Un guide pratique de accord de traitement des donnees

Ce guide explique accord de traitement des donnees de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

Un accord de traitement de données, généralement appelé DPA, est le contrat qui régit la manière dont un fournisseur traite les données personnelles pour le compte d'un client. Si votre site Web, votre produit SaaS, CRM, votre outil d'analyse, votre plateforme de messagerie, votre fournisseur de cloud ou votre service d'assistance touche des données personnelles, vous devez savoir si un DPA est requis.

Sous GDPR, la règle de base se trouve à l'article 28 : le traitement par un sous-traitant doit être régi par un contrat ou un autre acte juridique qui lie le sous-traitant au responsable du traitement et énonce les détails clés du traitement (GDPR Article 28).

Contrôleur, sous-traitant ou tiers ?

La première étape est la cartographie des rôles.

Contrôleur : Décide pourquoi et comment les données personnelles sont traitées. Une entreprise qui gère un site Web et choisit un fournisseur d’analyses est souvent le contrôleur de l’analyse de ses visiteurs.

Sous-traitant : Traite les données personnelles pour le compte du responsable du traitement et selon ses instructions. Un fournisseur d’analyses axé sur la vie privée, un outil de livraison de courrier électronique ou un hébergeur cloud peut être un sous-traitant lorsqu’il utilise uniquement les données pour fournir le service sous-traité.

Contrôleur indépendant : Décide de ses propres objectifs. Certaines plateformes publicitaires et accords de partage de données peuvent impliquer des rôles de contrôleur indépendant plutôt qu’un pur traitement.

Les étiquettes de rôle doivent correspondre à la réalité et non au langage marketing. Si un fournisseur utilise les données client pour sa propre publicité, son enrichissement ou son profilage inter-clients, un processeur standard DPA peut ne pas décrire la relation avec précision.

Ce qu'un GDPR DPA doit couvrir

L’article 28 exige que le contrat aborde :

• Objet et durée du traitement.
• Nature et finalité du traitement.
• Type de données personnelles.
• Catégories de personnes concernées.
• Obligations et droits du responsable du traitement.
• Traitement uniquement sur instructions documentées.
• Engagements de vie privée.
• Mesures de sécurité.
• Règles du sous-traitant.
• Assistance concernant les droits des personnes concernées.
• Assistance aux obligations de sécurité, de violation, de DPIA et de consultation.
• Suppression ou restitution des données personnelles à la fin des prestations.
• Informations nécessaires pour démontrer la conformité.
• Droits d’audit et d’inspection.

Concrètement, le DPA devrait vous permettre de répondre : quelles données le vendeur reçoit-il, pourquoi, où sont-elles stockées, qui d'autre les touche, comment sont-elles protégées et que se passe-t-il à la fin du contrat ?

Pourquoi les fournisseurs d'analyses ont besoin d'être examinés

Les fournisseurs d'analyses peuvent traiter les données personnelles même lorsque les rapports sont regroupés. Les données peuvent inclure les adresses IP, le cookie IDs, les informations sur l'appareil, les chemins URL, les référents, les paramètres de campagne, l'emplacement approximatif et les événements liés au compte.

Pour chaque outil d'analyse, demandez :

• Le fournisseur est-il un sous-traitant, un fournisseur de services ou un contrôleur indépendant ?
• Le fournisseur combine-t-il les données de tous les clients ?
• Des cookies ou des identifiants persistants sont-ils utilisés ?
• Les données sont-elles utilisées à des fins publicitaires ou pour l'amélioration du produit au-delà du service contracté ?
• Où sont hébergées les données ?
• Quels sous-traitants sont impliqués ?
• Les données brutes peuvent-elles être supprimées ?
• Quels paramètres de rétention sont disponibles ?
• Le fournisseur fournit-il un DPA ?

L'analyse axée sur la vie privée réduit l'empreinte des données, mais un DPA peut toujours être nécessaire si des données personnelles sont traitées.

Sous-traitants et transferts internationaux

La plupart des fournisseurs de SaaS s'appuient sur des sous-traitants : hébergeurs cloud, fournisseurs de messagerie, outils d'assistance, services de surveillance et systèmes de paiement. Un DPA doit indiquer si les sous-traitants sont autorisés, comment les clients sont informés des modifications et comment fonctionnent les objections.

