Accord de Traitement de Données (DPA) Belgique
Qu'est-ce qu'un Accord de Traitement de Données (DPA) Belgique ?
L'Accord de Traitement de Données (DPA) en Belgique est régi par Reglement UE 2016/679 (RGPD) art. 28 et encadre les engagements réciproques des parties contractantes sous le régime du droit belge des obligations.
Le DPA se distingue des contrats commerciaux ordinaires par son caractère obligatoire impose par le droit européen et belge, et par la précision extrême de son contenu. L'art. 28 RGPD définit une liste exhaustive des éléments que le DPA doit contenir : l'objet, la durée, la nature et la finalité du traitement, le type de données personnelles traitées, les catégories de personnes concernées, et les obligations et droits du responsable du traitement. Ces éléments doivent être spécifiques et non génériques.
Le cadre légal du DPA en Belgique repose sur deux textes fondamentaux. Le RGPD art. 28 (Règlement UE 2016/679 du 27 avril 2016) est directement applicable en Belgique depuis le 25 mai 2018. La Loi belge du 30 juillet 2018 relative a la protection des personnes physiques à l'égard des traitements de données a caractère personnel complète le RGPD pour les spécificités nationales et désigne l'Autorité de protection des données (APD) belge comme autorité de contrôle nationale. L'APD (avenue de la Presse 35, 1000 Bruxelles, www.autoriteprotectiondonnees.be) peut contrôler les DPA et prononcer des amendes jusqu'a 20 millions EUR ou 4% du chiffre d'affaires mondial.
La qualité de sous-traitant versus responsable du traitement est une distinction fondamentale en droit belge et européen des données. Le responsable du traitement détermine les finalités et les moyens du traitement (le pourquoi et le comment), dispose d'une plus grande autonomie mais porte une responsabilité plus lourde vis-à-vis des personnes concernées et de l'APD. Le sous-traitant traite uniquement sur instruction documentée du responsable, ne peut utiliser les données pour ses propres finalités, dispose d'une autonomie limitée mais peut être tenu solidairement responsable en cas de manquement a ses obligations. Certaines entités peuvent être co-responsables du traitement (art. 26 RGPD) si elles déterminent conjointement les finalités et moyens du traitement, ce qui requiert un accord distinct de co-responsabilité.
Les mesures de sécurité du sous-traitant sont un élément central du DPA belge. L'art. 32 RGPD impose au sous-traitant de mettre en oeuvre des mesures techniques et organisationnelles adéquates pour garantir un niveau de sécurité adapte au risque : pseudonymisation et chiffrement des données, confidentialité, intégrité, disponibilité et resilience des systèmes, capacité a rétablir rapidement l'accès en cas d'incident, procédure régulière de test et d'évaluation des mesures. Les DPA doivent spécifier ces mesures avec suffisamment de précision pour permettre au responsable d'évaluer leur adéquation.
Les sous-traitants ultérieurs (sous-sous-traitants) sont un point de vigilance critique dans les DPA belges. L'art. 28.2 RGPD interdit au sous-traitant de recourir a un autre sous-traitant sans autorisation préalable du responsable. Deux modèles existent : autorisation spécifique (liste nominative approuvée dans le DPA) ou autorisation générale préalable avec droit d'opposition (le sous-traitant peut recourir a de nouveaux sous-traitants en informant le responsable avec un préavis, généralement 30 jours, permettant au responsable de s'y opposer). Le sous-traitant doit imposer a ses sous-traitants ultérieurs les mêmes obligations RGPD que celles du DPA principal.
Quand avez-vous besoin d'un Accord de Traitement de Données (DPA) Belgique ?
L'Accord de Traitement de Données (DPA) est obligatoire dans toutes les situations ou un prestataire traite des données personnelles pour le compte d'une organisation belge.
