Le guide pratique du négociateur de DPA

Régulièrement amené à accompagner les professionnels dans la rédaction et la négociation des Data Protection Agreement, le Cabinet ITLAW Avocats a été témoin des difficultés rencontrées par les prestataires IT et leurs clients à s’approprier ce nouveau dispositif juridique et des situations de blocage auxquels ils pouvaient être confrontés dans la négociation de certaines clauses du DPA.

L’idée de réunir autour d’une même table les différents acteurs du marché IT pour s’écouter autrement et rechercher ensemble des solutions adaptées pour chacun est apparue comme une évidence. Un livre est né de ces échanges et travaux concrets et transparents : le guide pratique des DPA – des solutions communes pour les acheteurs et les prestataires de services IT.

Les travaux qui ont permis de construire ce livre ont été suivis par la CNIL qui a préfacé cet ouvrage.

Dès le début de l’année 2019, nous avons réunis différents profils de professionnel afin de pouvoir couvrir le maximum de situation rencontrées sur le marché : clients IT (grandes entreprise, PME et start up), éditeurs de solution SaaS de premier plan, infogérant, et prestataires IT, institutionnels (Agence Nationale de la Sécurité des Systèmes d’Information, « ANSSI ») et représentants de fédérations d’acheteurs (le CRAI)

Le constat se confirme : les principaux acteurs – juristes, acheteurs, commerciaux, DPO – avaient des difficultés à s’approprier le dispositif juridique européen. Les prestataires IT invoquaient plus particulièrement l’analyse qui en est faite par leurs clients, lesquels tendent parfois à mettre à leur charge des responsabilités nouvelles qui devraient, à leur sens, rester à la charge des clients. Inversement, les clients IT invoquaient plus particulièrement le fait qu’ils avaient l’impression que les prestataires IT cherchaient à tout prix à s’exonérer de leur responsabilité et à faire porter au client la responsabilité de leurs manquements ainsi que le cout de leur mise en conformité.

Par ailleurs, les petites sociétés de services, souvent moins avancées dans leur conformité, sont fréquemment écartées des appels d’offres au vu des prérequis de plus en plus exigeants qui leur sont soumis par les acheteurs en amont de la relation contractuelle.

Les sociétés de prestations de services en situation de position dominante sur un secteur spécifique n’hésitent pas à soumettre à leur client des « DPA d’adhésion », lesquels vont jusqu’à autoriser les prestataires à une réutilisation des données personnelles de leurs clients pour leur propre compte.

Ces points de tension deviennent des éléments de blocage et de tensions durant les négociations du DPA, acte devenu pourtant incontournable du fait du RGPD.

Il est possible de rétablir un juste équilibre entre les intérêts respectifs des acteurs du marché, dans le respect du RGPD, des lignes directrices du Comité européen de protection des données, ou encore des préconisations de autorités de protection des données européennes.

Nous avons rédigé un guide pratique de la rédaction et la négociation des DPA. Des solutions pragmatiques basées sur l’analyse et les retours d’expériences de plusieurs grands acteurs du secteur IT.

Chaque chapitre de ce guide correspond à une thématique relevant du DPA. Après un bref rappel du dispositif juridique, il restitue les regards croisés des acteurs autour des points de tension identifiés. Puis conclue à des propositions concrètes pour rétablir un juste équilibre des intérêts respectifs de chacun, dans le respect du RGPD.

Grace à ce guide, le DPA n’aura bientôt plus de secrets pour vous !

Vous êtes intéressé par cet ouvrage ?

Vous pouvez vous le procurer ici

Un exemple de fiche pratique :

Le respect des instructions du client : Quelles conditions ? Limites ? Qu’en pensent les acteurs IT ?

Vous êtes un professionnel ? Et vous êtes amené à mettre en place, piloter ou négocier des DPA dans le cadre de projets technologiques ?  Alors, cet article est fait pour vous !

Ce guide à l’usage des négociateurs de DPA présente les solutions concrètes et opérationnelles proposées par les membres de cet observatoire du DPA : les Prestataires IT les éditeurs, les Clients, l’ANSSI et les représentants de achats IT, pour aider les partenaires à mieux aborder les questions relatives à ces instructions et considérées comme adaptées et respectueuses des intérêts de chacun.

Découvrez, dans cet article, les solutions – positivement accueillies par la CNIL. Elles  vous permettront de répondre aux nombreuses interrogations que pose le RGPD dans les négociations de ces DPA. Quelle qualification des acteurs ? Quelles responsabilités ? Que faire en cas de flux transfrontalier ? Comment gérer la sécurité des données, les audits ? Comment décrire les traitements ?

Au sommaire :

I. Le prestataire IT confronté à de multiples instructions de son client

  • Quelle forme doit revêtir l’ « instruction documentée » ? ;
  • Le cas d’une nouvelle instruction donnée au cours de la prestation ;
  • Le cas d’une instruction émanant d’un nouvel interlocuteur.

II. Le prestataire IT confronté à une instruction en violation du RGPD

  • Le cas de la suspension de l’exécution de sa prestation face à une instruction qu’il estime illicite ;
  • Le cas de l’application d’une instruction illicite. Soit qu’il ne l’a pas identifiée comme telle, soit qu’il l’a identifiée et signalée et en a poursuivi l’exécution.

Charger ici l’article complet au format pdf.

Nous contacter