Les transferts internationaux nécessitent une attention particulière. Si les données personnelles sont déplacées en dehors du EEA ou du Royaume-Uni, les équipes peuvent avoir besoin de clauses contractuelles standard, d'évaluations des risques de transfert, de mesures supplémentaires ou d'un autre mécanisme de transfert valide. Le DPA ne suffit pas toujours à lui-même.

Une liste de contrôle d'évaluation des fournisseurs

Avant d'approuver un outil :

1. Identifiez les données personnelles que l'outil reçoit.
2. Confirmez le rôle du fournisseur.
3. Passez en revue le DPA et les sous-processeurs.
4. Vérifiez la région d’hébergement et le mécanisme de transfert.
5. Consultez la documentation de sécurité.
6. Fixez des limites de conservation.
7. Désactivez le partage de données inutile.
8. Confirmez les workflows de suppression/exportation.
9. Documentez l’objectif commercial.
10. Ajoutez l'outil à l'avis de vie privée si nécessaire.

Erreurs courantes de DPA

• Signer un DPA mais ne jamais configurer le produit en toute sécurité.
• Ignorer les propriétés de l'événement et les paramètres URL qui contiennent des données personnelles.
• En supposant que le DPA d'un fournisseur américain résout automatiquement le risque de transfert EU.
• Ne pas examiner les sous-traitants ultérieurs.
• Conserver les données analytiques brutes pour toujours.
• Permettre aux agences d'ajouter des outils en dehors des achats.
• Traiter tous les fournisseurs comme des sous-traitants alors que certains sont des contrôleurs indépendants.

Un DPA n’est pas un document à classer. C'est le manuel d'utilisation d'une relation de données. Plus votre pile est axée sur la vie privée, plus cette relation est facile à expliquer, à sécuriser et à se terminer proprement.

Comment examiner un DPA Analytics

Pour les fournisseurs d’analyses, comparez le DPA à la charge utile réelle de l’événement. Un contrat peut indiquer que le processeur suit les instructions, mais l'implémentation peut toujours envoyer des URLs complets, des identifiants, des adresses IP, des termes de recherche ou un clic publicitaire IDs. Les exigences de traitement de l'article 28 de GDPR constituent la base : instructions documentées, vie privée, sécurité, contrôles des sous-traitants ultérieurs, assistance pour les droits, suppression ou retour, audits et limites de responsabilité claires.

Posez cinq questions pratiques. Le fournisseur peut-il utiliser les données pour son propre produit, son analyse comparative, sa publicité ou sa formation en IA ? Où sont hébergées les données et quels sous-traitants peuvent y accéder ? À quelle vitesse les données peuvent-elles être supprimées après la résiliation ? Les journaux d’assistance et d’ingénierie sont-ils couverts par les mêmes conditions ? Le DPA correspond-il à l'avis de vie privée public et à la page de sécurité ? Si la réponse dépend d’une promesse de vente, inscrivez-la dans le contrat ou réduisez les données envoyées. Un fournisseur d’analyses axé sur la vie privée devrait raccourcir cet examen, car le service est construit autour de données limitées et spécifiques à un objectif plutôt que de larges profils comportementaux.

DPA Liste de contrôle de révision

Comparez le DPA avec la charge utile d'analyse réelle. Le contrat doit couvrir les instructions documentées, la vie privée, la sécurité, les sous-traitants, les transferts internationaux, l'assistance pour les droits, la suppression ou le retour, les droits d'audit et la notification d'incident, mais ces clauses ne sont utiles que si la mise en œuvre évite les données personnelles inutiles.

Avant de signer, testez si les URLs complets, les chaînes de requête, les adresses IP, les IDs, les valeurs de formulaire ou les paramètres de campagne peuvent exposer des données personnelles. Si un fournisseur peut réutiliser des données à des fins de publicité, d'analyse comparative, de formation à l'IA ou d'amélioration de produit sans rapport, précisez clairement le rôle et les limites par écrit ou réduisez les données envoyées.