Contrats SaaS et logiciels cloud. Pour tout abonnement a un logiciel en mode SaaS (CRM Salesforce Teamleader Hubspot, ERP SAP Business One Odoo, logiciel RH SD Worx Liantis, outils de marketing automation, plateformes de gestion de projet), un DPA est obligatoire si le logiciel traite des données personnelles (noms, emails, coordonnées, données de comportement). Tous les grands éditeurs SaaS proposent des DPA standard (Data Processing Agreement ou Data Processing Addendum) que les clients doivent signer ou accepter. Les PME belges doivent vérifier que ces DPA standard sont conformes au RGPD européen et pas seulement aux lois américaines.
Contracts d'hébergement web et cloud. Pour les contrats d'hébergement de sites web, serveurs dédiés, cloud privé ou public (AWS, Google Cloud, Azuré, OVH, Combell, Nucleus, Telenet), un DPA est obligatoire si des données personnelles sont hébergées (données clients, fichiers utilisateurs, bases de données e-commerce). La plupart des grands hébergeurs proposent des DPA standard dans leurs conditions générales ou comme document sépare.
Externalisation de la paie et des ressources humaines. Pour les entreprises belges externalisant la gestion de la paie (SD Worx, Securex, Partena Professional, Liantis, Acerta), un DPA est obligatoire car ces prestataires traitent des données sensibles (salaires, ONSS, contrats de travail, données bancaires IBAN). Les secrétariats sociaux agréés agissent comme sous-traitants et doivent signer un DPA conforme.
Marketing digital et email marketing. Pour les prestataires de services d'emailing, marketing automation et CRM marketing (Mailchimp, Brevo/Sendinblue, ActiveCampaign, Klaviyo, HubSpot Marketing), un DPA est obligatoire car ces services traitent des données de contacts et de comportement (ouvertures, clics, conversions). Ces DPA doivent également traiter les transferts vers les USA si le prestataire est américain.
Comptabilité et cabinet comptable externe. Lorsqu une entreprise belge confie sa comptabilité a un expert-comptable externe (IEC - Institut des Experts-comptables et des Conseils fiscaux), ce dernier traite des données personnelles de l'entreprise, de ses employés et de ses clients dans le cadre de sa mission comptable. Un DPA est donc recommande et est de plus en plus exige par les cabinets comptables responsables. La Loi du 17 juillet 1975 sur la comptabilité impose une conservation de 10 ans.
Prestations de services informatiques et support. Pour les prestataires de services informatiques (infogérance, support helpdesk, maintenance de serveurs, développement d'applications), qui ont typiquement accès aux systèmes et données du client, un DPA est obligatoire. L'accès a des systèmes contenant des données personnelles, même a des fins de maintenance technique uniquement, qualifie le prestataire de sous-traitant au sens du RGPD.
Que faut-il inclure dans votre Accord de Traitement de Données (DPA) Belgique ?
L'Accord de Traitement de Données (DPA) belge conforme au RGPD art. 28 doit contenir des éléments précis et exhaustifs pour être juridiquement valide.
Description détaillée du traitement (art. 28.3 RGPD). Le DPA doit spécifier avec précision : l'objet du traitement (description concrète du service qui implique le traitement, par exemple hébergement d'un CRM ou traitement des fiches de paie) ; la nature du traitement (opérations effectuées : collecte, enregistrement, stockage, consultation, modification, suppression, transmission, destruction) ; la finalité du traitement (pourquoi les données sont traitées, par exemple gestion de la relation client ou calcul de la paie) ; le type de données personnelles (catégories précises : données d'identité, coordonnées, données bancaires, données de santé si applicable) ; les catégories de personnes concernées (qui : employés, clients, prospects, fournisseurs, etc.) ; la durée du traitement (durée du contrat principal avec délai de suppression post-contrat). Ces éléments doivent être spécifiques, pas génériques, sous peine de non-conformité. Sur forms-légal.com, le modèle de DPA belge propose une structure détaillée conforme aux exigences de l'APD belge et des lignes directrices EDPB.
