Qu'est-ce que l'article 28 RGPD impose concrètement ?
Dès lors que votre cabinet d'avocats confie à un prestataire extérieur le traitement de données à caractère personnel de vos clients (hébergement du site, formulaire de contact, CRM en ligne), ce prestataire devient votre sous-traitant au sens du RGPD.
L'article 28 du Règlement (UE) 2016/679 exige alors qu'un accord de traitement des données (DPA) soit conclu par écrit entre votre cabinet (responsable du traitement) et le prestataire (sous-traitant). Sans ce document : votre cabinet est en infraction — y compris vis-à-vis de l'Autorité de protection des données belge (APD).
Ce que risque un cabinet sans DPA : Amendes administratives jusqu'à 10 000 000 € ou 2 % du CA mondial (art. 83 §4 RGPD) ; mise en cause en cas de violation de données clients ; responsabilité disciplinaire devant le Barreau (obligation déontologique de protéger le secret professionnel).
Le DPA générique OVH/Infomaniak est-il suffisant ?
Non. Les DPA pré-cochés dans les interfaces d'administration OVHcloud, Infomaniak ou Combell sont rédigés pour protéger l'hébergeur — pas le cabinet d'avocats. Ils ne couvrent généralement pas :
- Les données de vos clients dans les formulaires de contact de votre site
- Le traitement spécifique lié à la confidentialité avocat-client
- Les transferts vers des sous-sous-traitants (CDN, analytics)
- La procédure de notification de violation dans les 48h
- La restitution sécurisée des données en fin de contrat
Les clauses standard CE 2021/915 : pourquoi ça compte ?
La Décision d'exécution CE 2021/915 du 4 juin 2021 établit les clauses contractuelles types (CCT) pour les transferts de données entre responsables du traitement et sous-traitants établis dans ou hors de l'UE.
Ces clauses sont importantes pour votre cabinet car votre site web utilise probablement :
- Un CDN (Cloudflare, AWS CloudFront) — potentiellement établi aux États-Unis
- Des polices Google Fonts chargées depuis des serveurs Google
- Un outil d'analytics (même anonymisé)
- Un service de formulaire ou CRM en ligne
Bonne nouvelle : Le DPA pré-rédigé Togaweb intègre déjà les références aux CCT applicables et liste explicitement les sous-traitants ultérieurs (Cloudflare, Google Fonts, Umami Analytics) avec leurs bases légales de transfert.
Ce que contient le modèle DPA Togaweb
Le document est un PDF à texte sélectionnable (non-scan), conforme WCAG 2.1, structuré en 12 articles :
- Identification des parties (cabinet + Togaweb)
- Nature et finalité du traitement (formulaire, hébergement, analytics)
- Obligations de Togaweb (art. 28 §3 RGPD) — 7 engagements précis
- Obligations du cabinet (responsable du traitement)
- Sous-traitants ultérieurs avec bases légales (CCT CE 2021/915)
- Transferts hors UE et garanties supplémentaires (EDPB 01/2020)
- Mesures de sécurité (art. 32 RGPD) — chiffrement TLS, sauvegardes
- Sort des données en fin de contrat (restitution + suppression 60j)
- Droits des personnes concernées (assistance dans le délai art. 12)
- Notification des violations (délai 48h interne, 72h APD)
- Droit d'audit (préavis 30j)
- Loi applicable et juridiction (droit belge, tribunal de Namur)
Comment utiliser ce DPA ?
- Téléchargez le PDF depuis ce bouton ou via le lien ci-contre.
- Complétez les champs en blanc (dénomination du cabinet, BCE, barreau d'inscription).
- Faites-le relire par votre conseil ou votre DPO si vous en avez un.
- Transmettez-le signé à contact@togaweb.be — Togaweb en conserve un exemplaire contresigné.
Clients Togaweb existants : Si vous êtes déjà client Togaweb, vous recevez ce DPA à la signature du devis. Ce document est ici mis à disposition pour les prospects souhaitant évaluer la conformité RGPD de Togaweb avant de s'engager.