Data Processing Agreement, le contrat incontournable du RGPD avec vos sous traitants
📩 Pour nous contacter: redaction@frenchweb.fr
Lorsque vous confiez le traitement de données personnelles à un prestataire, elle doit impérativement encadrer cette relation par un Data Processing Agreement (DPA). Ce contrat, prévu par l’article 28 du RGPD, formalise les obligations de chaque partie et constitue une pièce essentielle pour prouver la conformité en cas d’audit ou de contrôle.
Qu’est-ce qu’un DPA ?
Le DPA, ou accord de traitement des données, est un contrat entre :
- le responsable de traitement : l’entité qui décide de l’usage des données (ex. une société de e-commerce),
- le sous-traitant : le prestataire qui traite les données pour le compte de l’entreprise (ex. un hébergeur, un outil de paiement, un CRM).
Sans DPA, toute externalisation de traitement est illégale au regard du RGPD.
Contenu obligatoire
Le RGPD impose un contenu minimum, qui doit être détaillé dans le contrat :
- Objet et durée du traitement.
- Type de données et personnes concernées (ex. clients, salariés, prospects).
- Nature et finalité du traitement (ex. stockage, analyse, gestion RH).
- Obligations du sous-traitant :
- agir uniquement sur instructions du responsable,
- garantir la confidentialité et la sécurité,
- notifier toute violation de données,
- assister dans l’exercice des droits des personnes (accès, effacement, portabilité),
- restituer ou effacer les données en fin de contrat,
- permettre les audits de conformité.
Pourquoi est-ce crucial ?
- Sécurité juridique : un traitement confié sans DPA est non conforme au RGPD.
- Preuve de conformité : en cas de contrôle CNIL, le DPA est une pièce centrale du dossier.
- Répartition des responsabilités : il clarifie les rôles et évite que l’entreprise ne porte seule la charge en cas d’incident.
Fiche pratique : comment gérer un DPA
| Étape | Action | Bonnes pratiques |
|---|---|---|
| 1. Identifier | Lister tous les prestataires accédant à des données personnelles. | Utiliser les journaux SSO, OAuth et les contrats existants. |
| 2. Vérifier | Contrôler si un DPA est déjà signé. | Les grands fournisseurs (AWS, Google, Microsoft, Stripe) publient un DPA standard. |
| 3. Négocier | Exiger l’inclusion des clauses RGPD minimales. | Ajouter des garanties spécifiques (lieu d’hébergement, transfert hors UE, sous-traitants ultérieurs). |
| 4. Archiver | Centraliser tous les DPA dans un registre. | Utiliser un outil de gestion de conformité (OneTrust, TrustArc, internes). |
| 5. Contrôler | Réaliser des audits réguliers chez les prestataires. | Vérifier la sécurité technique (ISO 27001, SecNumCloud, SOC 2). |
Signer (ou activer) les DPA standards des grands fournisseurs
La plupart des grands acteurs proposent des DPA pré-rédigés conformes au RGPD.
Voici où les trouver et comment les activer :
| Fournisseur | Où trouver le DPA | Particularité |
|---|---|---|
| Google Cloud Data Processing Terms / Google Workspace DPA | S’applique automatiquement dès que vous acceptez les conditions de service | |
| HubSpot | HubSpot Data Processing Agreement | Inclus par défaut pour les clients européens |
| Meta Ads | Data Processing Terms | Nécessite validation explicite dans Business Manager |
| Microsoft | Products and Services DPA | Applicable automatiquement |
| AWS | AWS GDPR DPA | Intégré aux conditions de service AWS |
Vérifier les transferts hors UE
C’est le point sensible, surtout avec les outils américains.
À faire :
- Vérifiez si le fournisseur est certifié Data Privacy Framework (DPF), la nouvelle base légale UE-US (remplaçant le Privacy Shield).
- Vérifiez la liste des sous-traitants secondaires
- Si le transfert n’est pas couvert par le DPF, exigez ou vérifiez la présence de clauses contractuelles types (SCC).
Intégrer le DPA à votre registre RGPD
Dans votre registre des traitements, ajoutez :
- le nom du fournisseur,
- le type de données traitées,
- le lien vers le DPA,
- la base légale du transfert (DPF ou SCC),
- la durée de conservation,
- les mesures de sécurité (chiffrement, authentification, etc.).
Cela constitue votre preuve de conformité documentaire, exigée par le RGPD.
Surveiller les changements contractuels
Les grands fournisseurs mettent à jour régulièrement leurs DPA.
Abonnez-vous à leurs pages légales ou newsletters conformité.
Par exemple :
- Google notifie via l’admin console Workspace,
- HubSpot par email à l’administrateur principal.
Important : si le fournisseur ajoute de nouveaux sous-traitants ou modifie le lieu d’hébergement, vous devez en être notifié et avoir la possibilité de vous y opposer.
Mettre en place un modèle interne de DPA pour vos propres sous-traitants
Si vous, à votre tour, traitez des données pour des clients (ex : agence, cabinet, startup SaaS), vous devez :
- rédiger votre propre modèle de DPA,
- le faire signer à vos sous-traitants,
- et le proposer à vos clients.
Utilisez le modèle de la CNIL ou celui de l’EDPB (European Data Protection Board) comme base, adapté à votre activité.
Exemple de check-list pratique
| Étape | Vérification | Statut |
|---|---|---|
| 1. Cartographie des prestataires | Tous les outils recensés (HubSpot, Google, etc.) | ✅ |
| 2. Téléchargement du DPA | Copie PDF sauvegardée dans le dossier conformité | ✅ |
| 3. Vérification des transferts | DPF ou SCC en place | ✅ |
| 4. Enregistrement dans le registre RGPD | Lien vers le DPA ajouté | ✅ |
| 5. Suivi des mises à jour | Alertes ou abonnements légaux actifs | ✅ |
À retenir
- Un DPA n’est pas optionnel : il est la preuve documentaire de votre conformité.
- Avec Google et HubSpot, le DPA s’applique automatiquement mais doit être archivé et vérifié.
- Le risque principal reste le transfert de données hors UE et la sous-traitance en cascade.
- Enfin, il faut gérer les DPA comme des contrats vivants, pas comme de simples annexes.
Risques en cas d’absence de DPA
- Amendes RGPD : jusqu’à 20 M€ ou 4 % du CA mondial.
- Responsabilité civile : les clients peuvent engager des actions en réparation.
- Perte de confiance : une faille non couverte juridiquement fragilise la relation client.
