L'article 28 du règlement général sur la protection des données impose que tout traitement de données personnelles effectué par un sous-traitant pour le compte d'un responsable de traitement soit encadré par un contrat écrit. Ce contrat — souvent désigné par l'acronyme DPA, pour data processing agreement — n'est pas une formalité optionnelle. Son absence ou son insuffisance constitue un manquement direct au RGPD, exposant les deux parties à des sanctions de la part des autorités de contrôle.
La question qui se pose dans la pratique n'est pas seulement de savoir si un DPA existe, mais si son contenu est réellement conforme aux exigences du règlement.
Les mentions obligatoires au titre de l'article 28
L'article 28 du RGPD dresse une liste précise des éléments que le contrat doit contenir. Le contrat doit notamment préciser :
L'objet et la durée du traitement. Quelle mission le sous-traitant réalise-t-il ? Pour combien de temps ? Ces éléments délimitent le périmètre du traitement couvert par le contrat.
La nature et la finalité du traitement. Quel type d'opérations est réalisé sur les données (collecte, hébergement, analyse, transmission) ? Dans quel but ces opérations sont-elles réalisées ?
Le type de données personnelles concernées et les catégories de personnes concernées. Ces éléments permettent d'évaluer le niveau de risque du traitement et d'adapter les mesures de protection en conséquence.
Les obligations et droits du responsable de traitement. Le contrat doit préciser les instructions données par le responsable de traitement au sous-traitant et les droits que le responsable peut exercer (audit, accès aux données, demande de modification).
Les obligations imposées au sous-traitant
Au-delà des mentions descriptives, l'article 28 impose au contrat de prévoir un ensemble d'obligations à la charge du sous-traitant.
Le sous-traitant ne peut traiter les données que sur instruction documentée du responsable de traitement, sauf obligation légale contraire. Il doit s'assurer que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité. Il doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. Il doit respecter les conditions applicables au recours à des sous-traitants ultérieurs. Il doit assister le responsable de traitement dans l'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité). Il doit assister le responsable dans le respect de ses obligations en matière de sécurité, de notification des violations de données et d'analyse d'impact. À l'issue du traitement, il doit supprimer ou restituer les données selon les instructions du responsable. Il doit mettre à disposition toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre des audits.
La chaîne de sous-traitance ultérieure
Lorsque le sous-traitant recourt lui-même à des prestataires qui traitent des données personnelles, il doit en informer le responsable de traitement et obtenir son autorisation, générale ou spécifique. Il doit conclure avec ces sous-traitants ultérieurs des contrats imposant les mêmes obligations que celles prévues dans son propre DPA. Il reste responsable vis-à-vis du responsable de traitement du respect de ces obligations par ses sous-traitants ultérieurs.
La documentation
Le contrat de sous-traitance fait partie de la documentation RGPD que le responsable de traitement et le sous-traitant doivent tenir à jour. Il doit être conservé, accessible et mis à jour en cas de changement dans les pratiques de traitement ou dans la chaîne de sous-traitance.
Pour un accompagnement sur la rédaction ou l'audit de votre documentation de sous-traitance, consultez notre page dédiée à l'avocat contrat de sous-traitance de données personnelles et notre page avocat RGPD.
