Quand un DPA est-il légalement requis ?

Dès qu'un responsable de traitement engage un sous-traitant pour manipuler des données personnelles de résidents de l'UE ou de l'EEE. Les responsables et sous-traitants hors UE sont également couverts s'ils traitent des données de résidents UE. Le Royaume-Uni a son propre régime quasi identique sous le UK GDPR.

Quelle est la différence entre un DPA et un contrat de services ?

Un contrat de services (ou contrat-cadre) couvre la relation commerciale — périmètre, prix, SLA. Un DPA couvre spécifiquement la protection des données et peut être un document autonome, une annexe ou une section du contrat principal. La plupart des fournisseurs SaaS matures utilisent un DPA autonome incorporé par référence.

Ai-je besoin d'un nouveau DPA pour chaque client ?

La plupart des fournisseurs maintiennent un modèle DPA unique utilisé avec tous les clients, ne négociant que des suppléments spécifiques au client (par ex. une liste précise de sous-sous-traitants ou une fréquence d'audit). Un DPA standard accélère les achats ; les DPA sur mesure ralentissent significativement les cycles.

Accord de traitement des données (DPA)

Data Processing Agreement · Accord Article 28 RGPD · Contrat sous-traitant RGPD

Un Accord de traitement des données (DPA) est un contrat entre un responsable de traitement et un sous-traitant qui définit comment les données personnelles peuvent être traitées pour le compte du responsable. Selon l'article 28 du RGPD, un DPA est obligatoire dès qu'un responsable recourt à un sous-traitant et doit couvrir l'objet, la durée, l'étendue et les obligations du sous-traitant.

Ce que fait vraiment un DPA

Un DPA traduit les obligations abstraites du sous-traitant RGPD en engagements contractuels concrets. Il définit quelles données sont traitées et pourquoi, pendant combien de temps, qui est considéré comme sous-sous-traitant et comment il est approuvé, quelles mesures de sécurité s'appliquent, comment les violations de données sont signalées, comment fonctionnent les droits d'audit, ce qui se passe à la fin de la relation, et comment les transferts internationaux sont gérés. Pour tout fournisseur SaaS qui stocke ou traite des données personnelles pour des clients orientés UE, un DPA conforme est un prérequis commercial — les équipes achats ne signent pas sans. Pour les clients, le DPA est ce qui rend le fournisseur légalement responsable des engagements de sécurité promis par les pages marketing.

Pourquoi c'est important

Les amendes RGPD sont calculées en pourcentage du chiffre d'affaires mondial, et les DPA sont le principal mécanisme contractuel utilisé par les responsables pour allouer le risque de conformité. Un DPA faible laisse le responsable exposé si le sous-traitant gère mal les données ; un DPA fort impose des engagements de sécurité concrets, des droits d'audit et une notification rapide. Pour les fournisseurs, la qualité du DPA prédit la taille des deals : les clients enterprise exigent des DPA matures avec listes de sous-sous-traitants spécifiques, droits d'audit et délais de notification définis. Un modèle générique ne passe plus l'achat enterprise.

Pièges fréquents

1.Liste des sous-sous-traitants manquante ou obsolète — le RGPD exige que le responsable sache qui manipule réellement ses données.
2.Délai de notification de violation vague — "dès que possible" est remplacé par des heures concrètes (24, 48, 72) dans les DPA matures.
3.Droits d'audit absents ou purement hypothétiques — les responsables ont typiquement besoin d'un audit sur site ou d'un rapport SOC 2 / ISO 27001 récent.
4.Mécanisme de transfert international non spécifié — après Schrems II, les DPA doivent nommer le mécanisme (CCT, décision d'adéquation) et couvrir des mesures supplémentaires.
5.Retour ou suppression des données à la fin est optionnel — le RGPD le rend obligatoire ; le DPA doit spécifier lequel et à quelle échéance.

Termes liés

Accord de confidentialité (NDA)→Indemnisation→Due diligence→

Questions fréquentes

Quand un DPA est-il légalement requis ?: Dès qu'un responsable de traitement engage un sous-traitant pour manipuler des données personnelles de résidents de l'UE ou de l'EEE. Les responsables et sous-traitants hors UE sont également couverts s'ils traitent des données de résidents UE. Le Royaume-Uni a son propre régime quasi identique sous le UK GDPR.
Quelle est la différence entre un DPA et un contrat de services ?: Un contrat de services (ou contrat-cadre) couvre la relation commerciale — périmètre, prix, SLA. Un DPA couvre spécifiquement la protection des données et peut être un document autonome, une annexe ou une section du contrat principal. La plupart des fournisseurs SaaS matures utilisent un DPA autonome incorporé par référence.
Ai-je besoin d'un nouveau DPA pour chaque client ?: La plupart des fournisseurs maintiennent un modèle DPA unique utilisé avec tous les clients, ne négociant que des suppléments spécifiques au client (par ex. une liste précise de sous-sous-traitants ou une fréquence d'audit). Un DPA standard accélère les achats ; les DPA sur mesure ralentissent significativement les cycles.

Votre DPA avec Attorly est prêt à consulter

Attorly livre un DPA conforme à l'article 28 RGPD couvrant le chiffrement au repos et en transit, Bring-Your-Own-Key sur Enterprise et la notification de violation sous 72 heures.

Voir le DPA d'Attorly