Qu’est-ce qu’un accord de traitement des données (ATD) ?

Pour assurer la sécurité des données des consommateurs, l’Union européenne (UE) a mis en œuvre une loi rigoureuse sur la confidentialité et la sécurité, connue sous le nom de  Règlement général sur la protection des données  (RGPD). Le RGPD définit et applique les droits des citoyens de l’UE concernant leurs données  personnelles.  Il met en œuvre des normes de responsabilité, de sécurité et de transparence dans l’utilisation de ces données.

Les entreprises mondiales qui opèrent dans l’Union européenne ou qui traitent des données à caractère personnel provenant de l’UE doivent comprendre  comment le RGPD les affectera  et comment maintenir la conformité au RGPD.

Un aspect de cette conformité est la mise en œuvre d’un accord de traitement des  données  (ATD). Un accord de traitement des données  RGPD  spécifie les détails, les règles, les droits et les obligations associés aux activités de traitement des données. Il permet de garantir la conformité de l’entreprise, de sécuriser les données et de maintenir la protection et la satisfaction des consommateurs.

Ce guide fournit un aperçu plus approfondi du fonctionnement des APD et des  éléments à inclure dans un APD.

Qu’est-ce qu’un DPA  en vertu du RGPD ?

Un accord de traitement des données est un contrat signé entre les responsables du traitement et les  sous-traitants  qui traiteront leurs données. Il est requis pour une conformité totale au RGPD.

Un ATD expose la nature, l’objectif et la durée des activités de traitement qui auront lieu. Il spécifie également le type de données à caractère personnel à traiter et les catégories de personnes auxquelles appartiennent les données. Il définit les droits et obligations que le responsable du traitement aura. Il peut préciser l’utilisation de mesures de sécurité techniques, telles qu’un certain niveau de chiffrement, qui doivent être en place.

Un ATD est juridiquement contraignant, et le responsable du traitement et le sous-traitant doivent s’y conformer ou encourir de lourdes sanctions.

Le principal avantage d’un DPA est qu’il garantit les qualifications et la fiabilité du sous-traitant. Les entreprises doivent savoir que leurs données sont entre de bonnes mains et qu’elles sont privées et protégées des regards indiscrets. Un DPA aide à fournir ces assurances.

Le RGPD et ses exigences en matière d’ ATD  sont susceptibles d’avoir des impacts significatifs sur les opérations commerciales à l’avenir. Les transactions commerciales peuvent changer à mesure que la collecte de données à caractère personnel devient plus limitée, que la communication sur la collecte et le stockage des données devient essentielle, et que les relations avec les fournisseurs tiers nécessitent des contrats plus rigoureux. Les entreprises individuelles et leurs services RH ressentiront des impacts considérables lorsqu’elles adapteront leurs processus pour se conformer aux exigences du RGPD.

L’avantage des exigences du RGPD est que la confiance peut prospérer dans les affaires à mesure que les personnes deviennent plus confiantes dans la confidentialité et la protection de leurs données.

Quand un accord de traitement des données est-il requis ?

Avez-vous besoin d’un accord de traitement des données ? Vous pouvez le faire si vous traitez des données à caractère personnel dans ou depuis l’UE.

En vertu du RGPD, un document  DPA  est obligatoire chaque fois qu’une personne ou une organisation donne des données à caractère personnel à un prestataire de services tiers pour un service collaboratif. Toute partie agissant en tant que sous-traitant doit signer des ATD avec les responsables du traitement des  données.

Par exemple, dans l’UE, un service qui héberge un site Web doit signer un ATD avec la société à laquelle le site Web appartient. Une entreprise qui traite des données personnelles pour fournir un marketing ciblé aux consommateurs doit également signer un ATD.

Vous trouverez ci-dessous plusieurs autres services et scénarios commerciaux courants qui nécessitent des APD :

• Externalisation de la gestion des e-mails
• Solutions techniques de traitement des données pour la comptabilité financière et de paie
• Services de sauvegarde des données, soit via des serveurs physiques, soit dans le cloud
• Collecte ou numérisation des données par l’intermédiaire d’un prestataire de services externe
• Élimination de l’ancien matériel contenant des données sensibles

Dans certains cas, le RGPD peut exiger des APD  pour les entreprises en dehors de l’Europe. Cette exigence entre en jeu chaque fois que des données de l’UE sont impliquées. Par exemple, une société située au Canada peut être soumise à l’exigence de l’APD si elle traite des données concernant les citoyens de l’UE.

