Accords sur le traitement des données

Image of Iron Brands

Publié le 1 juin 2023 et modifié le 15 août 2023 par Iron Brands

Lesresponsables du traitement des données jouent un rôle essentiel dans l'économie numérique. Toutes les organisations dépendent d'une manière ou d'une autre des responsables du traitement des données : les courriels, les services en nuage et les paiements électroniques seraient tout à fait impossibles sans eux.

Dans cet article, nous expliquerons exactement ce que sont un responsable du traitement des données et un accord de traitement des données, et ce que doit couvrir un accord de traitement des données.

  1. Qu'est-ce qu'un responsable du traitement et un sous-traitant ?
  2. Qu'est-ce qu'un accord de traitement des données ?
  3. Pourquoi avez-vous besoin d'un accord sur le traitement des données ?
  4. Une fois que j'ai signé un DPA, puis-je divulguer les données ?
  5. Ma divulgation de données est-elle conforme au GDPR ?
  6. Suis-je exonéré de toute responsabilité après avoir signé un DPA ?
  7. Conclusions
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Plongeons dans le vif du sujet !

Qu'est-ce qu'un responsable du traitement et un sous-traitant ?

Les notions de "responsable du traitement" et de "sous-traitant" sont très importantes dans le cadre du GDPR et de la législation sur la protection de la vie privée. En fait, des notions quelque peu similaires existent dans de nombreuses lois sur la protection de la vie privée autres que le GDPR, telles que le California Online Privacy Protection Act de 2003 (CalOPPA) et d'autres accords similaires

En vertu du GDPR, un responsable du traitement décide quelles données à caractère personnel sont traitées, comment elles sont traitées et dans quel but. En d'autres termes, c'est lui qui décide. En revanche, un sous-traitant traite les données pour le compte du responsable du traitement et selon ses instructions. Il est également possible qu'un sous-traitant traite des données pour le compte d'un autre sous-traitant, appelé soustraitant.

Par exemple, la plupart des services d'analyse web n'utilisent les données des visiteurs que pour donner des indications à leurs clients. Dans un tel scénario, le client est un responsable du traitement car il décide des données à collecter et à analyser et de leur finalité. En revanche, le fournisseur de services d'analyse est un sous-traitant. Il s'appuie souvent sur des sous-processeurs pour le stockage des données, la fourniture de contenu, etc.

Cela semble assez simple, mais ça ne l'est pas vraiment. Il existe une zone grise entre la fonction de contrôle et la fonction de traitement, ce qui rend certains scénarios difficiles à classer.

Pour compliquer les choses, le GDPR prévoit également la possibilité d'un contrôle conjoint. Il y a contrôle conjoint lorsque deux ou plusieurs responsables du traitement traitent les mêmes données tout en poursuivant leurs propres objectifs. Les contrôleurs conjoints conviennent de la manière dont certaines responsabilités seront partagées, mais ne reçoivent pas d'instructions de l'un ou l'autre.

Voici un exemple. Supposons qu'une entreprise décide de faire appel aux services d'une société d'IA pour l'aider à réaliser une étude de marché basée sur les données personnelles de ses clients. La société d'IA utilise les données à deux fins distinctes : l'étude de marché et l'entraînement de son modèle d'IA afin d'en améliorer les performances. Dans ce cas, les deux entreprises sont des responsables conjoints du traitement, car elles jouent toutes deux un rôle dans le traitement tout en poursuivant leurs propres objectifs.

Google Analytics est un autre exemple. Le rôle de Google dans la fourniture du service dépend des paramètres choisis par le client (c'est-à-dire le propriétaire du site web qui utilise Google Analytics). Si le paramètre de partage des données est désactivé, Google agit en tant que responsable du traitement des données et n'utilise les données collectées par Google Analytics que pour fournir des analyses au client.

En revanche, si le partage des données est activé par le client, Google utilise également les données pour améliorer d'autres services de l'écosystème Google. Dans ce cas, Google décide de l'utilisation des données et est un responsable conjoint du traitement avec le client.

Il convient de noter deux autres points. Premièrement, les notions de responsable du traitement et de sous-traitant n'ont de sens que lorsqu'elles se rapportent à des données à caractère personnel. Vous ne pouvez pas être responsable du traitement ou sous-traitant de données non personnelles, car le GDPR ne s'applique pas à ces données.

Deuxièmement, les notions de responsable du traitement et de sous-traitant sont des notions substantielles. En d'autres termes, elles dépendent entièrement de ce que vous faites avec les données et non du nom que vous vous donnez dans votre DPA, vos conditions de service, etc. Si vous agissez comme un responsable du traitement, les tribunaux vous traiteront comme un responsable du traitement, indépendamment de ce que disent vos documents juridiques.

Qu'est-ce qu'un accord de traitement des données ?

