Jarel is an AI-powered research and productivity tool. It does not provide legal advice. Always review outputs with a qualified legal professional where appropriate.
Terme du glossaire juridique
Comprendre les accords de traitement des données (DPA)
Un accord de traitement des données (DPA) est un contrat entre un responsable du traitement et un sous-traitant qui documente la manière dont les données personnelles seront traitées en vertu de l'article 28 du RGPD.
Un accord de traitement des données (DPA) est un contrat juridiquement contraignant qui régit la façon dont un sous-traitant traite les données personnelles au nom d'un responsable du traitement. Cet accord est une pierre angulaire de la loi sur la protection des données, en particulier le RGPD. Il existe pour garantir que le sous-traitant agit uniquement selon les instructions documentées du responsable et maintient un haut niveau de protection des données.
Un DPA est légalement requis lorsqu'un responsable du traitement engage un sous-traitant. Le responsable est l'entité qui détermine les finalités et les moyens du traitement. Le sous-traitant est l'entité qui traite les données personnelles au nom du responsable. Cet accord codifie les responsabilités du sous-traitant, en veillant à ce qu'il agisse uniquement selon les instructions explicites du responsable.
Les DPA sont essentiels lors de l'utilisation de services tiers tels que des plateformes SaaS, des logiciels RH ou des fournisseurs de messagerie cloud. Sans un DPA valide, le responsable et le sous-traitant risquent tous deux de violer le RGPD, ce qui peut entraîner des amendes administratives jusqu'à 20 millions EUR ou 4 % du chiffre d'affaires annuel mondial, le plus élevé des deux, selon l'article 83(6).
FAQ
Common questions
Qui a besoin d'un DPA ?
Toute organisation (responsable du traitement) qui engage une autre organisation (sous-traitant) pour traiter les données personnelles en son nom a besoin d'un DPA. Cela s'applique indépendamment de la taille ou du secteur des organisations concernées.
Quelle est la différence entre un responsable et un sous-traitant ?
Un responsable du traitement détermine les finalités et les moyens du traitement des données personnelles. Un sous-traitant traite les données personnelles uniquement au nom du responsable et agit selon ses instructions documentées.
Que se passe-t-il si nous n'avons pas de DPA ?
L'absence de DPA là où il est requis constitue une violation du RGPD. Cela peut entraîner des amendes administratives importantes allant jusqu'à 20 millions EUR ou 4 % du chiffre d'affaires annuel mondial, le plus élevé des deux. Le responsable et le sous-traitant peuvent tous deux être tenus responsables.
Get started
Bring your next legal document into a source-linked workspace.
Start free and use Jarel for individual research, document review, and drafting support with the source material close enough to verify.
Free Starter for individual work. Team access available by request.
Workspace ready
01Upload material
02Ask with sources
03Review before use
Les clauses clés du DPA servent des objectifs spécifiques. Elles obligent le sous-traitant à mettre en œuvre des mesures de sécurité robustes pour prévenir les violations de données. Elles obligent également le sous-traitant à aider le responsable avec les demandes d'accès des personnes concernées. Enfin, elles garantissent que les données sont retournées ou supprimées après la fin du service, ce qui prévient la conservation non autorisée des données.
Les DPA sont liés à plusieurs autres concepts juridiques. Ceux-ci incluent « responsable du traitement » et « sous-traitant ». Ils sont également liés aux « données personnelles », « personne concernée » et « traitement ». Le RGPD est le cadre législatif principal. Les clauses contractuelles types (CCT) sont utilisées pour les transferts de données internationaux. Celles-ci sont souvent incorporées dans ou aux côtés des DPA.
En Suède, la loi suédoise sur la protection des données (Dataskyddslagen) complète le RGPD. Bien que le RGPD fournisse les exigences de base pour les DPA dans l'UE, les lois nationales comme Dataskyddslagen peuvent ajouter un contexte spécifique, en particulier pour les autorités publiques. Pour la plupart des entités commerciales, les exigences en matière de DPA sont principalement régies par l'article 28 du RGPD.