Rédiger un accord de traitement : checklist selon l'art. 28 RGPD
Dès que vous laissez une partie externe traiter des données personnelles, un accord de traitement doit être en place. Un fournisseur cloud, un gestionnaire de paie, un service de destruction de documents, une agence marketing qui enrichit votre base clients. Tous sont des sous-traitants au sens du RGPD. L'article 28, paragraphe 3, prescrit les éléments minimaux que l'accord doit contenir. Quiconque laisse tourner des missions sans accord signé est lui-même en infraction au RGPD, même si le sous-traitant agit de façon professionnelle. Cet article est une checklist pratique en 13 points.
Public visé. Les dirigeants de PME, les DPO, les achats et toute personne qui signe régulièrement des contrats avec des sous-traitants.
Quand un accord de traitement est-il nécessaire ?
Uniquement si la contrepartie a la qualité de sous-traitant. Cela signifie une partie qui traite des données personnelles pour le compte et sur instruction de votre part (le responsable du traitement). Un avocat qui plaide pour vous n'est pas un sous-traitant, parce qu'il agit de façon indépendante. Un service de destruction de documents qui traite vos archives sur vos instructions est un sous-traitant.
L'accord ne règle pas l'affaire commerciale elle-même. Le prix, le volume et l'étendue figurent dans un contrat-cadre distinct ou une confirmation de devis. L'accord de traitement porte purement sur la protection des données.
Les 13 points
1. Parties et rôles
Qui est le responsable du traitement, qui est le sous-traitant ? Nom complet, numéro de chambre de commerce, adresse, personne de contact et pouvoir de signature. Aucune place pour le malentendu.
2. Objet, durée, nature et finalité du traitement
Décrivez de manière spécifique. Exemple. « le traitement consiste en une destruction mobile de documents sur le site du responsable, au niveau DIN 66399 P-5. Durée, par mission, en moyenne 2 heures. Finalité, destruction sécurisée des données personnelles après l'expiration du délai de conservation. »
3. Types de données personnelles et catégories de personnes concernées
Quelles catégories traitez-vous ? Pensez aux noms, adresses, BSN, copies de pièce d'identité, données financières, données médicales, etc. Et quelles personnes concernées. Clients, personnel, patients, fournisseurs ?
4. Instructions du responsable du traitement
Le sous-traitant ne peut agir que sur instructions écrites ou documentées. Stipulez que tout écart est interdit sauf accord préalable. Cela vous protège d'un sous-traitant qui agirait de sa propre initiative.
5. Obligation de confidentialité du personnel
Tout le personnel qui entre en contact avec les données est tenu à la confidentialité. De préférence avec un renvoi au contrat de travail ou une déclaration individuelle. Pour les secteurs sensibles (juridique, santé), exigez aussi un VOG.
6. Mesures de sécurité (art. 32 RGPD)
Décrivez les mesures techniques et organisationnelles appropriées que prend le sous-traitant. Par exemple, contrôle d'accès sur place, transport chiffré, camion broyeur fermé, journalisation des missions exécutées, sécurité physique du stockage. Voyez aussi notre article sur les exigences RGPD pour la destruction de documents.
7. Sous-sous-traitants
Le sous-traitant peut-il faire appel à des sous-traitants ultérieurs ? Si oui, à quelles conditions ? Standard, consentement écrit préalable, ou consentement général assorti d'un devoir de notification pour chaque nouveau sous-sous-traitant. Les sous-sous-traitants doivent être soumis aux mêmes obligations (« obligation de répercussion »).
8. Devoir de notification des fuites de données
En combien d'heures le sous-traitant signale-t-il un incident ? Le RGPD ne prescrit pas de chiffre, mais 24 à 48 heures est courant. Ainsi il vous reste le délai de 72 heures auprès de l'AP. Voyez notre article sur signaler une fuite de données en 72 heures.
9. Assistance aux droits des personnes concernées
Le sous-traitant vous assiste dans le traitement des demandes des personnes concernées (accès, rectification, effacement, portabilité). Notez à quelle vitesse et à quel coût.