Obligations de sécurité spécifiques (art. 32 RGPD). Le DPA doit spécifier les mesures de sécurité implémentées par le sous-traitant, adéquates au risque : chiffrement en transit (TLS 1.3 minimum) et au repos (AES-256 recommande) ; contrôles d'accès bases sur le principe du moindre privilège ; authentification multifacteur (MFA) pour les accès aux données personnelles ; journalisation des accès et des actions sur les données (audit logs) ; sauvegardes régulières (quotidiennes au minimum) géographiquement distribuées avec tests de restauration réguliers ; procédure de détection et de réponse aux incidents de sécurité (SIEM) ; tests de pénétration réguliers (annuels au minimum) par un prestataire indépendant ; formation régulière du personnel habilite sur la sécurité des données.
Gestion des sous-traitants ultérieurs (art. 28.2 et 28.4 RGPD). Le DPA doit spécifier le mode d'autorisation des sous-traitants ultérieurs (spécifique nominatif ou général avec droit d'opposition) et lister les sous-traitants ultérieurs déjà autorises avec pays d'établissement. Pour les sous-traitants ultérieurs établis hors EEE, le DPA doit spécifier les mécanismes de conformité RGPD (décision d'adéquation de la Commission européenne, CCT 2021, DPF pour les USA). Le sous-traitant s'engage a imposer a ses sous-traitants ultérieurs les mêmes obligations RGPD que celles du DPA principal et reste responsable envers le responsable du traitement en cas de manquement du sous-traitant ultérieur.
Procédure de notification de violation de données (art. 33 RGPD). Le DPA doit prévoir une procédure claire et rapide de notification des violations de données : délai maximal de notification du sous-traitant au responsable (48 heures recommande, 72 heures maximum pour permettre au responsable de notifier l'APD dans les 72 heures) ; contenu minimal de la notification (nature de la violation, catégories et nombre de personnes et de données concernées, conséquences probables, mesures prises ou envisagées, coordonnées du DPO ou point de contact) ; obligation d'information complémentaire au fur et a mesure des investigations ; conservation du registre des violations de données par le sous-traitant.
Suppression et restitution des données (art. 28.3.g RGPD). A la fin du traitement (résiliation ou expiration du contrat), le DPA doit spécifier les modalités de suppression ou restitution : délai de restitution ou export des données (30 jours recommande) dans un format standard portable (CSV, JSON ou XML) ; délai de suppression certifiée de toutes les copies (30 jours supplémentaires après la restitution) ; attestation écrite de suppression a fournir au responsable ; sauvegardes conservées pendant la période légale applicable puis supprimées selon la même procédure ; droit de demander une vérification par audit.
Droits d'audit et de contrôle (art. 28.3.h RGPD). Le DPA doit spécifier les droits du responsable d'auditer la conformité du sous-traitant : droit de demander des informations documentées sur les mesures de sécurité et la conformité RGPD (obligation de transparence) ; droit de réaliser des audits et inspections physiques (avec préavis raisonnable, généralement 15 jours ouvrables pour les audits ordinaires) ; droit de mandater un auditeur indépendant a frais du responsable ; obligation du sous-traitant de coopérer pleinement avec les inspections de l'APD belge.
Comment remplir votre Accord de Traitement de Données (DPA) Belgique
Conclure un Accord de Traitement de Données (DPA) conforme au RGPD art. 28 requiert une préparation méthodique et une négociation spécifique entre responsable et sous-traitant.
Étape 1 - Identifier si un DPA est nécessaire. Déterminer si le prestataire agit comme sous-traitant au sens du RGPD : le prestataire traite-t-il des données personnelles (noms, emails, coordonnées, données comportementales, etc.) pour le compte de votre organisation ? Le prestataire agit-il uniquement sur instruction de votre organisation (pas de décisions autonomes sur les finalités) ? Si oui aux deux questions, un DPA est obligatoire. Attention aux situations de co-responsabilité (art. 26 RGPD) ou les deux parties déterminent conjointement les finalités et moyens du traitement : dans ce cas, un accord de co-responsabilité distinct est requis.
