Obligations

DPA (Data Processing Agreement)

Le DPA est le contrat obligatoire liant un responsable de traitement à son sous-traitant pour garantir la protection des données personnelles.

Définition complète

Le Data Processing Agreement (DPA), ou Accord de Traitement des Données en français, est un contrat juridique indispensable dès lors qu'une entreprise confie des données personnelles à un prestataire externe. Ce document vient préciser les modalités techniques et organisationnelles de la protection des données, complétant ainsi le contrat commercial principal. Sur le plan légal, le DPA est une obligation stricte imposée par l'article 28 du RGPD. Il doit définir précisément l'objet, la durée, la nature et la finalité du traitement, ainsi que le type de données concernées. Le contrat doit stipuler que le sous-traitant n'agit que sur instruction documentée du responsable de traitement et qu'il s'engage à garantir la confidentialité des données et la sécurité du système. En pratique, le DPA sert de bouclier juridique. Il oblige le prestataire à notifier toute violation de données, à assister le client dans la réponse aux demandes d'exercice de droits des personnes concernées et à supprimer ou restituer les données à la fin du contrat. Sans ce document, l'entreprise cliente s'expose à des sanctions lourdes de la CNIL, car elle est présumée avoir manqué à son obligation de vigilance dans le choix de son prestataire.

Exemple concret en PME

Une PME française utilise un logiciel SaaS pour gérer sa paie. Le logiciel héberge les noms, adresses et RIB des salariés. La PME (responsable de traitement) doit signer un DPA avec l'éditeur du logiciel (sous-traitant). Ce document précisera que l'éditeur ne peut pas utiliser ces données pour faire du marketing et qu'il doit mettre en œuvre un chiffrement robuste pour protéger les informations bancaires.

L'erreur fréquente à éviter

L'erreur classique est de se contenter des 'Conditions Générales d'Utilisation' (CGU) du prestataire. Les CGU sont souvent trop vagues ou protectrices pour le fournisseur. Un DPA doit être spécifique et détaillé ; se reposer sur un texte standard sans vérifier s'il respecte scrupuleusement l'article 28 du RGPD expose l'entreprise à un risque de non-conformité majeur en cas de contrôle.

Vérifiez votre conformité RGPD

Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.

Scanner mon site