Lorsqu’on parle de conformité au RGPD, l’attention se porte souvent sur les bandeaux cookies ou les politiques de confidentialité. Pourtant, un élément fondamental reste encore trop souvent oublié en pratique : le DPA.
Derrière cet acronyme se cache pourtant un outil juridique incontournable dès lors que des données personnelles sont traitées dans le cadre d’une relation commerciale.`
Le DPA : bien plus qu’un simple contrat
Le Data Processing Agreement (DPA) est un contrat obligatoire en droit européen dès lors qu’un organisme confie un traitement de données personnelles à un prestataire.
On le retrouve sous plusieurs noms :
- data processing addendum
- data processing agreement
- accord sur le traitement des données
- convention de traitement des données à caractère personnel
- contrat de traitement des données
- accord de sous-traitance des données
- annexe sur le traitement des données
- avenant relatif à la protection des données
- addendum sur la protection des données
- data processing terms
- DPA.
Peu importe l’appellation, il s’agit toujours du même mécanisme : encadrer juridiquement la manière dont les données sont traitées pour le compte d’un tiers.
Concrètement, le DPA formalise la relation entre deux acteurs :
- le responsable de traitement, qui décide du “pourquoi” et du “comment”
- le sous-traitant, qui agit uniquement sur instruction
L’objectif est simple : garantir que les données sont utilisées de manière licite, sécurisée et traçable, même lorsqu’elles sont externalisées.
Une obligation imposée par le RGPD
Le DPA n’est pas une option. Il repose directement sur l’Article 28 du RGPD, qui impose la mise en place d’un contrat dès qu’un traitement est confié à un prestataire.
Ce cadre contractuel est essentiel, car il conditionne la validité même du traitement. Sans DPA conforme, la relation peut être considérée comme irrégulière.
Le document doit notamment prévoir :
- les instructions du responsable de traitement
- les mesures de sécurité mises en place
- les obligations de confidentialité
- les conditions de recours à d’autres sous-traitants
- les mécanismes d’audit et de contrôle
Autrement dit, le DPA sert à garder la maîtrise des données, même lorsqu’elles sont traitées par un tiers.
Un outil clé pour répartir les responsabilités
Le RGPD repose sur une distinction essentielle entre les rôles. Le responsable de traitement décide des finalités, tandis que le sous-traitant exécute.
Le DPA vient précisément encadrer cette relation, qui est par nature asymétrique. Il clarifie qui fait quoi, qui est responsable de quoi, et surtout comment réagir en cas de problème.
C’est aussi un outil central pour démontrer sa conformité. En cas de contrôle par la CNIL ou de litige, le DPA constitue souvent la principale preuve que les obligations ont été respectées.
DPA et CCT : deux outils à ne pas confondre
Il est fréquent de confondre le DPA avec les clauses contractuelles types (CCT). Pourtant, leur rôle est différent.
Le DPA encadre la relation entre un responsable de traitement et son sous-traitant au sein de l’Union Européenne.
Les CCT, elles, interviennent lorsque des données sont transférées en dehors de l’Union Européenne.
Dans certains cas, notamment avec des prestataires situés à l’étranger, les deux mécanismes doivent être combinés pour garantir une protection complète, mais ils ne remplissent pas le même rôle et ne doivent pas être utilisés de manière interchangeable.
Qui doit mettre en place le DPA ?
En pratique, la logique est assez simple.
Si votre prestataire vous transmet un DPA, vous devez l’analyser et vérifier qu’il est conforme avant de le signer.
En revanche, si aucun document ne vous est proposé, c’est à vous de prendre l’initiative et d’en fournir un.
Ne rien faire dans cette situation est une erreur fréquente. Or, l’absence de DPA peut suffire à caractériser un manquement au RGPD.
Cet article pourrait aussi vous intéresser : Comment préparer votre entreprise à un contrôle de la CNIL ?
Une logique qui fonctionne dans les deux sens
Le DPA ne concerne pas uniquement vos prestataires. Il s’applique dans toutes les situations où des données sont traitées pour le compte d’un tiers.
Ainsi, une entreprise peut être responsable de traitement dans certaines relations (avec ses outils ou fournisseurs), et sous-traitant dans d’autres (avec ses propres clients).
Dans les deux cas, un DPA est nécessaire. Peu importe la position occupée, dès qu’il y a traitement de données pour autrui, un encadrement contractuel s’impose.
Dans quels cas le DPA est-il requis ?
Le DPA est obligatoire dès qu’un prestataire accède ou traite des données personnelles pour votre compte. Cela concerne des situations très courantes : utilisation d’un CRM, hébergement cloud, gestion de la paie, campagnes emailing ou maintenance informatique.
En revanche, il n’est pas nécessaire lorsqu’aucune donnée personnelle n’est traitée, ou lorsque le prestataire agit pour ses propres finalités. Dans ce cas, il ne s’agit pas d’une relation de sous-traitance au sens du RGPD.
Cet article pourrait aussi vous intéresser : Outils de collaboration et RGPD : Sécurisez vos échanges pour garantir votre conformité
Quels risques en cas d’absence de DPA ?
Ne pas mettre en place de DPA, ou utiliser un document incomplet, expose à des risques importants.
Le RGPD prévoit des sanctions pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial, voire 20 millions ou 4 % en cas de manquements graves.
Des décisions récentes illustrent ces risques. La CNIL a par exemple sanctionné l’entreprise Dedalus à hauteur de 1,5 million d’euros, notamment pour l’absence de clauses conformes dans ses contrats de sous-traitance, dans un contexte de fuite massive de données de santé.
Au-delà des sanctions, les conséquences peuvent être aussi commerciales : perte de confiance, réputation dégradée, difficultés lors d’appels d’offres.
À retenir
Le DPA est bien plus qu’un document contractuel. Il constitue le socle juridique de toute relation impliquant un traitement de données personnelles externalisé.
Ne pas en avoir, c’est être en risque. Bien le maîtriser, c’est sécuriser durablement son activité.
à 