Étape 2 - Analyser le DPA standard du prestataire. La plupart des grands prestataires (Google, Microsoft, AWS, Salesforce, HubSpot, etc.) proposent des DPA standard disponibles dans leurs conditions générales ou sur demande. Analyser ce DPA standard en vérifiant : conformité au RGPD art. 28 et droit belge ; précision de la description du traitement ; adéquation des mesures de sécurité (art. 32 RGPD) ; gestion des sous-traitants ultérieurs avec liste blanche ; délai de notification de violation (48h recommande) ; modalités de suppression ou restitution en fin de contrat. Négocier les points non conformes ou insuffisants.
Étape 3 - Négocier les clauses clés avec le sous-traitant. Certaines clauses sont particulièrement importantes a négocier : durée de notification de violation (certains prestataires proposent 72h mais 48h est préférable pour respecter votre délai de 72h vers l'APD) ; liste des sous-traitants ultérieurs (exiger une liste complète et un droit d'opposition pour les nouveaux sous-traitants) ; droit d'audit (certains prestataires limitent les audits physiques aux grandes organisations ; négocier au minimum un audit documentaire annuel) ; modalités de suppression en fin de contrat (exiger un format standard portable et une attestation de suppression).
Étape 4 - Vérifier les transferts hors EEE. Pour tout sous-traitant établi hors EEE (USA, UK post-Brexit, Inde, Canada), vérifier les mécanismes de conformité RGPD en vigueur : Décision d'adéquation de la Commission européenne (Japan, Canada adequacy en cours, Suisse adequacy, UK adequacy en cours post-Brexit) ; Data Privacy Framework (DPF) pour les entreprises américaines certifiées (vérifier sur dataprivacyframework.gov) ; Clauses Contractuelles Types (CCT 2021, Décision 2021/914 de la Commission européenne) avec Transfer Impact Assessment (TIA) ; Règles d'Entreprise Contraignantes (BCR) pour les groupes multinationaux. Documenter les garanties adéquates dans le DPA.
Étape 5 - Rédiger le DPA avec précision et spécificité. Le DPA doit être spécifique a la relation concrètes entre les parties, pas générique. Utiliser les informations réelles : description exacte du service et des données traitées, liste réelle des sous-traitants ultérieurs avec pays d'hébergement, mesures de sécurité effectivement implémentées, délais réels de notification et de suppression. Un DPA générique copie-colle sans adaptation a la situation réelle est souvent insuffisant en cas de contrôle APD belge.
Étape 6 - Maintenir le DPA à jour. Le DPA doit être mis à jour lors de chaque modification significative du traitement : nouveaux types de données traitées, nouveaux sous-traitants ultérieurs, nouveau pays d'hébergement, nouvelles mesures de sécurité, modification de la durée du traitement. L'APD belge peut vérifier la conformité du DPA en vigueur au moment du contrôle. Conserver un historique des versions du DPA pour prouver la conformité évolutive.
Exigences juridiques pour Accord de Traitement de Données (DPA) Belgique
L'Accord de Traitement de Données est soumis a un cadre légal européen et belge précis, dont le non-respect expose les deux parties a des sanctions sévères.
Obligations légales du DPA (RGPD art. 28). L'art. 28 RGPD impose des obligations précises et non négociables pour le DPA. Le paragraphe 28.1 impose que le responsable ne fasse appel qu'a des sous-traitants présentant des garanties suffisantes quant a la mise en oeuvre de mesures techniques et organisationnelles appropriées. Le paragraphe 28.2 interdit au sous-traitant de recourir a un autre sous-traitant sans autorisation du responsable. Le paragraphe 28.3 liste les neuf éléments obligatoires du DPA : traitement sur instruction documentée uniquement, confidentialité, sécurité (art. 32), recours aux sous-traitants ultérieurs sur autorisation, assistance au responsable pour les droits des personnes, assistance au responsable pour les obligations art. 32-36, suppression ou restitution en fin de traitement, mise a disposition des informations pour audits. Le paragraphe 28.6 permet d'utiliser les clauses types établies par la Commission européenne ou une APD nationale.
