GUIDE DES DATA PROTECTION AGREEMENT

DPA & RGPD : Comment rédiger et négocier son DPA ?

L’exemple du respect des instructions du client : Quelles conditions ? Limites ? Qu'en pensent les acteurs IT ?

Vous êtes un professionnel et vous êtes amené à mettre en place, piloter ou négocier des DPA dans le cadre de projets technologiques ?  Alors, cet article est fait pour vous !

Ce guide à l’usage des négociateurs de DPA présente les solutions concrètes et opérationnelles proposées par les membres de cet observatoire du DPA : les Prestataires IT les éditeurs, les Clients, l’ANSSI et les représentants de achats IT, pour aider les partenaires à mieux aborder les questions relatives à ces instructions et considérées comme adaptées et respectueuses des intérêts de chacun.

Découvrez, dans cet article, les solutions – positivement accueillies par la CNIL – qui vous permettront de répondre aux nombreuses interrogations que pose le RGPD dans les négociations de ces DPA : quelle qualification des acteurs ? Quelles responsabilités ? Que faire en cas de flux transfrontalier ? Comment gérer la sécurité des données, les audits ? Comment décrire les traitements ?

Au sommaire :

I. Le prestataire IT confronté à de multiples instructions de son client 
• Quelle forme doit revêtir l’ « instruction documentée » ? ;
• Le cas d’une nouvelle instruction donnée au cours de la prestation ;
• Le cas d’une instruction émanant d’un nouvel interlocuteur.

II. Le prestataire IT confronté à une instruction en violation du RGPD
• Le cas de la suspension de l’exécution de sa prestation face à une instruction qu’il estime illicite ;
• Le cas de l’application d’une instruction illicite (soit qu’il ne l’a pas identifiée comme telle, soit qu’il l’a identifiée et signalée et en a poursuivi l’exécution).