DPA (Data Processing Agreement)
Le DPA est le contrat obligatoire liant un responsable de traitement à son sous-traitant pour garantir la protection des données personnelles.
Définition complète
Exemple concret en PME
Une PME française utilise un logiciel SaaS pour gérer sa paie. Le logiciel héberge les noms, adresses et RIB des salariés. La PME (responsable de traitement) doit signer un DPA avec l'éditeur du logiciel (sous-traitant). Ce document précisera que l'éditeur ne peut pas utiliser ces données pour faire du marketing et qu'il doit mettre en œuvre un chiffrement robuste pour protéger les informations bancaires.
L'erreur fréquente à éviter
L'erreur classique est de se contenter des 'Conditions Générales d'Utilisation' (CGU) du prestataire. Les CGU sont souvent trop vagues ou protectrices pour le fournisseur. Un DPA doit être spécifique et détaillé ; se reposer sur un texte standard sans vérifier s'il respecte scrupuleusement l'article 28 du RGPD expose l'entreprise à un risque de non-conformité majeur en cas de contrôle.
Termes associés
Vérifiez votre conformité RGPD
Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.
Scanner mon site