Pour garantir la sécurité des données des consommateurs, l'Union européenne (UE) a mis en place une législation rigoureuse en matière de protection de la vie privée et de sécurité, connue sous le nom de Règlement général sur la protection des données (RGPD). Le Règlement général sur la protection des données définit et fait respecter les droits des citoyens de l'UE concernant leurs données personnelles. Il met en œuvre des normes de responsabilité, de sécurité et de transparence dans l'utilisation de ces données.

Les entreprises internationales qui opèrent dans l'Union européenne ou qui traitent des données personnelles provenant de l'UE doivent comprendre comment le Règlement général sur la protection des données les affectera et comment maintenir la conformité au Règlement général sur la protection des données.

L'un des aspects de cette conformité est la mise en œuvre d'un accord de traitement des données (ATD). Un accord de traitement des données du Règlement général sur la protection des données précise les détails, les règles, les droits et les obligations associés aux activités de traitement des données. Il permet de garantir la conformité de l'entreprise, de sécuriser les données et d'assurer la protection et la satisfaction des consommateurs.

Ce guide examine de plus près le fonctionnement des DPA et les éléments à inclure dans un DPA.

Qu’est-ce qu’un DPA au sens du Règlement général sur la protection des données ?

Un accord de traitement des données est un contrat signé entre les responsables du traitement des données et les sous-traitants qui traiteront leurs données. Il est nécessaire pour une conformité totale avec le Règlement général sur la protection des données.

Un DPA précise la nature, l’objectif et la durée des activités de traitement qui auront lieu. Elle précise également le type de données à caractère personnel à traiter et les catégories de personnes auxquelles elles appartiennent. Il définit les droits et les obligations du contrôleur. Il peut spécifier l’utilisation de mesures de sécurité techniques, telles qu’un certain niveau de chiffrement, qui doivent être en place.

Un accord de protection des données (APD) est juridiquement contraignant, et le responsable du traitement et le sous-traitant des données doivent s'y conformer sous peine de sanctions sévères.

Le principal avantage d'une autorité de protection des données est qu'elle garantit les qualifications et la fiabilité du responsable du traitement des données. Les entreprises ont besoin de savoir que leurs données sont entre de bonnes mains et qu'elles sont privées et à l'abri des regards indiscrets. Un DPA permet de fournir ces garanties.

Le Règlement général sur la protection des données et ses exigences en matière de protection des données personnelles sont susceptibles d'avoir un impact significatif sur les activités commerciales à l'avenir. Les transactions commerciales peuvent changer à mesure que la collecte de données personnelles devient plus limitée, que la communication sur la collecte et le stockage des données devient essentielle et que les relations avec les tiers vendeurs nécessitent des contrats plus rigoureux. Les entreprises individuelles et leurs départements RESSOURCES HUMAINES ressentiront des impacts considérables lorsqu'elles adapteront leurs processus pour se conformer aux exigences du Règlement général sur la protection des données.

L'avantage des exigences du règlement général sur la protection des données est que la confiance peut s'épanouir dans les entreprises, car les gens sont plus confiants dans la confidentialité et la protection de leurs données.

Quand un accord sur le traitement des données est-il nécessaire ?

Avez-vous besoin d'un accord sur le traitement des données ? Vous pouvez le faire si vous traitez des données à caractère personnel dans ou à partir de l'UE.

En vertu du Règlement général sur la protection des données, un document DPA est obligatoire chaque fois qu'une personne ou une organisation communique des données personnelles à un prestataire tiers pour un service collaboratif. Toute partie agissant en tant que traiteur de données doit signer des DPA avec les responsables de traitement des données.

Par exemple, dans l'UE, un service hébergeant un site web doit signer un accord de protection des données (DPA) avec l'entreprise à laquelle appartient le site web. Une entreprise qui traite des données personnelles à des fins de marketing ciblé auprès des consommateurs doit également signer un accord de protection des données (DPA).

Vous trouverez ci-dessous plusieurs autres services et scénarios commerciaux courants qui nécessitent des DPA :

  • Gestion des courriels sous-traitance
  • Solutions techniques de traitement des données pour la comptabilité financière et salariale
  • Services de sauvegarde des données, soit via des serveurs physiques, soit dans le nuage.
  • Collecte de données ou numérisation par l'intermédiaire d'un prestataire de services externe
  • Mise au rebut de l'ancien matériel contenant des données sensibles

Dans certains cas, le Règlement général sur la protection des données peut exiger des autorités de protection des données pour les entreprises situées en dehors de l'Europe. Cette exigence entre en jeu chaque fois que des données de l'UE sont concernées. Par exemple, une entreprise située au Canada peut être soumise à l'obligation de protection des données si elle traite des données concernant des citoyens de l'UE.