Quand un DPA n’est-il pas requis ?

Plusieurs scénarios spécifiques ne nécessitent pas d’APD. Ils disposent de protections intégrées qui rendent la protection DPA inutile. Tenez compte des éléments suivants afin de mieux comprendre les obligations de votre entreprise dans ces circonstances :

1. Partenariats avec des groupes professionnels qui ont des exigences de confidentialité : dans de nombreuses professions, les meilleures pratiques consistent pour les prestataires de services à avoir des accords de confidentialité personnalisés spécifiques au secteur qui couvrent toutes les mesures de sécurité et les exigences de confidentialité qu’un APD exigerait. Parmi les professions qui utilisent généralement ces accords de confidentialité figurent le droit, le conseil fiscal et l’audit financier. De nombreux services de soins de santé sont généralement accompagnés de leurs propres garanties de confidentialité rigoureuses.
2. Services de portail : les services qui se contentent de connecter des personnes ou des entités sont généralement exemptés des exigences de l’APD. Ces services professionnels de mise en relation sont si transitoires qu’un DPA n’en tirerait que peu d’avantages. Les recruteurs entrent dans cette catégorie, par exemple. Ils relient simplement les personnes à la recherche d'un travail avec les entreprises à la recherche de nouveaux membres talentueux. Ce scénario rend inutile un DPA avec le recruteur.
3. Travailler avec des agences de recouvrement de créances : les agences de recouvrement de créances ont accès à des informations financières personnelles et médicales. Étant donné que les agences de recouvrement sont distinctes des créanciers d’origine et recouvrent la dette pour leur propre gain, elles sont exemptées des exigences de l’ATD. S’ils travaillaient pour le compte des créanciers d’origine, les agences de recouvrement devraient signer des APD.
4. Gestion conjointe des données de plusieurs entreprises : dans certains cas, les entreprises travaillent en groupe pour gérer un ensemble de données. Ce scénario se produit souvent lorsque les entreprises ont un accès conjoint aux données des fournisseurs, des produits ou des prospects. Bien que les sociétés puissent être des concurrents, elles utilisent les mêmes données aux mêmes fins générales. L’échelle de l’utilisation de ces données signifie généralement qu’un DPA n’est pas obligatoire.
5. Essais cliniques : Les essais cliniques pharmaceutiques à grande échelle n’utilisent généralement pas d’APD en raison des nombreux contributeurs qu’ils impliquent.Les  médecins, les centres de recherche et les promoteurs ont tous accès aux données des sujets, et ils les traitent tous différemment en fonction de leurs besoins. Les données recueillies servent également généralement à diverses fins tout au long de l’essai clinique. Dans ces circonstances, les APD ne s’appliquent généralement pas.

Qui est le responsable du traitement ?

Chaque accord DPA a lieu entre un responsable du traitement et un sous-traitant. Le responsable du traitement est l’organisation ou la personne qui détermine comment et pourquoi traiter les données à caractère personnel. Si votre entreprise décide d’envoyer des données à un tiers pour sauvegarde sur ses serveurs, elle est le responsable du traitement des données.

La caractéristique déterminante d’un responsable de traitement est le pouvoir de prise de décision. Le responsable de traitement prend des décisions globales sur les raisons de la collecte des données et les modalités de  traitement des données à caractère personnel .

Dans la plupart des cas, une entreprise ou une organisation est le responsable du traitement des données. Le sous-traitant est une entité distincte qui conclut des contrats avec la société. Une personne telle qu’un propriétaire unique ou un travailleur indépendant peut également être un responsable du traitement des données si cette personne prend des décisions concernant la collecte et le traitement des données à caractère personnel.

Qui est le sous-traitant des données ?

