01 85 73 56 66
Prendre rendez-vous

DPA et article 28 RGPD : ce qu’il faut vérifier

  • Contrats
  • RGPD
DPA et article 28 RGPD : ce qu'il faut vérifier
Sommaire

Votre prestataire vous a soumis un accord de traitement des données (DPA) à signer. Ou vous avez reçu un contrat standard qui intègre une section sur la sous-traitance des données personnelles. Comment vérifier que ce document est conforme aux exigences de l'article 28 du RGPD et qu'il vous protège réellement en tant que responsable de traitement ?

Les DPA proposés par les prestataires, notamment les éditeurs de logiciels, les hébergeurs et les fournisseurs de services cloud, sont souvent rédigés dans leur intérêt propre. Ils peuvent être incomplets, excessivement favorables au sous-traitant ou insuffisamment précis sur les obligations qui importent le plus.

Vérifier que les mentions descriptives sont complètes

Le DPA doit décrire précisément l'objet du traitement, sa durée, sa nature, sa finalité, les catégories de données traitées et les catégories de personnes concernées. Ces éléments ne sont pas de simples formalités : ils délimitent le périmètre de l'accord et permettent de vérifier que le traitement réel correspond à ce qui est décrit.

Un DPA qui décrit l'objet du traitement en termes très généraux (« fourniture du service ») ou qui ne liste pas les catégories de données traitées est insuffisant. En cas d'incident, il sera difficile de démontrer que le traitement était encadré dans les conditions requises.

Vérifier les obligations de sécurité

Le DPA doit prévoir que le sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. La formule générique ne suffit pas : le document devrait idéalement référencer des mesures spécifiques (chiffrement, contrôle d'accès, journalisation, tests de sécurité) ou renvoyer à une politique de sécurité documentée. Un DPA qui ne contient qu'une affirmation générale de « conformité aux bonnes pratiques » sans précision est difficile à opposer en cas d'incident.

Vérifier les conditions de sous-traitance ultérieure

Le DPA doit préciser si le sous-traitant peut avoir recours à des sous-traitants ultérieurs, selon quelles conditions et avec quelle autorisation de votre part. Vérifiez si l'autorisation est générale (liste disponible, obligation de vous notifier en cas de changement) ou spécifique (accord préalable pour chaque nouveau sous-traitant ultérieur). Vérifiez que le sous-traitant s'engage à imposer les mêmes obligations à ses propres sous-traitants.

Si le DPA prévoit une autorisation générale, assurez-vous que la liste des sous-traitants ultérieurs est accessible et maintenue à jour, et que vous disposez d'un droit d'opposition en cas d'ajout.

Vérifier les dispositions sur les droits des personnes concernées

Le sous-traitant doit s'engager à vous assister dans le traitement des demandes d'exercice des droits (accès, rectification, effacement, portabilité, opposition). Cet engagement doit être précisé : délai de réponse aux demandes transmises, modalités d'assistance, coût éventuel. Un DPA qui se contente d'affirmer que le sous-traitant « coopérera » sans préciser comment est insuffisant pour les traitements à volume élevé.

Vérifier les dispositions sur les violations de données

Le RGPD impose au sous-traitant de notifier les violations de données personnelles au responsable de traitement sans délai indu et dans des conditions qui lui permettent de respecter ses propres obligations de notification (72 heures à la CNIL pour les violations présentant un risque pour les droits et libertés des personnes). Vérifiez que le DPA précise un délai de notification du sous-traitant au responsable (idéalement 24 à 48 heures), le contenu minimal de la notification et les obligations de coopération pour l'investigation et la remédiation.

Vérifier les dispositions sur la restitution ou suppression des données

À la fin du contrat, le sous-traitant doit restituer ou supprimer les données selon les instructions du responsable de traitement. Le DPA doit préciser les modalités (format, délai, attestation de suppression). Cette disposition est particulièrement importante dans les contrats SaaS, où la réversibilité est souvent insuffisamment traitée.

Pour un accompagnement sur l'analyse ou la négociation de votre DPA, consultez notre page dédiée à l'avocat contrat de sous-traitance de données personnelles.

Lire aussi:
  1. Contrat de sous-traitance RGPD : que doit-il contenir
  2. RGPD Cookies
  3. Les enjeux du numérique en droit : comment assurer la protection des données ?
  4. Comment faire pour respecter le RGPD
Image de Maitre Arnaud Touati
Maitre Arnaud Touati
Maître Arnaud Touati est un avocat spécialisé dans les nouvelles technologies, particulièrement reconnu pour son expertise en blockchain, intelligence artificielle et Web 3. Diplômé de l'Université Panthéon-Sorbonne et Panthéon-Assas, il a complété sa formation par un Master of Laws à Northwestern University aux États-Unis. Fondateur de Hashtag Avocats depuis 2015 et de LawForCode depuis 2023, il accompagne plus de 300 startups dans leurs enjeux juridiques digitaux. Inscrit aux barreaux de Paris et Luxembourg, il enseigne également dans plusieurs établissements prestigieux et intervient comme expert en droit de la cryptofinance et régulation du Web 3.

* Les articles publiés sur ce site sont rédigés à titre strictement informatif. Ils ne constituent en aucun cas une consultation juridique, un avis juridique, ni une recommandation personnalisée.

Le cabinet Hashtag Avocats, ses associés et ses collaborateurs ne sauraient être tenus responsables de l’utilisation, de l’interprétation ou des conséquences liées à l’exploitation des informations contenues dans ces articles.

Malgré notre vigilance, nous ne garantissons ni l’exactitude, ni l’exhaustivité, ni la mise à jour des informations diffusées sur ce site. Les textes peuvent contenir des erreurs, des omissions ou devenir obsolètes en raison de l’évolution du droit ou de la jurisprudence.

Les visiteurs sont expressément invités à consulter un avocat qualifié avant de prendre toute décision juridique ou d’entreprendre une démarche sur la base des informations présentes sur ce site.

En aucun cas, Hashtag Avocats, ses associés ou collaborateurs ne pourront être tenus responsables d’un préjudice, direct ou indirect, résultant de l’utilisation du contenu publié sur ce site.

L’accès et la consultation des articles impliquent l’acceptation pleine et entière de cette clause de non-responsabilité.

Parlez-nous de votre besoin

Les données ci-dessus sont recueillies par le cabinet HASHTAG AVOCATS afin de traiter et suivre votre demande de contact. Pour en savoir plus sur la gestion de vos données à caractère personnel et pour exercer vos droits, vous pouvez vous reportez à notre politique de confidentialité.

Sujets liés à "RGPD" :

Voir tous les articles sur RGPD →
Parlez-nous de votre besoin

Les données ci-dessus sont recueillies par le cabinet HASHTAG AVOCATS afin de traiter et suivre votre demande de contact. Pour en savoir plus sur la gestion de vos données à caractère personnel et pour exercer vos droits, vous pouvez vous reportez à notre politique de confidentialité.