Quand une DPA n'est-elle pas nécessaire ?

Tableau des cas où une AIPD n'est pas nécessaire, y compris les partenariats, les services de portail, les agences de collecte et la gestion conjointe des données par plusieurs entreprises.

Plusieurs scénarios spécifiques ne nécessitent pas de DPA. Ils disposent de protections intégrées qui rendent inutile la protection du DPA. Tenez compte des éléments suivants afin de mieux comprendre les obligations de votre entreprise dans ces circonstances :

  1. Partenariats avec des groupes professionnels qui ont des exigences en matière de confidentialité : Dans de nombreuses professions, les meilleures pratiques veulent que les fournisseurs de services aient des accords de confidentialité personnalisés et spécifiques au secteur qui couvrent toutes les mesures de sécurité et les exigences en matière de protection de la vie privée qu'un DPA exigerait. Parmi les professions qui utilisent généralement ces accords de confidentialité, on peut citer le droit, le conseil fiscal et l'audit financier. De nombreux services de soins de santé sont généralement assortis de garanties de confidentialité rigoureuses.
  2. Services de portail : Les services qui se contentent de connecter des personnes ou des entités sont généralement exemptés des exigences de la DPA. Ces services professionnels de matchmaking sont si éphémères qu’un DPA n’aurait guère d’avantages. Les recruteurs entrent dans cette catégorie, par exemple. Ils mettent simplement en relation les personnes en recherche d'emploi avec les entreprises à la recherche de nouveaux talents pour leurs équipes. Ce scénario rend un DPA avec le recruteur inutile.
  3. Travailler avec des agences de recouvrement de créances : Les agences de recouvrement de créances ont accès à des informations financières personnelles et à des informations médicales. Les agences de recouvrement étant distinctes des créanciers initiaux et recouvrant la dette pour leur propre compte, elles ne sont pas soumises aux exigences du DPA. Si elles travaillent pour le compte des créanciers initiaux, les agences de recouvrement doivent signer des accords de confidentialité.
  4. Gestion conjointe des données de plusieurs entreprises : Dans certains cas, les entreprises travaillent en groupe pour gérer une collection de données. Ce scénario se produit souvent lorsque les entreprises ont un accès commun à des données provenant de fournisseurs, de produits ou de pistes de vente. Bien que les entreprises soient concurrentes, elles utilisent les mêmes données pour les mêmes objectifs généraux. L'ampleur de l'utilisation de ces données signifie généralement qu'un DPA n'est pas obligatoire.
  5. Essais cliniques : Les essais cliniques pharmaceutiques à grande échelle n'utilisent généralement pas de DPA en raison des nombreux contributeurs qu'ils impliquent. Les médecins, les centres de recherche et les sponsors ont tous accès aux données des sujets et les traitent différemment en fonction de leurs besoins. Les données collectées servent aussi généralement à diverses fins tout au long de l'essai clinique. Dans ces circonstances, les DPA ne s'appliquent généralement pas.

Qui est le responsable du traitement des données ?

Chaque accord DPA a lieu entre un responsable de traitement des données et un traiteur de données. Le responsable des données est l’organisation ou l’individu qui détermine comment et pourquoi traiter les données personnelles. Si votre entreprise décide d'envoyer des données à un tiers pour sauvegarde sur ses serveurs, votre entreprise est le responsable du traitement des données.

La caractéristique principale d'un responsable du traitement des données est le pouvoir de décision. Le responsable du traitement des données détermine les raisons de la collecte des données et les modalités du traitement des données à caractère personnel.

Dans la plupart des cas, une entreprise ou une organisation est le responsable du traitement des données. Le sous-traitant de données est une entité distincte qui a un contrat avec l'entreprise. Une personne telle qu’un entrepreneur individuel ou un travailleur indépendant peut également être un responsable de données si cette personne prend des décisions concernant la collecte et le traitement des données personnelles.

Qui est le responsable du traitement des données ?

