Introduction

Le contrat de sous-traitance ou DPA (Data Processing Agreement / AVV) définit les responsabilités et obligations du sous-traitant vis-à-vis du traitement des données personnelles. Il est obligatoire pour tout traitement confié à un tiers.

Obligations légales

• Respecter la LPD suisse et le RGPD européen
• Définir clairement les finalités du traitement
• Assurer la confidentialité et la sécurité des données
• Garantir la possibilité d’audits et de contrôles
• Inclure des clauses sur la notification des violations de données

Contenu type d’un DPA

• Identification du responsable et du sous-traitant
• Objet et durée du traitement
• Types de données et catégories de personnes concernées
• Obligations de sécurité et confidentialité
• Conditions de sous-traitance ultérieure
• Droits des personnes concernées et assistance
• Procédure de notification en cas de violation

Gestion et suivi des contrats

• Centraliser tous les DPA dans un registre interne
• Mettre à jour les contrats à chaque changement de traitement ou fournisseur
• Vérifier régulièrement la conformité des sous-traitants
• Documenter les audits et preuves de conformité

Bonnes pratiques

• Standardiser les modèles de DPA pour gagner du temps
• Impliquer le DPO ou responsable conformité avant signature
• Former les équipes aux obligations légales
• Prioriser la sécurité et les garanties contractuelles pour les données sensibles

Ressources utiles

• Préposé fédéral à la protection des données (PFPD)
• RGPD – Texte officiel
• LPD & RGPD Suisse

Un DPA bien rédigé protège vos données et clarifie les responsabilités entre responsables et sous-traitants.