Quand on entend parler du RGPD, on se retrouve souvent face à un tas de mots un peu obscurs. L’un de ceux qui reviennent tout le temps ? Le fameux DPA, ou « data processing agreement ». Rien que le nom peut décourager. Et pourtant, derrière cet acronyme un peu froid se cache un élément clé dans la gestion des données personnelles.
Mais voilà, entre le jargon juridique et les règles à suivre à la lettre, pas facile de s’y retrouver. Alors autant prendre un moment pour tout remettre à plat.
Table des matières
Le DPA : un élément central pour respecter le RGPD
Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai 2018, les entreprises doivent suivre des règles strictes pour garantir la sécurité et la confidentialité des données personnelles. L’article 28 du RGPD en est un des piliers : il détaille les obligations des sous-traitants et impose la rédaction d’un contrat précis entre les parties.
Qu’est-ce qu’un contrat de sous-traitance ?
Le contrat de sous-traitance, qu’on appelle aussi Data Processing Agreement (DPA), est un accord juridique entre deux entités :
Le responsable du traitement, c’est-à-dire l’entreprise qui collecte les données.
Le sous-traitant, celui à qui le traitement de ces données est confié.
Ce contrat sert à cadrer la relation entre ces deux acteurs et à s’assurer que le sous-traitant respecte bien les exigences posées par le RGPD. Il doit inclure des clauses précises sur la sécurité, la gestion, la conservation et l’usage des données, afin de protéger les droits des personnes concernées.
Que doit contenir un contrat de sous-traitance RGPD ?
Un contrat de sous-traitance conforme à l’article 28 du RGPD n’est pas juste un document administratif parmi tant d’autres. Il fixe les règles du jeu entre l’entreprise qui confie des données personnelles et celle qui va les traiter. Pour être valable et offrir de vraies garanties, il doit intégrer plusieurs points clés, clairement rédigés, sans zone floue.
Une description précise du traitement confié au sous-traitant
Le contrat doit d’abord expliquer en quoi consiste exactement le traitement. Pas de place pour l’ambiguïté ici. On y précise :
La nature des opérations réalisées (collecte, stockage, analyse, suppression, etc.)
La finalité du traitement : pourquoi ces données sont traitées (ex. : gestion de la paie, service client, campagne marketing)
Les types de données concernées (nom, e-mail, données de santé, etc.)
Les personnes visées : salariés, clients, prospects, patients, etc.
Les obligations et droits du responsable du traitement
L’entreprise à l’origine du traitement, appelée responsable du traitement, doit aussi clairement poser ses règles. Elle doit :
Documenter toutes les consignes transmises au sous-traitant, noir sur blanc.
Pouvoir contrôler ce que fait le sous-traitant avec les données : audits, inspections, vérifications régulières doivent être possibles et prévues dans le contrat.
Avoir le dernier mot sur certains choix importants, comme le recours à d’autres prestataires.
Les responsabilités du sous-traitant
Le sous-traitant, de son côté, s’engage à respecter toutes les instructions reçues, mais pas seulement. Il doit aussi :
Assurer la confidentialité des données traitées. Chaque personne qui y accède doit être tenue au secret.
Mettre en place des mesures de sécurité efficaces (chiffrement, pseudonymisation, accès restreint, etc.)
Aider le responsable de traitement en cas de demande des autorités ou des personnes concernées (accès, rectification, suppression des données, etc.).
La gestion des sous-traitants secondaires
Si le sous-traitant fait appel à un autre prestataire pour une partie du travail (on parle alors de sous-traitant ultérieur), il ne peut pas le faire dans son coin. Il doit :
Obtenir une autorisation claire du responsable de traitement.
S’assurer que ce nouveau prestataire respecte exactement les mêmes exigences que lui. Le contrat doit couvrir cette chaîne.
Les autres points essentiels à ne pas oublier
Un bon DPA ne s’arrête pas là. Il doit aussi encadrer :
La sécurité des données, en décrivant les mesures techniques et organisationnelles en place.