Le GDPR n'autorise le recours à un sous-traitant que lorsqu'un contrat régit certains aspects du traitement des données. Ce contrat est appelé " accord de traitement des données" ou "DPA " (à ne pas confondre avec les autorités de protection des données, qui sont également abrégées en "DPA").

Un accord de traitement des données valide doit comprendre certaines stipulations. Le sous-traitant

  • doit suivre les instructions du responsable du traitement et ne peut pas traiter les données à ses propres fins
  • doit traiter les données de manière sécurisée
  • doit s'assurer que l'ensemble du personnel impliqué dans le traitement est soumis à une obligation de confidentialité
  • doit, dans la mesure du possible, aider le responsable du traitement à répondre aux demandes au titre du GDPR (telles que les demandes d'accès ou d'effacement)
  • doit effacer ou restituer les données à caractère personnel dès que le service prend fin
  • doit aider le responsable du traitement à s'acquitter de certaines obligations prévues par le GDPR, notamment la notification des violations de données et la réalisation d'analyses d'impact du traitement des données (DPIA)
  • doit être disponible pour audit auprès du responsable du traitement.

Une autorité de protection des données est également nécessaire lorsqu'un sous-traitant engage un soustraitant. Dans ce cas, le sous-traitant doit obtenir l'autorisation écrite du responsable du traitement, et le DPA conclu avec le sous-traitant doit préserver toutes les obligations en matière de protection des données incluses dans le DPA initial conclu avec le responsable du traitement. En d'autres termes, les protections de la vie privée ne peuvent pas être diluées en aval.

Cela fait beaucoup à retenir, mais ne vous inquiétez pas : vous n'aurez probablement pas besoin de rédiger tout cela vous-même. Les entreprises qui agissent en tant que sous-traitants dans le cadre de leur activité principale ont généralement des autorités de protection des données standard pour leurs clients.

Cela dit, si vous avez une idée générale de ce que doit contenir un accord de traitement des données, vous pouvez en parcourir un et vous assurer que tout est en place (et, bien sûr, vous pouvez toujours consulter l'article 28, paragraphe 3, du GDPR pour vous rafraîchir la mémoire).

Pourquoi avez-vous besoin d'un accord sur le traitement des données ?

C'est bien beau, mais pourquoi le GDPR exige-t-il un DPA ?

Les responsables du traitement ont des obligations en vertu du GDPR. Ils doivent traiter les données de manière licite, loyale et transparente, garantir la sécurité, répondre aux demandes d'accès, notifier les violations de données, etc. Toutes ces obligations visent à garantir certaines normes de protection des données.

Les autorités chargées de la protection des données protègent ces normes lorsqu'un sous-traitant ou un sous-traitant secondaire est impliqué. Elles jouent un rôle important dans la protection de la vie privée, car les chaînes de valeur du traitement des données peuvent être très longues et complexes.

En résumé, les DPA ne sont pas de simples documents juridiques ennuyeux : ils protègent vos données.

En outre, un DPA bien rédigé est utile aux parties elles-mêmes, car elles peuvent s'y référer pour savoir exactement comment les responsabilités en matière de traitement des données sont partagées entre elles.

Une fois que j'ai signé un DPA, puis-je divulguer les données ?

En vertu du GDPR, tout traitement de données à caractère personnel doit respecter certaines règles. Il en va de même pour la divulgation de données à caractère personnel à un sous-traitant. La signature d'un DPA ne garantit donc pas que vous puissiez légalement divulguer les données.

Par exemple, vous devez disposer d'une base juridique pour le traitement des données (nous avons abordé ce sujet ici), fournir des informations transparentes, vous assurer que vous vous appuyez sur les bonnes garanties pour tout transfert de données en dehors de l'UE et respecter le principe de minimisation des données (c'est-à-dire ne prendre que les données dont vous avez réellement besoin et les traiter de la manière la moins invasive possible).

Il ne s'agit là que de quelques-uns des critères qui, ensemble, déterminent si une divulgation de données à caractère personnel est autorisée en vertu du GDPR. Si vous êtes le responsable du traitement des données, c'est à vous qu'il incombe d'assurer la conformité. La signature d'une DPIA ne signifie pas automatiquement que votre divulgation de données à caractère personnel remplit toutes les conditions - vous devez envisager les choses dans une perspective plus large.

Ma divulgation de données est-elle conforme au GDPR ?

Comme nous l'avons dit, un DPIA valide n'est qu'une des nombreuses cases à cocher. Quelles sont donc les autres ?

Une liste de contrôle ne serait pas d'une grande utilité ici. La plupart des règles qui s'appliquent à la communication de données sont des règles générales qui s'appliquent à tout traitement de données à caractère personnel, qu'il s'agisse de les collecter, de les stocker ou même de les effacer. La liste est très longue, car c'est de la quasi-totalité du GDPR qu'il s'agit,

Si vous voulez vous assurer que les données divulguées à votre sous-traitant sont conformes au GDPR, il est préférable de commencer par les bases. L'article 5 du GDP R énumère tous les principes fondamentaux du GDPR. Cet article est bien plus précieux que n'importe quelle liste de contrôle de conformité que nous pourrions élaborer, car il donne un aperçu de la signification du GDPR.

