# Checklist DPA — Workload (aide à la reprise juridique)

**Important** : ce fichier est une **liste de points types** pour faciliter la discussion entre votre juridique / RSSI et Workload. **Ce n’est pas un DPA**, ne crée aucune obligation contractuelle et **ne constitue pas un conseil juridique**.

---

## 1. Parties et objet

- [ ] Identification du **responsable de traitement** (client) et du **sous-traitant** (Workload).  
- [ ] Description des **traitements** (finalités, types de données, catégories de personnes concernées).  
- [ ] Durée du traitement / résiliation et **sort des données**.

---

## 2. Instructions documentées

- [ ] Le sous-traitant ne traite les données **que sur instruction documentée** du responsable (sauf obligation légale).  
- [ ] Mécanisme pour demander des **traitements additionnels** ou des évolutions (contact support / DPO).

---

## 3. Mesures de sécurité

- [ ] Référence à une **description des mesures techniques et organisationnelles** (chiffrement, contrôle d’accès, journalisation, etc.) — peut pointer vers la synthèse sécurité publique et la documentation produit.  
- [ ] **Sous-traitants ultérieurs** : obligation d’information / autorisation préalable selon votre cadre (RGPD art. 28.2 / 28.4).

---

## 4. Transferts hors UE

- [ ] Si des transferts hors EEE : **mécanisme juridique** (clauses types, décision d’adéquation, etc.) et liste des pays concernés.  
- [ ] Lien vers la page **Sous-traitants** pour transparence.

---

## 5. Sous-traitance

- [ ] Liste ou critères de **sous-traitants** autorisés ; processus d’ajout / retrait.  
- [ ] Mêmes obligations de protection pour les sous-traitants ultérieurs.

---

## 6. Assistance au responsable

- [ ] Assistance pour **répondre aux droits des personnes** (accès, effacement, portabilité, limitation, opposition).  
- [ ] Assistance pour **analyse d’impact** (AIPD / DPIA) si applicable.  
- [ ] Notification de **violation de données** dans les délais convenus.

---

## 7. Suppression et retour des données

- [ ] À la fin du contrat : **suppression** ou **retour** des données personnelles (et copies), sauf obligation légale de conservation.  
- [ ] Délai et format de restitution si export demandé.

---

## 8. Audits et preuves

- [ ] Droit du responsable d’**auditer** ou de recevoir les certifications / questionnaires sécurité raisonnables.  
- [ ] Confidentialité des résultats d’audit.

---

## 9. Responsabilité et résiliation

- [ ] Répartition de la **responsabilité** en cas de manquement au RGPD.  
- [ ] **Résiliation** pour violation grave des obligations de sous-traitance (art. 28.3 h) RGPD).

---

*À compléter et valider avec votre conseil.*