Le sous-traitant est le tiers qui traite les données pour le compte d'un responsable du traitement. Dans le scénario ci-dessus, si votre entreprise décide d'envoyer vos données pour qu'elles soient sauvegardées, l'entreprise qui fournit les services de sauvegarde est le responsable du traitement des données.

Le responsable du traitement des données peut revêtir plusieurs formes. Il peut s'agir d'une entreprise, d'un particulier ou d'une autorité publique. Le critère pertinent est de savoir si cette personne ou entité traite ou non des données pour le compte d'un responsable du traitement.

Que comprend un document DPA ?

Les articles 28à36 du Règlement général sur la protection des données précisent quelles obligations contractuelles sont obligatoires pour le sous-traitant en vertu des règles DPA du Règlement général sur la protection des données. Voici quelques-unes des clauses DPA requises :

1. Une analyse approfondie des détails du traitement des données

Le DPA doit fournir des détails complets sur la manière dont chaque aspect du traitement des données se déroulera. La DPA doit contenir des informations claires sur des sujets tels que

  • Le type de données à caractère personnel à traiter
  • Le sujet des données
  • Les catégories des sujets de données
  • La finalité et la nature du traitement
  • La durée prévue du traitement des données
  • La base juridique du traitement des données à caractère personnel
  • Le retour ou la suppression des données personnelles à la fin du traitement

2. Les droits et responsabilités du responsable des traiteurs et des traiteurs des données

Le DPA garantit la clarté quant à la personne qui contrôle le traitement des données.

En précisant les droits et les responsabilités des deux parties, le DPA permet de savoir clairement qui contrôle le traitement des données.

Le DPA doit indiquer explicitement que le sous-traitant doit effectuer le traitement conformément aux souhaits et aux spécifications du responsable du traitement. Elle doit préciser que c'est le responsable du traitement, et non le sous-traitant, qui conserve le contrôle total des données et de ce qu'il en advient.

L'autorité de protection des données doit demander au sous-traitant de traiter les données uniquement selon les instructions directes du responsable du traitement, en ne s'écartant de ces instructions que lorsque la législation de l'UE ou de l'un des États membres l'exige.

3. Mesures de confidentialité requises pour le sous-traitant des données

La DPA doit préciser les protocoles que le traiteur doit suivre pour garantir la confidentialité des données personnelles.

Par exemple, le traiteur de données doit exiger que les employés permanents, temporaires et sous-traitants signent des accords de confidentialité avant de pouvoir commencer à traiter des données personnelles. La seule fois où un accord de confidentialité devient inutile, c’est lorsqu’une obligation légale exige déjà que le prestataire de traitement assure la confidentialité.

4. Protocoles techniques et organisationnels requis pour la sécurité de l'information

La DPA doit définir les mesures de sécurité que le traitement de données doit mettre en œuvre, y compris des mesures comme celles-ci lorsque cela est approprié :

  • Cryptage des données
  • Pseudonymisation de la personne concernée
  • Protocoles visant à garantir la confidentialité, la disponibilité, la résilience et la sécurité des données de tous les systèmes de traitement des données
  • Procédures de rétablissement de l'accès aux données à caractère personnel après une attaque ou une violation
  • un programme régulier de test et d'évaluation de l'efficacité de toutes les mesures de sécurité

De nombreux processeurs peuvent souhaiter obtenir des certifications officielles ou établir des codes de conduite officiels attestant de leurs protocoles implémentés. De telles mesures contribuent à garantir que leurs traitements de données sont pleinement conformes au Règlement général sur la protection des données.

5. Conditions des contrats de sous-traitance

La DPA doit également préciser les exigences que le traitement des données doit imposer à ses sous-traitants. Par exemple, le processeur doit veiller à respecter ces règles et bonnes pratiques :

  • Employer des sous-traitants uniquement avec le consentement expressif et l’autorisation du responsable des données
  • Rédiger et signer des contrats imposant au sous-traitant les mêmes exigences en matière de sécurité des données que celles que le responsable du traitement des données doit lui-même respecter.
  • Veiller à ce que le sous-traitant respecte les exigences en matière de protection des données
  • Informer le responsable du traitement des données de tout changement impliquant des sous-traitants et donner au responsable du traitement le temps de répondre.

6. Obligations de coopération pour le sous-traitant

Le sous-traitant doit également permettre au responsable du traitement d'effectuer des contrôles de conformité pendant le traitement.

