Contrat de sous-traitance (DPA).

Contrat exige par l'article 28 du RGPD entre un responsable de traitement et un sous-traitant lorsque des donnees personnelles sont traitees pour le compte du responsable. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.

Contrat exige par l'article 28 du RGPD entre un responsable de traitement et un sous-traitant lorsque des donnees personnelles sont traitees pour le compte du responsable.

Le Data Processing Agreement (DPA), ou contrat de sous-traitance, est le contrat ecrit exige par l'article 28 du reglement general sur la protection des donnees (reglement UE 2016/679) lorsque le responsable confie a un sous-traitant le traitement de donnees personnelles pour son compte. Il doit definir l'objet, la duree, la nature et la finalite du traitement, les categories de donnees et de personnes concernees et les instructions du responsable. Le DPA impose au sous-traitant de ne traiter que sur instructions documentees, de garantir la confidentialite, de mettre en oeuvre les mesures de securite appropriees (art. 32), d'assister le responsable pour les droits des personnes et la notification des violations, d'autoriser les audits, d'encadrer la sous-traitance ulterieure et de prevoir la restitution ou la suppression des donnees a la fin de la prestation. Des obligations similaires existent dans le RGPD britannique et de nombreux regimes non europeens (LGPD, CPRA, PIPEDA).

Les défenses contre Contrat de sous-traitance (DPA) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Avenant de traitement des donnees, Contrat article 28, Accord de sous-traitance.