPD)
• La loi sur la protection des données 2018( RGPD)
• Loi californienne sur la protection de la vie privée des consommateurs(CCPA)
• Loi de Virginie sur la protection des données des consommateurs(CDPA)
• Loi générale sur la protection des données du Brésil(LGPD)
• Loi thaïlandaise sur la protection des données personnelles(PDPA)
• Loi sur la protection des données personnelles des Émirats arabes unis(PDPA)
• Afrique du Sud Loi sur la protection des informations personnelles(POPIA)
• Colorado Privacy Act(CPA)- en vigueur le 1er juillet 2023
• Connecticut Personal Data Privacy and Online Monitoring Act(CTDPA)- en vigueur le 1er juillet 2023
• Utah's Consumer Privacy Act(UCPA)- en vigueur le 31 décembre 2023

La plupart de ces réglementations ont une portée extraterritoriale, de sorte qu'elles peuvent s'appliquer à votre entreprise même si vous vous trouvez en dehors de leurs frontières territoriales traditionnelles.

Les obligations contractuelles spécifiques varient également légèrement. Cliquez sur les liens pour en savoir plus sur la manière dont chaque texte législatif affecte le contenu de vos DPA.

Ai-je besoin d'un accord sur le traitement des données ?

Vous pouvez avoir besoin d'un accord de traitement des données afin d'éviter les sanctions pour non-respect des lois sur la protection de la vie privée énumérées précédemment.

Le RGPD, par exemple, s'applique à tout site web ou application qui collecte des informations personnelles et dont les visiteurs proviennent de l'Union européenne (UE).

Selon l'article 83 du RGPD, les entreprises qui ne respectent pas les prescriptions risquent de payer des amendes pouvant aller jusqu'à 20 millions de dollars ou 4 % du chiffre d'affaires global - le montant le plus élevé étant retenu.

Pour éviter ces risques, il convient de suivre les lignes directrices relatives à la conformité au RGPD , y compris la préparation d'un accord sur le traitement des données.

La CCPA modifiée exige également un contrat si une entreprise divulgue des données personnelles d'utilisateurs à des contractants, des prestataires de services et des tiers.

Dans les sections suivantes, nous allons définir ces termes et expliquer comment ils sont liés aux autorités chargées de la protection des données.

Entrepreneurs et prestataires de services

En raison des modifications apportées au CCPA par le California Privacy Rights Act(CPRA), toute entité qui traite des informations personnelles pour le compte d'une entreprise ou qui reçoit des informations personnelles de consommateurs à des fins professionnelles doit disposer d'un contrat écrit. Vous pouvez vous conformer à cette directive en utilisant un DPA.

Mais il y a une différence entre la définition des entrepreneurs et celle des prestataires de services donnée par la CCPA.

Juridiquement, la définition d'un contractant est plus large que celle d'un prestataire de services. Elle inclut toute personne à laquelle une entreprise met à disposition les informations personnelles des consommateurs à des fins professionnelles.

D'autre part, un fournisseur de services est simplement une entité qui "traite l'information" pour une entreprise.

Selon la version modifiée de l'ACCP, les contractants doivent certifier qu'ils comprennent les exigences contractuelles.

Ces contrats exigent des sections qui :

• Interdire la vente ou le partage des informations personnelles
• Interdiction de conserver, d'utiliser ou de divulguer des informations personnelles en dehors de la relation commerciale directe entre le contractant et l'entreprise.
• Interdire la combinaison d'informations personnelles provenant de différentes sources
• Notifier les sous-traitants à l'entreprise
• Obliger les sous-traitants par contrat écrit à respecter les mêmes obligations en matière de traitement.
• Oblige les deux parties, par le biais de dispositions, à contrôler leur propre respect de la législation

Les contractants doivent également recevoir des informations personnelles directement de l'entreprise, tandis que les prestataires de services peuvent recevoir des informations personnelles au nom de l'entreprise.

Cela implique que les entreprises exercent un plus grand contrôle sur les contractants que sur les prestataires de services, ce qui est renforcé par l'obligation pour les contractants de prouver qu'ils comprennent les exigences contractuelles légales.

Tiers

Selon la CCPA, un tiers est une entité qui n' est pas l'entreprise d'origine avec laquelle le consommateur interagit intentionnellement et qui collecte ses informations personnelles dans le cadre de son interaction avec l'entreprise d'origine.

