Qu’est-ce qu’un accord de sous-traitance ?
Un accord de sous-traitance (aussi appelé Data Processing Agreement ou DPA) est un contrat exigé par le RGPD lorsqu’une organisation fait traiter des données personnelles par une autre partie. Ce contrat régit les responsabilités et obligations des deux parties.
Quand avez-vous besoin d’un accord de sous-traitance ?
Vous avez besoin d’un accord de sous-traitance lorsque vous partagez des données personnelles avec un tiers qui traite ces données pour votre compte. Par exemple :
- Votre comptable qui a accès aux données du personnel
- Un outil d’e-mail marketing comme Mailchimp ou ActiveCampaign
- Votre service de stockage cloud (Google Workspace, Microsoft 365)
- Un prestataire externe de paie
Que doit-il contenir ?
Le RGPD (Article 28) exige qu’un accord de sous-traitance couvre au minimum les sujets suivants :
- L’objet et la durée du traitement
- La nature et la finalité du traitement
- Le type de données personnelles et les catégories de personnes concernées
- Les mesures de sécurité
- Le recours à des sous-traitants ultérieurs
- L’assistance pour les demandes des personnes concernées
- Les obligations de notification en cas de violation de données
- La suppression ou la restitution des données à la fin du contrat
Que se passe-t-il sans accord de sous-traitance ?
Sans accord de sous-traitance, vous êtes en infraction avec le RGPD. L’autorité de contrôle peut imposer des amendes allant jusqu’à 10 millions d’euros ou 2 % de votre chiffre d’affaires annuel, selon le montant le plus élevé.