Les transferts internationaux, si les données sortent de l’Union européenne. Des garanties spécifiques doivent alors être prévues.
La fin du contrat, avec des clauses sur la restitution ou la destruction des données : qui fait quoi, quand, et comment.
Ce que doit contenir un bon DPA
Un DPA ne se résume pas à une signature vite fait sur un PDF. Le RGPD exige que ce contrat contienne un certain nombre d’éléments très précis.
Élément obligatoire
Détail attendu
Objet du contrat
Le responsable peut contrôler les pratiques du sous-traitant.
Durée du traitement
Le temps pendant lequel les données seront traitées
Type de données traitées
Email, IP, nom, adresse, etc.
Catégories des personnes
Clients, prospects, salariés, abonnés, etc.
Obligations du sous-traitant
Sécurité, confidentialité, assistance, restitution des données
Conditions de transfert
Vers des pays hors UE ? Clauses SCC ? Autres garanties ?
Droit d’audit
Le responsable peut contrôler les pratiques du sous-traitant
Confidentialité
Engagement clair de non-divulgation
Suppression ou restitution
Que fait-on des données à la fin du contrat ?
Tu vois, on ne parle pas juste d’un petit contrat à la va-vite. Il faut vraiment verrouiller la relation de A à Z.
Comment obtenir un DPA avec un prestataire ?
Pas de panique, les bons prestataires sont déjà au courant du RGPD et proposent un DPA tout prêt à signer.
Voici comment ça se passe généralement :
Type de prestataire
Où trouver le DPA ?
Plateformes SaaS (Mailchimp, Sendinblue…)
Dans les CGV ou via le support client.
Hébergeur web
Dans les CGV ou via le support client
À demander et faire signer manuellement.
DPA en ligne, à valider dans les paramètres RGPD.
Outils américains (Google…)
DPA en ligne, à valider dans les paramètres RGPD
Et pense bien à conserver une copie signée dans un dossier RGPD, au même titre que ton registre de traitement.
Que faire en cas de contrôle de la CNIL ?
Si la CNIL vient frapper à ta porte (ou t’envoie un gentil courrier), elle peut te demander immédiatement de fournir :
Ton registre des traitements
Les DPAs signés avec tous tes sous-traitants
Les preuves de sécurisation des données
Le détail des transferts éventuels hors UE
Et si tu peux pas répondre dans les temps ou si tes documents sont incomplets, tu risques la sanction. D’où l’importance d’être carré en amont.
Modèle simple de DPA (extrait)
Voici un exemple simplifié de clauses qu’on retrouve dans un vrai DPA :
Entre : La société X (responsable du traitement) Et : la société Y (sous-traitant) Objet : Hébergement et maintenance de données clients Type de données : nom, prénom, adresse e-mail, téléphone. Durée du traitement : durée du contrat + 6 mois de rétention max Sécurité : données chiffrées, accès restreint, audits réguliers Transferts hors UE : Aucun transfert prévu Suppression des données : À la fin du contrat, suppression dans les 30 jours.
Tu peux partir de ce modèle, l’adapter à ta relation avec ton prestataire et le faire signer par les deux parties.
En fixant noir sur blanc toutes ces règles, le DPA évite bien des malentendus et montre que chaque partie prend ses responsabilités au sérieux. Ce n’est pas juste un papier à signer pour faire joli, mais un outil fondamental pour protéger la vie privée des personnes et respecter le RGPD. Toute entreprise qui traite des données par l’intermédiaire d’un prestataire devrait en avoir un. Et surtout, le lire.
Pajemploi joue un rôle central dans le quotidien des assistantes maternelles. Cet outil administratif, rattaché à l’URSSAF, gère tout un tas de formalités :...
Avec la disparition progressive des documents papier, les entreprises se tournent de plus en plus vers des solutions numériques fiables. Parmi elles, le coffre-fort...
Chaque mois, Chauffeur de taxi reçoivent leur fiche de paie. Et franchement, pour beaucoup, c’est un vrai casse-tête. Des lignes à rallonge, des taux...