Cela signifie que les prestataires de services et les sous-traitants sont légalement considérés comme des tiers par rapport à l'entreprise.

En vertu de la loi sur la protection des données, les contrats doivent contenir des dispositions stipulant que les protections relatives aux limites d'utilisation et aux règles de confidentialité restent en place pour les informations personnelles tout au long de la chaîne d'approvisionnement.

Ces contrats doivent également permettre à l'entreprise de faire preuve d'une certaine diligence afin de s'assurer que les traitements effectués par des tiers restent conformes aux nouvelles obligations de l'ACPR qui ont modifié la LPCC.

Les tiers, quant à eux, doivent informer l'entreprise si elle ne peut plus respecter ses obligations modifiées au titre de la CCPA et lui accorder le droit de prendre des "mesures raisonnables et appropriées" pour remédier à l'utilisation non autorisée des données à caractère personnel dans de tels cas.

Comment créer un DPA ?

Il se peut que votre entreprise travaille avec plusieurs tiers pour le traitement des données et qu'elle ait besoin de plusieurs autorités de protection des données :

• Faire appel à un professionnel du droit
• Essayez une solution gérée
• Personnaliser un modèle gratuit et téléchargeable
• Adopter une approche de bricolage et rédiger le contrat soi-même

Demander une assistance juridique

Si vous êtes une grande entreprise qui traite un grand nombre de données d'utilisateurs, la meilleure solution est de faire appel à une équipe juridique pour vous aider à rédiger une DPA.

Solution gérée

L'une des méthodes les plus rapides et les plus simples pour créer un DPA consiste à utiliser une solution gérée, comme un générateur d'accord de traitement des données.

Même si vous devrez probablement payer une petite redevance mensuelle ou annuelle pour utiliser une solution gérée, vous n'aurez plus à vous préoccuper de ce contrat technique et vous n'aurez plus à vous en soucier.

Il vous suffit de répondre à quelques questions simples concernant votre entreprise et l'entité tierce, et le logiciel génère un DPA conforme en fonction de vos réponses.

Modèle

Si vous souhaitez rédiger un DPA sans dépenser un centime, essayez d'utiliser un modèle d'accord de traitement des données gratuit et téléchargeable.

L'utilisation d'un modèle demande plus de temps et d'efforts qu'une solution gérée, mais un modèle bien rédigé comprendra une partie de la rédaction initiale, du formatage et des clauses standard déjà en place pour vous.

AUTO-CONCEPTION

Vous pouvez également opter pour une approche "do-it-yourself" et rédiger vos propres accords sur le traitement des données.

Il s'agit d'une option difficile mais réalisable à condition d'avoir les connaissances techniques, les compétences et la connaissance des lois relatives à la protection de la vie privée.

Si vous décidez de suivre cette voie, lisez le reste de ce guide pour obtenir des conseils sur les éléments à inclure dans votre accord.

Que dois-je inclure dans mon DPA ?

Les détails spécifiques de votre accord sur le traitement des données dépendent des lois sur la protection de la vie privée que vous devez respecter, mais la plupart d'entre eux contiennent toutes les informations suivantes :

Si vous incluez tous les détails ci-dessus, votre DPA devrait répondre aux exigences légales définies par la plupart des législations relatives à la protection des données à caractère personnel dans le monde. Toutefois, dans la section suivante, nous énumérerons brièvement les exigences du RGPD pour les contrats, qui comportent des lignes directrices plus strictes.

Quelles sont les exigences d'un RGPD DPA ?

Selon l'article 28, Sec 3 du RGPD, il y a huit points importants que vous devez inclure dans votre accord sur le traitement des données :

1. Les responsables du traitement des données doivent s'engager à ne traiter les données que sur instruction écrite du responsable du traitement des données.
2. Les deux parties doivent convenir de la confidentialité sous serment des personnes impliquées dans le traitement des données.
3. Vous devez énumérer toutes les mesures qui garantissent la sécurité des données à caractère personnel.
4. En tant que responsable du traitement, vous devez veiller à ce que les fonctions déléguées du sous-traitant ne soient pas confiées à un autre sous-traitant sans que le responsable du traitement en ait été informé et y ait consenti.
5. Le sous-traitant doit vous aider, en tant que responsable du traitement, à vous conformer au RGPD en ce qui concerne ses engagements à l'égard des droits des personnes concernées.
6. Le sous-traitant doit vous aider, en tant que responsable du traitement, à remplir les obligations relatives au respect du RGPD, à savoir l'article 32 (sécurité du traitement) et l'article 36 (consultation préalable).
7. Une fois que les services ont pris fin ou que les données vous ont été renvoyées, le responsable du traitement et le sous-traitant doivent s'engager à supprimer toutes les données à caractère personnel.
8. En tant que responsable du traitement, vous avez le droit d'auditer le sous-traitant, qui doit fournir toutes les informations pertinentes, si nécessaire.