Sanctions APD belge pour absence ou non-conformité du DPA. L'Autorité de protection des données (APD) belge peut prononcer des amendes pouvant atteindre 10 millions EUR ou 2% du chiffre d'affaires mondial pour les violations des obligations du sous-traitant et du responsable (art. 83.4 RGPD), et jusqu'a 20 millions EUR ou 4% du chiffre d'affaires mondial pour les violations des principes fondamentaux (art. 83.5 RGPD). En pratique, les violations liées au DPA (absence de DPA, DPA non conforme, sous-traitants ultérieurs non autorises) sont sanctionnées par des amendes dans la fourchette art. 83.4 RGPD. L'APD belge peut également émettre des avertissements, réprimandes et injonctions de mise en conformité.
Responsabilité solidaire responsable-sous-traitant. Le RGPD et la Loi du 30 juillet 2018 établissent une responsabilité du sous-traitant envers les personnes concernées en cas de manquement a ses obligations RGPD (art. 82 RGPD) : la personne concernée peut exercer son droit a réparation directement contre le sous-traitant si ce dernier n'a pas respecte les obligations spéciales aux sous-traitants ou a agi en dehors des instructions du responsable. Le responsable du traitement est présume responsable mais peut se dégager si le dommage ne lui est pas imputable. Cette responsabilité solidaire potentielle justifie l'importance du DPA : c'est le document contractuel permettant au responsable de se retourner contre le sous-traitant en cas de manquement.
Clauses contractuelles types (CCT) APD belge et Commission européenne. La Commission européenne a adopte des clauses contractuelles types (CCT) pour les transferts de données vers des pays tiers (Décision 2021/914 du 4 juin 2021) et des clauses pour la relation responsable-sous-traitant. L'APD belge peut adopter des clauses types supplémentaires conformes au droit belge. Les CCT sont des éléments standard pré-approuves qui garantissent la conformité RGPD des transferts vers les pays tiers sans nécessite d'évaluation individuelle supplémentaire, sous réserve d'un Transfer Impact Assessment (TIA) depuis Schrems II.
Erreurs courantes à éviter dans votre Accord de Traitement de Données (DPA) Belgique
Plusieurs erreurs fréquentes dans les DPA belges exposent les organisations a des sanctions APD et a des litiges contractuels.
Erreur 1 - DPA générique non adapte a la situation réelle. Beaucoup d'organisations utilisent des DPA génériques copies depuis internet ou fournis par le prestataire sans les adapter a la relation spécifique. Un DPA générique mentionnant toutes les catégories possibles de données ou laissant des champs vides n'est pas conforme a l'art. 28 RGPD qui exige une description précise et spécifique. L'APD belge a constate lors de contrôles que de nombreux DPA belges étaient incomplets ou non adaptes. Bonne pratique : rédiger un DPA spécifique pour chaque relation de sous-traitance significative, avec les informations réelles et précises de chaque situation.
Erreur 2 - Absence de liste des sous-traitants ultérieurs. De nombreux DPA mentionnent que des sous-traitants ultérieurs existent sans en donner la liste complète. L'APD belge exige une liste nominative ou au minimum un registre accessible des sous-traitants ultérieurs avec pays d'établissement et mécanisme RGPD pour les transferts hors EEE. Bonne pratique : inclure dans le DPA une liste complète en annexe des sous-traitants ultérieurs existants et un mécanisme de notification-opposition pour les nouveaux.
Erreur 3 - Délai de notification de violation de données insuffisant. Certains DPA prévoir un délai de notification de violation de données du sous-traitant au responsable de 72 heures, ce qui est insuffisant si le responsable dispose lui-même d'un délai de 72 heures pour notifier l'APD belge. La chaîne de notification doit être plus rapide : 48 heures de notification sous-traitant -> responsable est une pratique recommandée. Bonne pratique : fixer un délai de notification des violations a 48 heures maximum dans le DPA, avec un mécanisme d'information complément au fur et a mesure des investigations.