Le RGPD doit préciser quand et comment le sous-traitant doit coopérer avec le responsable du traitement. Par exemple, le responsable du traitement des données doit coopérer pour aider à résoudre les demandes d'accès aux données. Le sous-traitant doit également coopérer à la protection de la vie privée et des droits des personnes concernées, notamment en respectant ces exigences :

  • Garantir la sécurité des données personnelles
  • Notifier rapidement aux autorités et aux personnes concernées les violations de données à caractère personnel
  • Réalisation d’évaluations d’impact sur la protection des données (DPIA) selon les besoins
  • Consulter les autorités compétentes lorsque des risques graves de données surviennent

Le sous-traitant doit également permettre au responsable du traitement d'effectuer des contrôles de conformité pendant le traitement. Lors des audits, le sous-traitant doit fournir rapidement au responsable du traitement toutes les informations pertinentes pour montrer qu'il a respecté ses obligations de conformité en vertu de l'article 28 du règlement général sur la protection des données.

Les meilleures pratiques consistent également à ce que le sous-traitant conserve des traces de ses activités de traitement afin de démontrer sa conformité avec le Règlement général sur la protection des données.

Que se passe-t-il après une violation de données en vertu d’une DPA ?

En cas de violation de données, les entreprises concernées doivent prendre des mesures spécifiques et immédiates. Votre entreprise doit notifier l'autorité de surveillance compétente dans un délai de 72 heures si la violation présente des risques graves.

Si la violation de données présente un risque très élevé pour les personnes concernées, votre entreprise doit généralement les en informer également. Toutefois, si votre entreprise dispose déjà de protocoles efficaces d'atténuation des risques techniques et organisationnels, une notification n'est peut-être pas nécessaire.

Par exemple, imaginez qu'une entreprise de cartes de crédit ait subi une fuite de données suite à une attaque contre les serveurs où étaient stockées ses données. Les informations financières personnelles de ses clients ont été compromises. Leurs noms, leurs adresses personnelles, leurs coordonnées supplémentaires, leurs données financières et les détails des types de paiements effectués avec leurs cartes de crédit ont tous été rendus publics.

L'entreprise qui héberge les serveurs doit informer les autorités de la violation dans les 72 heures. Elle devra également en informer l'entreprise émettrice de la carte de crédit.

L'entreprise devrait probablement informer les consommateurs, car la divulgation de leurs informations personnelles pourrait les mettre en danger. La violation pourrait également entraîner la divulgation des informations de santé sensibles et protégées des consommateurs s’ils avaient effectué des paiements médicaux sur leurs cartes de crédit.

Quelles sont les pénalités en cas de non-respect du Règlement général sur la protection des données ? 

En cas de fuite de données, l'entreprise reconnue coupable de non-conformité fera l'objet de mesures disciplinaires. Une infraction probable ne reçoit qu’un avertissement. Les cas de non-conformité avérés peuvent faire l'objet d'une ou plusieurs des sanctions suivantes :

  1. Un blâme formel
  2. Interdiction temporaire ou permanente du traitement des données
  3. Une amende pouvant atteindre20 millions d'eurosou 4 % du chiffre d'affaires annuel mondial total de l'entreprise.

Intégrez des professionnels de la sécurité des données à votre équipe avec G-P

Lorsque vous créez des équipes international axées sur la sécurité des données, travaillez avec G-P. Nos équipes de professionnels peuvent vous aider à comprendre les réglementations relatives aux accords sur le traitement des données qui s'appliquent à votre entreprise.

Il est essentiel de disposer de délégués à la protection des données et d'autres professionnels du droit au sein de votre équipe pour rester en conformité avec la loi sur la protection des données. En tant que Portage Salarian global (Employer of Record, EOR), G-P vous aide à embaucher et à rémunérer les talent international dont vous avez besoin pour réussir. Nous prenons la protection des données très au sérieux et nous pouvons vous aider à vous conformer au droit du travail local et à sécuriser vos informations confidentielles à mesure que votre entreprise se développe à l'international.

Chez G-P, nous vous aidons à accélérer vos processus de recrutement. En utilisant notre plateforme d'embauche internationale, vous pouvez embaucher et intégrer les membres de votre nouvelle équipe en quelques clics, ce qui vous permet de gagner du temps et de rationaliser votre approche des défis liés au développement de l'entreprise international.

Demandez une proposition dès aujourd’hui, ou contactez-nous pour en savoir plus sur l’embauche de professionnels de la sécurité des données via notre plateforme.