En tant qu’entreprise ou organisation, vous collaborez avec d’autres partenaires tels qu’un secrétariat social, un comptable, un fournisseur informatique, etc. Pour partager ou traiter des données avec ces sociétés, vous, en tant que responsable du traitement, devez établir un contrat qui sera signé par celles-ci. En tant que responsable du traitement, vous devez avoir une idée et une certitude de l’évolution des données personnelles que vous stockez. Ce n’est certainement pas le cas si un processeur de vos données, tel qu’un secrétariat social, vous permet de signer un accord, car un processeur agirait alors en tant que contrôleur.
En tant que responsable du traitement, vous établissez les accords qui doivent être acceptés par les processeurs!
Un accord de processeur est-il obligatoire?
Un accord de traitement doit en effet être rédigé et signé par les organisations capables de traiter les données à caractère personnel par l’intermédiaire de votre organisation.
Le responsable du traitement et le sous-traitant peuvent choisir de recourir à un accord individuel ou à des clauses contractuelles types, qui sont soit établies directement par la Commission, soit par une autorité de surveillance au titre du mécanisme de cohérence puis par la Commission.
Que faut-il inclure dans un contrat de traitement?
Les sujets les plus importants d’un contrat de processeur ou d’un contrat de traitement de données;
- Une description des parties
- DPO du processeur (le cas échéant)
- L’obligation de sécurité technique et organisationnelle appropriée
- Conditions pour les sous-traitants
- Nature et finalité du traitement
- Durée du traitement
- …