En comprenant les principes généraux, vous pouvez examiner la divulgation de vos données et commencer à vous poser les bonnes questions. Par exemple :

  • Ai-je vraiment besoin de divulguer les données à un sous-traitant ?
  • Est-ce que je ne divulgue que les données dont mon sous-traitant a réellement besoin pour faire son travail ?
  • Mon sous-traitant effacera-t-il les données après un délai raisonnable ?
  • Est-ce que je sais ce qui rend la divulgation légale ? Si quelqu'un me le demandait, serais-je en mesure de l'expliquer ?

N'oubliez pas d'examiner la divulgation du point de vue des personnes concernées, c'est-à-dire les personnes auxquelles les données se rapportent. Les personnes concernées peuvent être vos clients, les visiteurs de votre site web ou quelqu'un d'autre qui n'a aucune relation avec vous - par exemple, les personnes dont vous utilisez les données personnelles pour entraîner un modèle d'IA.

(Soit dit en passant, les IA soulèvent des questions très sérieuses en matière de protection de la vie privée. Si vous entraînez un modèle d'IA à partir de données personnelles, faites appel à des professionnels de la protection de la vie privée dès la phase de conception).

Les personnes concernées ont le droit d'être informées. Avez-vous pris des mesures pour informer les personnes concernées de l'implication de votre sous-traitant ? Avez-vous fourni ces informations de manière claire et accessible ?

Les personnes concernées peuvent également exercer des droits spécifiques en vertu du GDPR. Par exemple, elles peuvent exiger du responsable du traitement qu'il corrige ou efface leurs données à caractère personnel ou qu'il leur en donne l'accès.

Que se passe-t-il si une personne concernée exerce l'un de ces droits ? Pouvez-vous répondre à la demande de manière indépendante ou votre sous-traitant doit-il intervenir ? Votre sous-traitant est-il réellement capable et désireux de vous aider à répondre à ces demandes, indépendamment de ce que dit votre autorité de protection des données ?

Ce sont là quelques-unes des questions que vous devez vous poser lorsque vous examinez la question du point de vue de la personne concernée. Il est facile de se concentrer sur la position de votre organisation et de perdre de vue l'ensemble du tableau. Mais il y a des personnes derrière les données, et vous devez vous mettre à leur place pour respecter la législation en matière de protection de la vie privée.

Suis-je exonéré de toute responsabilité après avoir signé un DPA ?

La signature d'un DPA ne vous exonère pas de toute responsabilité. C'est pourquoi il est essentiel de s'appuyer sur des sous-traitants de confiance et conformes au GDPR.

Cela ne signifie pas que vous serez nécessairement tenu pour responsable en cas de problème. Mais en vertu du GDPR, il existe une sorte de présomption selon laquelle si quelque chose ne va pas en matière de protection de la vie privée, c'est le responsable du traitement qui est en tort. Vous pouvez éviter la responsabilité en prouvant que vous n'êtes pas responsable de l'incident, mais la charge de la preuve repose entièrement sur vous, ce qui est risqué.

C'est pourquoi les grandes organisations évaluent minutieusement la conformité de leurs sous-traitants et documentent cette évaluation. Cette évaluation documentée est appelée évaluation du risque fournisseur et a deux objectifs. Premièrement, elle permet au responsable du traitement de s'assurer que le sous-traitant est fiable. Deuxièmement, en cas de problème, une évaluation des risques du fournisseur bien rédigée peut aider le responsable du traitement à prouver qu'il a fait ses devoirs en matière de conformité.

La plupart des petites entreprises ne disposent pas des ressources et de l'expertise nécessaires pour procéder à une évaluation des risques liés aux fournisseurs. Elles peuvent néanmoins tirer profit de la recherche de leurs sous-traitants et s'assurer qu'ils ont une bonne réputation en matière de conformité.

Conclusions

La protection de la vie privée ne consiste pas à cocher des cases sur une liste de contrôle de conformité. Il s'agit de comprendre les raisons qui sous-tendent les règles et de se préoccuper des personnes qui se trouvent derrière les données.

Chez Simple Analytics, nous nous soucions de la protection de la vie privée. Et contrairement à d'autres entreprises, nous le pensons vraiment. La protection de la vie privée est la pierre angulaire de Simple Analytics et non une simple couche de peinture. Nous avons construit notre logiciel pour fournir aux organisations toutes les informations dont elles ont besoin pour optimiser leurs sites Web et leurs campagnes sans utiliser les données personnelles des visiteurs. Si cela vous convient, n'hésitez pas à nous essayer !

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours