Qu'est-ce que l'article 28 RGPD impose concrètement ?

Dès lors que votre cabinet d'avocats confie à un prestataire extérieur le traitement de données à caractère personnel de vos clients (hébergement du site, formulaire de contact, CRM en ligne), ce prestataire devient votre sous-traitant au sens du RGPD.

L'article 28 du Règlement (UE) 2016/679 exige alors qu'un accord de traitement des données (DPA) soit conclu par écrit entre votre cabinet (responsable du traitement) et le prestataire (sous-traitant). Sans ce document : votre cabinet est en infraction — y compris vis-à-vis de l'Autorité de protection des données belge (APD).

Le DPA générique OVH/Infomaniak est-il suffisant ?

Non. Les DPA pré-cochés dans les interfaces d'administration OVHcloud, Infomaniak ou Combell sont rédigés pour protéger l'hébergeur — pas le cabinet d'avocats. Ils ne couvrent généralement pas :

  • Les données de vos clients dans les formulaires de contact de votre site
  • Le traitement spécifique lié à la confidentialité avocat-client
  • Les transferts vers des sous-sous-traitants (CDN, analytics)
  • La procédure de notification de violation dans les 48h
  • La restitution sécurisée des données en fin de contrat

Les clauses standard CE 2021/915 : pourquoi ça compte ?

La Décision d'exécution CE 2021/915 du 4 juin 2021 établit les clauses contractuelles types (CCT) pour les transferts de données entre responsables du traitement et sous-traitants établis dans ou hors de l'UE.

Ces clauses sont importantes pour votre cabinet car votre site web utilise probablement :

  • Un CDN (Cloudflare, AWS CloudFront) — potentiellement établi aux États-Unis
  • Des polices Google Fonts chargées depuis des serveurs Google
  • Un outil d'analytics (même anonymisé)
  • Un service de formulaire ou CRM en ligne

Bonne nouvelle : Le DPA pré-rédigé Togaweb intègre déjà les références aux CCT applicables et liste explicitement les sous-traitants ultérieurs (Cloudflare, Google Fonts, Umami Analytics) avec leurs bases légales de transfert.

Ce que contient le modèle DPA Togaweb

Le document est un PDF à texte sélectionnable (non-scan), conforme WCAG 2.1, structuré en 12 articles :

  • Identification des parties (cabinet + Togaweb)
  • Nature et finalité du traitement (formulaire, hébergement, analytics)
  • Obligations de Togaweb (art. 28 §3 RGPD) — 7 engagements précis
  • Obligations du cabinet (responsable du traitement)
  • Sous-traitants ultérieurs avec bases légales (CCT CE 2021/915)
  • Transferts hors UE et garanties supplémentaires (EDPB 01/2020)
  • Mesures de sécurité (art. 32 RGPD) — chiffrement TLS, sauvegardes
  • Sort des données en fin de contrat (restitution + suppression 60j)
  • Droits des personnes concernées (assistance dans le délai art. 12)
  • Notification des violations (délai 48h interne, 72h APD)
  • Droit d'audit (préavis 30j)
  • Loi applicable et juridiction (droit belge, tribunal de Namur)

Comment utiliser ce DPA ?

  1. Téléchargez le PDF depuis ce bouton ou via le lien ci-contre.
  2. Complétez les champs en blanc (dénomination du cabinet, BCE, barreau d'inscription).
  3. Faites-le relire par votre conseil ou votre DPO si vous en avez un.
  4. Transmettez-le signé à contact@togaweb.be — Togaweb en conserve un exemplaire contresigné.

Clients Togaweb existants : Si vous êtes déjà client Togaweb, vous recevez ce DPA à la signature du devis. Ce document est ici mis à disposition pour les prospects souhaitant évaluer la conformité RGPD de Togaweb avant de s'engager.