Cela peut sembler beaucoup, mais nous avons présenté dans la section suivante quelques exemples d'accords de traitement de données réels pour vous inspirer lors de l'élaboration de votre contrat.

Vous pouvez également consulter les modèles sur le site officielRGPD .

Qui signe un DPA ?

Pour que votre DPA soit juridiquement contraignant, le responsable du traitement des données(c'est-à-dire votre entreprise) et le sous-traitant(c'est-à-dire le tiers) doivent tous deux signer l'accord de traitement des données, ainsi que tous leurs sous-traitants.

Dans la section suivante, nous verrons donc comment déterminer si le DPA qui vous est présenté vaut la peine d'être signé d'un point de vue bilatéral ou s'il convient d'entamer d'abord des négociations.

Signature d'un DPA en tant que contrôleur des données

Si votre entreprise fait appel à un tiers pour traiter des données, vous devez créer et signer une DPA en tant que responsable du traitement des données.

Avant de signer un accord de traitement des données en tant que responsable du traitement, assurez-vous qu'il répond aux normes suivantes :

• La manière dont le sous-traitant peut utiliser les données à caractère personnel est clairement décrite.
• Assurez-vous que le sous-traitant est en mesure de protéger les données et de réagir rapidement en cas de problème.
• Vérifier que l'étendue de la collecte des données relève de la base juridique dont vous disposez pour le traitement des données.
• Envisager et planifier les transferts internationaux de données

Ces mesures sont essentielles car, en vertu de réglementations telles que le RGPD, le responsable du traitement des données - c'est-à-dire votre entreprise - est tenu pour responsable en cas de violation de la sécurité par un sous-traitant, même si l'erreur est de son fait.

Si vous doutez des pratiques de sécurité ou de l'intégrité des sous-traitants tiers avec lesquels vous pouvez passer un contrat, reconsidérez la relation ou retravaillez l'accord.

Signature d'un DPA en tant que responsable du traitement des données

Si vous êtes responsable du traitement des données, vous devez tout de même comprendre les tenants et les aboutissants des accords sur le traitement des données, car vous signerez un grand nombre de ces contrats dans le cadre de votre travail.

Lors de la signature d'un DPA en tant que responsable du traitement des données, il convient de veiller à ce que le contrat soit adapté :

• Vérifier que toutes les lois applicables en matière de confidentialité des données dont vous relevez sont prises en compte dans le contrat.
• Veiller à ce que vous puissiez répondre de manière adéquate à toutes les exigences en matière de sûreté et de sécurité
• Maintenir les données personnelles à jour et exactes
• Préparer une procédure pour que les consommateurs puissent faire valoir leurs droits en matière de protection de la vie privée
• Veillez à ce que tous vos sous-traitants signent et respectent les dispositions de la DPA.

Il incombe au sous-traitant de stocker et de traiter correctement les informations personnelles des consommateurs conformément au RGPD et à toutes les lois applicables en matière de protection de la vie privée. Vous devez également vérifier que vos sous-traitants peuvent faire de même.

Quelles sont les amendes encourues en cas d'absence de DPA ?

Si vous ne créez pas un DPA conforme, vous risquez de payer de lourdes amendes, de perdre la confiance de vos consommateurs et, éventuellement, d'être condamné à une peine de prison.

Vous trouverez ci-dessous un tableau comparant les sanctions potentielles pour certaines lois sur la protection de la vie privée qui stipulent des exigences contractuelles entre les responsables du traitement des données et les sous-traitants.

Les risques n'en valent pas la peine, mettez en place un DPA efficace et conforme pour protéger les données personnelles de vos consommateurs et l'intégrité de votre entreprise.

Exemples d'accords sur le traitement des données

Examinons quelques exemples d'accords de traitement des données pour voir comment d'autres entreprises répondent aux exigences des réglementations sur la protection des données, comme le RGPD et la version modifiée de la CCPA.

