Conformité & réglementation
Accord de traitement des données (DPA)
Contrat exigé par l'article 28 du RGPD entre un éditeur (responsable de traitement) et tout tiers (sous-traitant) qui traite des données personnelles pour son compte, y compris les systèmes de commentaires.
Un accord de traitement des données (DPA) est le contrat exigé par l’article 28 du RGPD dès qu’un tiers (un sous-traitant) traite des données personnelles pour le compte d’un responsable de traitement (l’éditeur). Pour un système de commentaires, chaque commentaire, compte lecteur, vote et décision de modération constitue une donnée personnelle : un DPA est donc obligatoire, pas optionnel.
Ce que couvre un DPA de niveau Logora
- Objet, durée et finalité du traitement.
- Catégories de personnes concernées (abonnés, lecteurs anonymes) et types de données (informations de compte, commentaires, IP, données comportementales).
- Mesures de sécurité (chiffrement au repos et en transit, contrôles d’accès, audit).
- Liste des sous-traitants ultérieurs avec préavis et possibilité d’opposition avant tout changement (ceux de Logora : hébergement OVH, Mistral AI, DeepL).
- Obligations de confidentialité pour tout le personnel ayant accès aux données.
- Gestion des droits des personnes concernées : accès, rectification, suppression, portabilité.
- Notification de violation dans un délai de 72 heures.
- Droits d’audit pour le responsable de traitement.
- Fin de contrat : restitution ou suppression des données personnelles.
Comment Logora gère les DPA
Logora signe par défaut un DPA conforme à l’article 28 dans chaque contrat entreprise. Le modèle a été revu par les DPO de Der Spiegel, Sud Ouest, Milenio et Krone. Les ajustements bilatéraux sont acceptés, mais la base juridique est prête, ce qui évite les semaines d’allers-retours typiques des fournisseurs américains opérant sous clauses contractuelles types.
Voir RGPD pour le cadre plus large et Schrems II pour la question connexe des transferts transatlantiques.