Erreur 4 - Absence de clause de suppression et restitution. L'art. 28.3.g RGPD impose que le DPA régisse la suppression ou la restitution de toutes les données personnelles a la fin du traitement. Beaucoup de DPA omettent cette clause ou la mentionnent de manière vague. Bonne pratique : prévoir un délai précis (30 jours pour la restitution en format standard, 30 jours supplémentaires pour la suppression certifiée), le format de restitution (CSV, JSON ou XML), l'obligation d'attestation de suppression écrite.
Erreur 5 - Mesures de sécurité trop vagues. Mentionner des mesures de sécurité génériques (mesures de sécurité adéquates, mesures raisonnables) sans les spécifier est insuffisant au regard de l'art. 32 RGPD qui impose une description des mesures techniques et organisationnelles. Bonne pratique : lister les mesures de sécurité spécifiques implémentées (chiffrement TLS 1.3 en transit, AES-256 au repos, authentification multifacteur, sauvegardes quotidiennes, tests de pénétration annuels), permettant au responsable d'évaluer leur adéquation au risque.
Questions Fréquentes
Un Accord de Traitement de Données (DPA) conforme au RGPD art. 28 est obligatoire en Belgique chaque fois qu'un prestataire (sous-traitant au sens RGPD) traite des données personnelles pour le compte d'une organisation (responsable du traitement), sur instruction de cette organisation, sans déterminer lui-même les finalités du traitement. Cas concrets nécessitant un DPA en Belgique : abonnement a un logiciel SaaS traitant des données clients ou employés (CRM, ERP, logiciel RH, logiciel de paie) ; hébergement de sites web, serveurs ou bases de données contenant des données personnelles ; externalisation de la paie a un secrétariat social agréé (SD Worx, Securex, Liantis, etc.) ; prestataire de marketing par email (Mailchimp, Brevo) traitant votre liste de contacts ; comptable externe traitant les données financières de votre personnel et clients ; prestataire informatique ayant accès a vos systèmes contenant des données personnelles. Un DPA n'est pas nécessaire si le prestataire ne traite que des données non personnelles ou si les données sont strictement anonymisees. L'absence de DPA est une violation directe du RGPD et peut être sanctionnée par l'APD belge.
La distinction entre responsable du traitement (Controller) et sous-traitant (Processor) est fondamentale en droit belge et européen des données et détermine les obligations respectives de chaque partie. Le responsable du traitement (art. 4.7 RGPD) est l'entité qui détermine les finalités (pourquoi les données sont traitées) et les moyens (comment les données sont traitées) du traitement. Le responsable prend les décisions clés sur le traitement et porte la responsabilité principale envers les personnes concernées et l'APD. Il doit informer les personnes de leurs droits (art. 13-14 RGPD), répondre aux demandes d'exercice de droits (art. 15-22 RGPD), notifier les violations a l'APD (art. 33 RGPD) et réaliser les analyses d'impact (art. 35 RGPD). Le sous-traitant (art. 4.8 RGPD) est l'entité qui traite des données personnelles pour le compte du responsable, uniquement sur instruction de celui-ci, sans déterminer lui-même les finalités. Le sous-traitant doit respecter le DPA, ne pas utiliser les données pour ses propres finalités, mettre en oeuvre les mesures de sécurité adéquates (art. 32 RGPD) et notifier les violations au responsable. Co-responsabilité (art. 26 RGPD) : si deux entités déterminent conjointement les finalités et moyens du traitement, elles sont co-responsables et doivent conclure un accord de co-responsabilité distinct du DPA.
Oui, les sous-traitants ultérieurs (sous-sous-traitants) doivent être soumis aux mêmes obligations de protection des données que le sous-traitant principal, conformément a l'art. 28.4 RGPD. Lorsque le sous-traitant principal recourt a un sous-traitant ultérieur pour certaines opérations de traitement, il doit : obtenir l'autorisation préalable du responsable du traitement (spécifique ou générale selon le mécanisme choisi) ; imposer au sous-traitant ultérieur des obligations équivalentes par contrat (DPA sous-traitance ultérieure) ; rester responsable envers le responsable du traitement principal en cas de défaillance du sous-traitant ultérieur. Exemples courants de chaînes de sous-traitance : un prestataire SaaS belge (sous-traitant principal) utilise AWS EU comme hébergeur (sous-traitant ultérieur) et Mailchimp pour les emails transactionnels (sous-traitant ultérieur). Ces deux sous-traitants ultérieurs doivent être mentionnes dans le DPA principal et faire l'objet d'un accord de sous-traitance ultérieure propre. L'APD belge vérifie les chaînes de sous-traitance lors de ses contrôles et peut sanctionner le non-respect de cette obligation.