Le sous-traitant est le tiers qui traite les données pour un responsable du traitement. Dans le scénario ci-dessus, si votre entreprise décide d’envoyer vos données pour sauvegarde, la société qui fournit les services de sauvegarde est le sous-traitant des données.

Le sous-traitant peut prendre de nombreuses formes. Il peut s’agir d’une entreprise, d’une personne ou d’une autorité publique. Le critère pertinent est de savoir si cette personne ou entité traite ou non les données pour le compte d’un responsable du traitement.

Que comprend un document DPA ?

Les articles 28-36 du RGPD précisent quelles obligations contractuelles sont obligatoires pour le sous-traitant en  vertu des règles de l’ ATD du RGPD. Voici quelques-unes des clauses de l’ ATD requises :

1. Une ventilation détaillée des détails de la gestion des données

L’APD doit fournir des détails complets sur la manière dont chaque aspect du traitement des données se déroulera. L’APD doit inclure des informations claires sur des sujets tels que :

• Le type de données à caractère personnel à traiter
• L’objet des données
• Les catégories des personnes concernées
• La finalité et la nature du traitement
• La durée prévue du traitement des données
• La base juridique du traitement des données à caractère personnel
• Le retour ou la suppression de données à caractère personnel à la fin du traitement

2. Droits et responsabilités du responsable du traitement et du sous-traitant

En spécifiant les droits et responsabilités des deux parties, l’APD s’assure que les personnes qui contrôlent le traitement des données sont claires.

L’APD doit explicitement indiquer que le sous-traitant doit effectuer le traitement conformément aux souhaits et spécifications du responsable du traitement. Il doit préciser que le responsable du traitement, et non le sous-traitant, conserve un contrôle total sur les données et ce qui lui arrive.

L’APD doit demander au sous-traitant de traiter les données uniquement conformément aux instructions directes du responsable du traitement des données, en s’écartant de ces instructions uniquement lorsque les lois de l’UE ou l’une des lois des États membres l’exigent.

3. Mesures de confidentialité requises pour le sous-traitant

L’APD doit préciser les protocoles que le sous-traitant doit suivre pour assurer la confidentialité des données à caractère personnel.

Par exemple, le sous-traitant doit exiger des employés permanents, des employés temporaires et des sous-traitants qu’ils signent des accords de confidentialité avant de pouvoir commencer à traiter des données à caractère personnel. Le seul moment où un accord de confidentialité devient inutile est lorsqu’une obligation légale exige déjà que le sous-traitant assure la confidentialité.

4. Protocoles techniques et organisationnels requis pour la sécurité de l’information

L’APD doit décrire les mesures de sécurité que le sous-traitant doit mettre en œuvre, y compris les mesures comme celles-ci, le cas échéant :

• Chiffrement des données
• pseudonymisation des personnes concernées
• Protocoles pour assurer la confidentialité, la disponibilité, la résilience et la sécurité des données de tous les systèmes de traitement des données
• Processus de restauration de l’accès aux données à caractère personnel après une attaque ou une violation
• Un programme régulier pour tester et évaluer l’efficacité de toutes les mesures de sécurité

De nombreux sous-traitants peuvent souhaiter obtenir des certifications officielles ou établir des codes de conduite officiels attestant de leurs protocoles mis en œuvre. De telles mesures permettent de garantir que leur traitement des données est entièrement conforme au RGPD.

5. Conditions de tout contrat de sous-traitant

L’APD doit également décrire les exigences que le sous-traitant doit imposer à ses sous-traitants. Par exemple, le sous-traitant doit veiller à respecter ces règles et meilleures pratiques :

• Recruter des sous-traitants uniquement avec le consentement exprès et l’autorisation du responsable du traitement des données
• Rédaction et signature de contrats imposant au sous-traitant les mêmes exigences de sécurité des données que le sous-traitant lui-même doit suivre
• Assurer la conformité du sous-traitant aux exigences de protection des données
• Informer le responsable du traitement de tout changement impliquant des sous-traitants et donner au responsable du traitement le temps de répondre

6. Obligations de coopération pour le sous-traitant

L’APD doit préciser quand et comment le sous-traitant doit coopérer avec le responsable du traitement des données. Par exemple, le sous-traitant doit coopérer pour aider à résoudre les demandes d’accès aux données. Le sous-traitant doit également coopérer à la protection de la vie privée et des droits des personnes concernées, en particulier en répondant à ces exigences :