10. Assistance à l'analyse d'impact (DPIA)
Si vous devez réaliser une analyse d'impact relative à la protection des données, le sous-traitant fournit les informations utiles. Pour un service de destruction, cette contribution se limite en général à la documentation technique de la destruction.
11. Droit d'audit
Vous pouvez vérifier si le sous-traitant respecte les accords. Cela peut se faire par inspection sur place, par remise de certificats (ISO 27001, NEN 7510) ou par un audit indépendant. Notez la fréquence et la répartition des coûts.
12. Fin du traitement
Qu'advient-il des données à la fin du délai de conservation, de la mission ou de l'accord ? Suppression ou restitution, dans quel délai. Pour la destruction, c'est évident. Les données sont détruites à la fin de chaque mission. Mais les métadonnées, les fichiers journaux et autres résidus doivent aussi être réglés.
13. Responsabilité et pénalités
Non obligatoire mais judicieux. Qui supporte une amende RGPD si le sous-traitant a été négligent ? La loi prévoit une responsabilité conjointe, mais vous pouvez convenir entre vous d'une indemnisation.
Besoin d'un accord de traitement pour la destruction de documents ?
Nous avons un modèle standard prêt, conforme à l'art. 28 RGPD. Avec des avenants sectoriels pour la santé, le juridique, le notariat et le financier. Renvoyé signé dans la journée ouvrée.
Demandez un devisLes pièges
Pas d'accord avant la première mission
« On le signera plus tard » est une infraction au RGPD dès l'instant où les premières données sont transférées. Signez toujours avant la mission, pas après.
Uniquement des conditions générales
Les conditions générales ne couvrent pas les 13 points. Certains sous-traitants tentent de se contenter d'un « conforme au RGPD selon nos conditions générales ». Insuffisant. Exigez un document distinct.
Pas de vue d'ensemble des sous-sous-traitants
Avec une administration de destruction hébergée dans le cloud, le sous-traitant peut lui-même recourir à un fournisseur cloud (AWS, Azure). C'est aussi un sous-sous-traitant. La liste doit être complète.
Pas de mise à jour en cas de changement
Si le sous-traitant connaît un rachat, un déménagement ou ajoute un nouveau sous-sous-traitant, l'accord doit suivre. Prévoyez une révision annuelle.
Non signé
Cela paraît élémentaire, mais cela arrive souvent. Un projet reste dans un e-mail, personne ne l'a renvoyé signé. Demandez toujours une version signée, de préférence signée numériquement via un service reconnu.
Spécifiquement pour les prestataires de destruction
Pour un service de destruction de documents, quelques points supplémentaires ont leur place dans l'accord.
- Niveau DIN 66399 (P-5 standard pour tous les documents pertinents au regard du RGPD)
- Certificat par mission avec des champs spécifiques (voir certificat de destruction)
- Destruction mobile sur site contre transport hors site (voir destruction mobile contre hors site)
- Contrôle VOG du personnel
- Conteneurs de transport scellés en cas de hors site
- Journalisation de toutes les visites sur site
Que faire si le sous-traitant refuse de signer ?
Parfois de grands fournisseurs refusent un modèle que vous rédigez et imposent leur propre version. Dans ce cas, il est important de la confronter aux 13 points. S'il manque quelque chose, exigez un avenant. Si le fournisseur est totalement inflexible et reste en deçà, trouvez un autre fournisseur. C'est vous qui supportez l'amende RGPD, pas lui.
Signature numérique
Un accord de traitement peut parfaitement être signé numériquement via DocuSign, AdobeSign, Zynyo ou des services comparables. Conservez la version signée avec son journal d'audit pendant au moins 5 ans après la fin de l'accord.
Externaliser la destruction sans accord ? Appelez-nous ou demandez un devis via desnipperaar.nl. Nous joignons l'accord de traitement standard. Renvoyez-le signé et vous êtes prêt à démarrer.