En cas de violation de données personnelles traitées par un sous-traitant belge, une procédure précise doit être suivie par les deux parties. Obligations du sous-traitant : notifier le responsable du traitement dans les 48 heures (recommande) de la découverte de la violation, avec toutes les informations disponibles : nature de la violation, catégories et nombre approximatif de personnes et de données concernées, conséquences probables, mesures prises ou envisagées, coordonnées du DPO du sous-traitant. Fournir des informations complémentaires au fur et a mesure des investigations. Obligations du responsable du traitement : évaluer la gravite de la violation ; si risque pour les droits et libertés des personnes, notifier l'APD belge dans les 72 heures suivant la prise de connaissance (art. 33 RGPD), avec toutes les informations requises ou en deux temps si l'évaluation est en cours ; si risque élevé (violation grave), informer également les personnes concernées dans les meilleurs délais (art. 34 RGPD). Conservation des preuves : documenter toutes les violations de données dans un registre interne (art. 33.5 RGPD), même celles n'ayant pas été notifiées a l'APD, pour pouvoir justifier la décision. Les amendes APD belge pour défaut de notification d'une violation : jusqu'a 10 millions EUR ou 2% du CA (art. 83.4 RGPD).
Oui, le DPA conforme au RGPD art. 28 s'applique à tous les sous-traitants traitant des données personnelles pour le compte d'un responsable établi en Belgique ou traitant des données de personnes se trouvant en Belgique, quel que soit le pays d'établissement du sous-traitant. C'est le critère de territorialité du RGPD art. 3 : le RGPD s'applique a tout traitement de données de personnes dans l'UE, même effectue par une entité établie hors UE. Pour les sous-traitants établis hors EEE (USA, UK post-Brexit, Inde, Chine, Brésil, etc.), le DPA doit en plus encadrer le transfert international de données par des garanties adéquates : Décision d'adéquation de la Commission européenne pour certains pays ; Data Privacy Framework (DPF) pour les entreprises américaines certifiées ; Clauses Contractuelles Types CCT 2021 (Décision 2021/914) accompagnées d'un Transfer Impact Assessment (TIA) évaluant le niveau de protection dans le pays destinataire ; Règles d'Entreprise Contraignantes (BCR) pour les groupes multinationaux. En pratique, les grands sous-traitants américains (AWS, Google, Microsoft, Salesforce, HubSpot) proposent tous des DPA standard incluant les CCT 2021 ou le DPF pour les transferts vers les USA.
Un DPA standard fourni par le prestataire peut être suffisant si et seulement si il satisfait aux exigences de l'art. 28 RGPD et est spécifique a la relation entre les parties. Points clés a vérifier dans un DPA standard : description précisée du traitement (objet, nature, finalité, type de données, catégories de personnes, durée) ou possibilité de la spécifier dans une annexe ; mesures de sécurité spécifiques et adéquates (pas juste des mesures raisonnables) ; liste des sous-traitants ultérieurs ou mécanisme de notification-opposition ; délai de notification de violation (vérifier qu'il permet de respecter le délai de 72h vers l'APD) ; modalités de suppression ou restitution en fin de contrat avec attestation ; droits d'audit (vérifier qu'ils sont réels et pas uniquement via questionnaires). En cas de lacunes dans le DPA standard du prestataire, négocier des modifications ou annexes supplémentaires. Certains grands prestataires (AWS, Google) proposent des DPA très détaillés et généralement conformes ; d'autres prestataires plus petits proposent des DPA inadéquats que le responsable doit renforcer par négociation.