• Assurer la sécurité des données personnelles
• Informer rapidement les autorités et les personnes concernées des violations de données à caractère personnel
• Effectuer des évaluations d’impact sur la protection des données (AIPD) si nécessaire
• Consulter les autorités compétentes en cas de risques graves liés aux données

Le sous-traitant doit également permettre au responsable du traitement de réaliser des audits de conformité pendant le traitement. Lors des audits, le sous-traitant doit fournir rapidement au responsable du traitement toutes les informations pertinentes pour démontrer qu’il a satisfait à ses obligations de conformité en vertu 28 de l’article du RGPD.

Les meilleures pratiques consistent également à ce que le sous-traitant conserve des registres de ses activités de traitement afin de démontrer la conformité au RGPD.

Que se passe-t-il après une violation de données en vertu d’un DPA ?

En cas de violation de données, les sociétés impliquées doivent prendre des mesures spécifiques et immédiates. Votre société doit  informer l’autorité de contrôle compétente dans 72 les heures  si la violation présente des risques graves.

Si la violation présente un risque très élevé pour les personnes concernées, votre entreprise doit généralement également en informer ces personnes. Cependant, si votre société a déjà mis en place des protocoles efficaces d’atténuation des risques techniques et organisationnels, une notification peut ne pas être nécessaire.

Par exemple, imaginez qu’une société de carte de crédit a subi une violation de données en raison d’une attaque sur les serveurs où elle a stocké ses données. Les informations financières personnelles de ses clients ont été compromises. Leurs noms, adresses personnelles, coordonnées supplémentaires, informations financières et les détails des types de paiements effectués sur leurs cartes de crédit sont tous devenus publics.

La société hébergeant les serveurs devra informer les autorités de la violation dans les 72 heures. Il devra également en informer la société de carte de crédit.

L’entreprise devrait probablement informer les consommateurs, car la divulgation de leurs informations d’identification personnelle pourrait les mettre en danger. La violation pourrait également conduire à la divulgation d’informations de santé sensibles et protégées des consommateurs s’ils avaient effectué des paiements médicaux sur leurs cartes de crédit.

Quelles sont les pénalités en cas de non-respect du RGPD ? 

En cas de violation de données, la société jugée non conforme fera l’objet de mesures disciplinaires. Une infraction probable reçoit simplement un avertissement. Les incidents de non-conformité confirmés peuvent faire l’objet d’une ou plusieurs de ces pénalités :

1. Une réprimande formelle
2. Interdiction temporaire ou permanente du traitement des données
3. Une  amende allant jusqu’à millions EUR20 ou 4 pour cent du chiffre d’affaires mondial annuel total de la société

Embauchez des professionnels de la sécurité des données dans votre équipe avec Globalization Partners

Lorsque vous construisez des équipes internationales axées sur la sécurité des données, travaillez avec Globalization Partners. Nos équipes de professionnels peuvent vous aider à comprendre les réglementations des accords de traitement des  données  qui s’appliquent à votre entreprise.

Disposer de délégués à la protection des données et d’autres professionnels du droit dans votre équipe est essentiel pour rester en conformité avec l’ APD. En tant qu’employeur international de référence (EOR), Globalization Partners vous aide à embaucher et à payer les talents internationaux dont vous avez besoin pour réussir. Nous prenons la confidentialité des données très au sérieux, et nous pouvons vous aider à respecter le droit du travail local et à sécuriser vos informations confidentielles lorsque vous faites évoluer votre entreprise à l’international.

Chez Globalization Partners, nous vous aidons à accélérer vos processus de recrutement. Grâce à notre  Global Employment Platform, vous pouvez embaucher et intégrer les nouveaux membres de votre équipe en quelques clics, ce qui vous fait gagner du temps et rationalise votre approche face aux défis de la croissance internationale des entreprises.

Demandez une proposition  dès aujourd’hui, ou  contactez-nous  pour en savoir plus sur le recrutement de professionnels de la sécurité des données via notre plateforme.