Contrats de sous-traitance (DPA) — Checklist et guide pour les DPO

Un DPA est necessaire chaque fois qu'un responsable de traitement fait appel a un sous-traitant pour traiter des donnees personnelles en son nom. La distinction entre responsable de traitement et sous-traitant est cruciale : un responsable de traitement determine les finalites et les moyens du traitement, tandis qu'un sous-traitant agit uniquement sur les instructions du responsable de traitement. Les relations de sous-traitance courantes necessitant un DPA incluent : les fournisseurs d'hebergement cloud, les plateformes d'e-mail marketing, les prestataires de paie, les systemes CRM, les outils d'analyse, les societes de support informatique ayant acces aux donnees personnelles et les centres d'appels externes. Toutes les relations fournisseurs ne necessitent pas un DPA. Si une entreprise utilise un service ou aucune donnee personnelle n'est traitee (par ex. achat de fournitures de bureau), aucun DPA n'est necessaire. De meme, si deux parties determinent independamment les finalites du traitement, elles sont responsables conjoints du traitement au titre de l'article 26 et ont besoin d'un accord de responsabilite conjointe plutot que d'un DPA. Pour les DPO externes, l'un des constats d'audit les plus courants est la couverture incomplete en DPA. Les clients ont souvent 20 a 30 relations de sous-traitance mais seulement 10 a 15 DPA en place. Un inventaire systematique de toutes les relations fournisseurs est la premiere etape essentielle.

L'article 28(3) du RGPD specifie le contenu minimum qu'un DPA doit inclure. Chaque DPA doit contenir : l'objet et la duree du traitement, la nature et la finalite du traitement, les types de donnees personnelles et les categories de personnes concernees, et les obligations et droits du responsable de traitement. Au-dela de ces bases, le DPA doit stipuler que le sous-traitant : traite les donnees uniquement sur instructions documentees du responsable de traitement, s'assure que les personnes autorisees sont liees par des obligations de confidentialite, met en oeuvre des mesures techniques et organisationnelles appropriees (article 32), ne fait appel a des sous-traitants ulterieurs qu'avec autorisation prealable et obligations contractuelles equivalentes, assiste le responsable de traitement pour les reponses aux DSAR, assiste pour la notification des violations de securite et les obligations de DPIA, supprime ou restitue les donnees a la fin du contrat, et met a disposition toutes les informations necessaires pour demontrer la conformite y compris en permettant les audits. De nombreuses organisations utilisent des modeles de DPA fournis par le sous-traitant (par ex. AWS, Google, Microsoft). Bien que ces modeles couvrent souvent les clauses obligatoires, ils peuvent contenir des dispositions defavorables au responsable de traitement — comme des droits etendus de sous-traitance ulterieure, un acces d'audit limite ou des plafonds de responsabilite minimaux. Revisez toujours les DPA fournis par les sous-traitants de maniere critique.

L'erreur la plus frequente est de n'avoir aucun DPA pour les relations de sous-traitance existantes. De nombreuses organisations ont signe des contrats avec des fournisseurs SaaS des annees avant l'application du RGPD et n'ont jamais ajoute de DPA. Ces lacunes sont parmi les constats d'audit les plus faciles a identifier pour les autorites de controle. Un autre probleme courant est les DPA obsoletes qui ne refletent pas les activites de traitement actuelles. Un DPA signe lorsqu'une entreprise utilisait un service pour des e-mails basiques peut ne pas couvrir l'utilisation etendue qui inclut desormais l'automatisation marketing, le profilage et les transferts de donnees transfrontaliers. La gestion des sous-traitants ulterieurs est frequemment negligee. Au titre de l'article 28(2), le responsable de traitement doit autoriser les sous-traitants ulterieurs — soit specifiquement, soit de maniere generale avec un droit d'opposition. De nombreux sous-traitants maintiennent des listes de sous-traitants ulterieurs qui changent regulierement (en particulier les grands fournisseurs cloud). Les DPO doivent s'assurer que les clients disposent d'un processus de revision des changements de sous-traitants ulterieurs. Enfin, les dispositions de fin de contrat sont souvent negligees. Le DPA precise-t-il la suppression ou la restitution des donnees ? Dans quel delai ? Sous quel format ? Ces details deviennent critiques lors d'un changement de fournisseur ou lorsqu'une relation de sous-traitance prend fin.

Pour les DPO externes gerant 10 a 20 clients, chacun avec 15 a 30 relations de sous-traitance, le suivi manuel des DPA devient impraticable. Cela represente potentiellement 200 a 600 DPA a surveiller pour les dates d'expiration, les changements de sous-traitants ulterieurs et les lacunes de conformite. Une approche systematique commence par un repertoire central. Pour chaque client, maintenez une liste de toutes les relations de sous-traitance avec le statut du DPA correspondant : en place, manquant, expire ou en cours de revision. Liez chaque DPA aux activites de traitement pertinentes dans votre registre — cela cree une image de conformite complete. Definissez des alertes d'expiration pour les DPA a duree determinee. De nombreux DPA sont lies au contrat de service sous-jacent et se renouvellent automatiquement, mais certains ont des durees fixes. Un DPA expire signifie un traitement sans arrangement juridique valide — une violation claire du RGPD. Standardisez votre checklist de revision de DPA. Plutot que de lire chaque DPA de zero, verifiez les elements obligatoires de l'article 28(3), evaluez les dispositions relatives aux sous-traitants ulterieurs, verifiez les garanties de transfert de donnees (en particulier apres Schrems II) et confirmez les conditions de fin de contrat. Trustee.eu vous permet de suivre tout cela par client avec des indicateurs de statut et des rappels d'echeance.