Exemple 1 : Accord de traitement des données de LinkedIn

Le premier exemple d'accord sur le traitement des données que nous examinerons provient du site web de réseautage professionnel LinkedIn.

Vous trouverez ci-dessous une capture d'écran montrant comment ils organisent leur accord à l'aide d'une simple table des matières.

Nous apprécions leur structure logique, qui permet aux deux parties de vérifier qu'elle couvre toutes les stipulations et lignes directrices nécessaires.

Ils définissent également clairement tous les termes de leur accord, comme le montre la capture d'écran ci-dessous. C'est une excellente idée car cela permet de dissiper toute confusion et de limiter les risques d'interprétation erronée.

Plus loin dans l'accord, ils utilisent des tableaux pour indiquer quelles catégories de données à caractère personnel sont transférées du responsable du traitement au responsable du traitement par rapport aux données qui sont transférées du responsable du traitement au sous-traitant.

Comme le montre l'illustration ci-dessous, cela permet d'organiser clairement des informations complexes et de s'assurer que chaque partie signataire de l'accord en comprend les termes.

Exemple 2 : Accord de traitement des données de Yahoo

Examinons maintenant le DPA de Yahoo. Dans la capture d'écran ci-dessous, vous remarquerez qu'ils évitent d'utiliser de grands murs de texte, ce qui facilite la lecture et la compréhension.

Nous apprécions le fait que leur document soit organisé de manière ordonnée et que les titres clairs sur la gauche facilitent la navigation à travers les sections.

Ci-dessous, vous verrez comment ils formulent simplement leur clause expliquant leurs obligations concernant les lois européennes sur la protection de la vie privée.

Trouver l'équilibre entre un langage clair et une formulation conforme à la législation n'est pas chose aisée, alors utilisez le DPA de Yahoo comme exemple de réussite.

Exemple 3 : Accord de traitement des données de Mailchimp

Enfin, examinons l'accord de traitement des données pour le service de marketing par courriel Mailchimp.

Ils font un excellent travail en combinant et en communiquant les exigences contractuelles en matière de traitement des données provenant de différents textes législatifs, ce qui est un exercice d'équilibre délicat.

Plus précisément, l'annexe C du DPA clarifie leurs obligations et exigences contractuelles dans les différents termes utilisés par les juridictions auxquelles ils sont soumis - la Californie et le Canada - en plus du RGPD.

Vous trouverez ci-dessous leurs informations concernant le traitement des données en Californie.

Ensuite, comparez-les à leurs informations concernant le traitement des données canadiennes.

Faire directement référence aux lois sur la protection de la vie privée est un excellent moyen de s'assurer que vous vous conformez pleinement à toutes les directives et exigences légales. Pensez à faire de même dans vos accords de traitement des données.

Conseils pour la négociation d'un DPA

Lors de la négociation d'un accord sur le traitement des données, il convient de s'assurer que la politique respecte bien toutes les lois sur la protection de la vie privée et qu'elle prévoit des conditions commerciales favorables.

Pour réussir à créer un DPA qui fasse les deux, nous vous recommandons de suivre les étapes suivantes :

Accord sur le traitement des données FAQ

Vous trouverez ci-dessous les questions les plus fréquentes que nous recevons sur les accords de traitement des données.

Résumé

L'existence d'un DPA est un élément essentiel du respect de la confidentialité des données en vertu de plusieurs lois, notamment le RGPD, la CCPA telle qu'elle a été modifiée par l'ACPR, etc.

Ce contrat juridiquement contraignant vous permet d'éviter de lourdes amendes tout en renforçant la confiance de vos clients en démontrant que vous et votre/vos responsable(s) du traitement des données êtes responsables et dignes de confiance.

Que vous choisissiez de faire appel à un conseiller juridique, de rédiger vous-même un contrat, d'utiliser un modèle ou d'accéder à un générateur d'accords de traitement des données, assurez-vous que vos contrats respectent toutes les lois pertinentes en matière de protection de la vie privée, qu'ils limitent de manière appropriée vos responsabilités et que tous les sous-traitants avec lesquels vous vous associez sont qualifiés pour protéger et stocker de manière adéquate les informations personnelles de vos consommateurs.

En savoir plus sur l'auteur

Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur