La gestion d’équipes terrain — pompiers volontaires, agents de sécurité civile, salariés en intérim, équipes BTP ou transport sanitaire — implique le traitement quotidien de données à caractère personnel sensibles : identités, coordonnées, aptitudes médicales, disponibilités, historiques d’intervention. Dès lors qu’un logiciel tiers stocke ou traite ces informations pour votre compte, le Règlement Général sur la Protection des Données (RGPD, UE 2016/679) impose la conclusion d’un accord de traitement de données (ATD), aussi appelé Data Processing Agreement (DPA). Cet article explique ce que couvre un tel accord, pourquoi il est indispensable et comment évaluer les garanties offertes par votre éditeur logiciel.

Pourquoi un accord de traitement de données est-il obligatoire ?

L’article 28 du RGPD est sans équivoque : tout responsable de traitement (votre organisation) qui confie un traitement de données personnelles à un sous-traitant (votre éditeur SaaS) doit formaliser cette relation par un contrat écrit. L’absence d’accord expose le responsable de traitement à des sanctions pouvant atteindre 4 % du chiffre d’affaires mondial annuel ou 20 millions d’euros, selon le montant le plus élevé.

Pour une association de pompiers volontaires ou un SDIS, cela concerne directement les données de chaque sapeur-pompier volontaire : matricule, grade, qualifications opérationnelles (SAP, FMPA, INC), disponibilités et participations aux gardes. Pour une entreprise d’intérim ou de transport sanitaire, ce sont les données contractuelles des intérimaires, les aptitudes médicales au poste et les affectations de mission. Dans tous les cas, la responsabilité légale reste celle de l’organisation cliente, même si c’est l’éditeur logiciel qui héberge les données.

Les clauses essentielles d’un DPA conforme

Un accord de traitement de données solide doit couvrir au minimum les points suivants :

Objet et finalité du traitement. Le sous-traitant ne peut traiter les données que pour les finalités expressément autorisées : dans le cas d’un logiciel de gestion d’équipes, il s’agit de la mise à disposition de la solution SaaS et du support associé, jamais à des fins de prospection commerciale ou d’enrichissement de bases de données tierces.

Instructions documentées. Toute instruction du responsable de traitement doit être formalisée par écrit. Si le sous-traitant estime qu’une instruction contrevient au RGPD, il est tenu d’en informer immédiatement le client avant d’exécuter ladite instruction.

Confidentialité du personnel autorisé. Les personnes habilitées à accéder aux données (développeurs, équipes support) doivent être liées par une obligation de confidentialité — contractuelle ou légale — et sensibilisées à la protection des données personnelles.

Gestion des violations de données. En cas de faille de sécurité, le sous-traitant doit notifier le responsable de traitement dans les meilleurs délais pour lui permettre de respecter son propre délai de notification à la CNIL (72 heures au maximum pour les violations susceptibles d’engendrer un risque pour les personnes concernées).

Droit d’audit. Le client doit pouvoir faire réaliser, à ses frais, un audit de conformité par un auditeur indépendant, avec un préavis raisonnable (généralement 15 jours ouvrés). L’audit ne doit pas perturber les services ni exposer les données des autres clients de l’éditeur.

Sécurité technique et organisationnelle : ce que doit garantir l’éditeur

L’article 32 du RGPD impose au sous-traitant de mettre en place des mesures de sécurité adaptées au risque. Pour un logiciel manipulant des données opérationnelles critiques — alertes d’intervention, aptitudes médicales, localisation des équipes — les garanties attendues sont exigeantes.

Sur le plan technique, les standards minimaux comprennent : le chiffrement des mots de passe et des accès aux sauvegardes (AES-256), le filtrage des adresses IP suspectes, l’archivage des journaux serveur (logs), des sauvegardes quotidiennes glissantes sur des serveurs distincts de la production, et des sauvegardes longue durée sur un stockage objet redondant. L’hébergement dans l’Union européenne — idéalement en France ou en Allemagne pour les organisations publiques — est un critère déterminant.

Sur le plan organisationnel, l’éditeur doit disposer d’une politique de gestion des mots de passe, d’un plan d’assurance sauvegarde, de tests de sécurité réguliers, d’un historique des actions utilisateurs et d’une formation de son personnel au traitement des données personnelles. Pour les organisations du secteur de la santé — SAMU, VSAV, transport sanitaire — l’hébergement par un prestataire disposant de l’agrément HDS (Hébergeur de Données de Santé, article L. 1111-8 du Code de la santé publique) est une obligation légale supplémentaire.

Sous-traitants ultérieurs : la chaîne de responsabilité

Un éditeur SaaS fait rarement appel à ses propres serveurs physiques. Il s’appuie sur des prestataires d’infrastructure (hébergeurs cloud), des outils d’emailing transactionnel, des passerelles de paiement, etc. Ces prestataires constituent des sous-traitants ultérieurs au sens du RGPD.

L’accord de traitement doit lister ces sous-traitants ultérieurs, préciser leurs localisations et les mécanismes de transfert applicables lorsque des données transitent hors Union européenne (clauses contractuelles types de la Commission européenne, décision d’adéquation, etc.). L’éditeur doit informer son client de tout changement envisagé dans cette liste — ajout ou remplacement d’un sous-traitant — avec un délai de préavis suffisant pour que le client puisse s’y opposer pour des motifs légitimes (en pratique, 7 jours ouvrés est un minimum).

À titre d’exemple, un hébergeur européen certifié ISO 27001 comme OVHcloud (Allemagne) ou AWS (France, région eu-west-3) offre des garanties d’adéquation reconnues par la Commission européenne, contrairement à des prestataires dont les serveurs se trouvent exclusivement aux États-Unis sans accord de transfert formalisé.

Réversibilité et fin de contrat : récupérer ses données

Un aspect souvent négligé dans les accords de traitement concerne la réversibilité : que se passe-t-il à la fin du contrat ? Le RGPD impose au sous-traitant de supprimer ou de restituer toutes les données personnelles à l’issue de la prestation, selon le choix du responsable de traitement.

Pour une organisation opérationnelle — un SDIS qui change de logiciel, une association qui migre vers un autre outil — cela signifie concrètement que l’éditeur doit être en mesure de fournir l’intégralité des données dans un format ouvert et exploitable (CSV, JSON, XML), sans facturer des frais d’extraction prohibitifs. Le délai de suppression définitive des données doit également être précisé dans l’accord.

Il est fortement conseillé d’intégrer dans l’accord une clause de réversibilité active dès la signature, et non de s’y intéresser uniquement au moment de la résiliation, lorsque les rapports de force sont moins favorables.

Droits des personnes concernées : le rôle du sous-traitant

Lorsqu’un sapeur-pompier, un intérimaire ou un agent de sécurité exerce son droit d’accès, de rectification ou d’effacement auprès de votre organisation, vous devez être en mesure de traiter cette demande dans le délai légal d’un mois. Si les données sont hébergées chez un sous-traitant, celui-ci doit vous aider à répondre à ces demandes : modification des données, extraction complète du profil, ou suppression définitive du compte.

L’accord de traitement doit prévoir explicitement que le sous-traitant vous notifie sous 5 jours ouvrables toute demande d’exercice de droits qu’il reçoit directement d’une personne concernée, et qu’il coopère pleinement pour faciliter la réponse dans les délais impartis.

eBrigade et la conformité RGPD pour les équipes terrain

eBrigade, logiciel de gestion d’équipes terrain dédié aux SDIS, associations de sécurité civile, entreprises d’intérim, de BTP et de transport sanitaire, fournit à chaque client un accord de traitement de données conforme aux exigences du RGPD. Les données sont hébergées dans l’Union européenne (France et Allemagne), avec des sauvegardes quotidiennes, un chiffrement de bout en bout et une infrastructure certifiée HDS pour les usages médicaux. La liste des sous-traitants ultérieurs, les mesures de sécurité techniques et organisationnelles, ainsi que les modalités de réversibilité sont documentées dans l’annexe de l’accord. Les équipes eBrigade sont disponibles pour accompagner les délégués à la protection des données (DPO) dans leurs démarches de mise en conformité.

---

Pour aller plus loin :

• Logiciel pompiers & SDIS — fonctionnalités, tarifs et cas clients
• Tarifs eBrigade — à partir de 39 €/mois, essai gratuit 30 jours