L'absence de DPA conforme avec un sous-traitant traitant des données personnelles est une violation directe du RGPD art. 28 et est sanctionnable par l'APD belge et les APD européennes. Niveau de sanction applicable : art. 83.4 RGPD, amendes jusqu'a 10 millions EUR ou 2% du chiffre d'affaires mondial annuel, pour les violations des obligations du responsable et du sous-traitant (dont les obligations du DPA art. 28). En pratique, pour une PME belge, les premeres infractions sont généralement sanctionnées par des avertissements et injonctions de mise en conformité dans un délai fixe (3 a 6 mois), puis par des amendes si la mise en conformité n'est pas effective. Pour les grandes organisations ou en cas de violation grave ayant cause un dommage aux personnes, les amendes peuvent être significatives. Conséquences supplémentaires au-delà des amendes APD : responsabilité civile envers les personnes concernées ayant subi un dommage du fait de la violation (art. 82 RGPD) ; nullité éventuelle du contrat avec le sous-traitant si le contrat principal n'inclut pas les clauses DPA obligatoires ; perte de confiance des clients et partenaires, risque reputationnel. Bonne pratique préventive : auditer tous les prestataires traitant des données personnelles, établir un registre des DPA existants, conclure des DPA manquants et réviser les DPA inadéquats.
La question du DPA intra-groupe (entre une filiale et sa maison mère ou entre filiales) est souvent négligée mais importante en droit belge des données. La règle générale : les transferts de données intra-groupe (d'une filiale vers la maison mère ou entre filiales) sont soumis aux mêmes règles RGPD que les transferts vers des tiers, car chaque entité juridique du groupe est une entité séparée au sens du RGPD. Un DPA est donc nécessaire si la maison mère ou une filiale traite des données personnelles pour le compte d'une autre entité du groupe (relation sous-traitant) ou si deux entités du groupe déterminent conjointement les finalités et moyens d'un traitement (co-responsabilité, art. 26 RGPD). Options pour les groupes : DPA intra-groupe spécifique pour chaque relation de traitement significative ; Règles d'Entreprise Contraignantes (BCR) permettant une solution globale pour tout le groupe, y compris les transferts hors EEE (procédure d'approbation APD, plus lourde mais permanente) ; accord cadre de traitement intra-groupe couvrant toutes les relations de traitement du groupe. Pour les groupes belges avec des entités hors EEE (USA, UK, Inde), les BCR ou les CCT 2021 s'ajoutent aux DPA intra-groupe.
Ce modèle est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les lois varient selon la juridiction et évoluent avec le temps. Consultez un avocat qualifié pour obtenir des conseils adaptés à votre situation.Clause de non-responsabilité complète
Une erreur ? Signalez-le-nousDocuments Connexes
Vous pourriez également trouver ces documents utiles :
DPA Sous-Traitant RGPD (Art. 28)
Accord de traitement des données personnelles entre un responsable de traitement et son sous-traitant, conforme à l'article 28 du RGPD et à la loi belge du 30 juillet 2018.
Registre des Activités de Traitement RGPD Belgique (Article 30)
Registre des activités de traitement conforme à l'article 30 RGPD et à la Loi belge du 30 juillet 2018 (LCDP). Fiches de traitement avec finalités, bases légales, catégories de données, destinataires, délais de conservation et mesures de sécurité.
Politique de Confidentialité RGPD Belgique
Modèle de Politique de Confidentialité conforme au RGPD art. 13-14 et a la Loi belge du 30/7/2018 pour sites web et applications belges. Inclut finalités, bases juridiques, durées de conservation, droits des personnes et superviseur APD belge.
Politique de Cookies Belgique
Modèle de Politique Cookies et Bannière Consentement conforme a la Loi belge du 13/6/2005 art. 129 et RGPD art. 6 pour sites web belges. Inclut cookies essentiels, analytiques, publicitaires, gestion des préférences et transferts hors UE post-Schrems II.