DPA
Définition
Data Processing Agreement. Contrat conforme RGPD signé entre vous et un sous-traitant qui traite des données personnelles pour votre compte. Obligatoire avec chaque fournisseur cloud européen.
Le contexte juridique
Le DPA (Data Processing Agreement, ou Accord de traitement de données en français) est un contrat exigé par l'article 28 du RGPD entre vous, responsable de traitement, et chaque sous-traitant qui traite des données personnelles pour votre compte. Hébergeur, outil d'e-mailing, fournisseur d'IA, plateforme analytics, CRM, outil de paie : tous sont des sous-traitants au sens du RGPD dès qu'ils manipulent des données identifiantes. Le DPA définit qui fait quoi avec les données, sous quelles conditions de sécurité, pour quelle durée, et avec quelles obligations en cas d'incident. Sans DPA signé, vous êtes en infraction caractérisée.
Ce que contient un DPA
Un DPA standard couvre une dizaine de points obligatoires. La nature et la finalité du traitement (pourquoi le sous-traitant accède aux données). Les catégories de données et de personnes concernées. La durée de conservation. Les mesures de sécurité techniques et organisationnelles (chiffrement, accès, audits). La gestion des sous-sous-traitants (le sous-traitant peut-il déléguer à d'autres, et lesquels). La notification d'incident dans des délais précis (souvent 72h). L'assistance pour les droits des personnes (accès, suppression, portabilité). Le sort des données en fin de contrat (suppression ou restitution). Les audits que vous pouvez exiger.
Quand le signer
On signe un DPA avant de transmettre la moindre donnée personnelle. En pratique, ça veut dire avant de mettre en production tout nouvel outil qui touche aux utilisateurs, clients, prospects ou employés. La majorité des fournisseurs majeurs proposent un DPA standard téléchargeable ou signable en ligne en quelques clics : Vercel, Supabase, Stripe, OpenAI, Anthropic, Resend, HubSpot, Notion, Slack en ont tous un. Pour les fournisseurs plus petits, on demande explicitement leur DPA, et on refuse de travailler avec ceux qui n'en ont pas. C'est un signal de maturité minimum.
Les cas particuliers
Certaines situations exigent plus qu'un DPA standard. Les transferts hors UE (vers les US notamment) demandent en plus des Standard Contractual Clauses (SCC) approuvées par la Commission Européenne, plus une analyse d'impact sur les transferts (TIA). Les données sensibles (santé, biométrie, opinions) imposent un DPA renforcé avec des mesures supplémentaires. Pour l'IA, le DPA doit préciser si le fournisseur peut utiliser vos données pour réentraîner ses modèles : la réponse doit être non par défaut, et le contrat doit le garantir explicitement. OpenAI et Anthropic offrent des conditions API qui excluent l'entraînement.
Le DPA dans le dispositif RGPD global
Le DPA n'est qu'une brique d'un dispositif RGPD plus large : registre des traitements (qui liste tous vos traitements et sous-traitants), politique de confidentialité (qui informe les personnes), gestion des consentements (cookies, e-mails marketing), procédures de réponse aux droits (accès, rectification, suppression, portabilité), DPIA (analyse d'impact pour les traitements à risque), notification CNIL en cas de violation. Le DPA seul ne vous met pas en conformité. Mais l'absence de DPA est l'un des manquements les plus visibles en cas d'audit CNIL ou de plainte d'un utilisateur.
Les pièges à éviter
Trois écueils reviennent. Signer un DPA générique sans le lire : certains fournisseurs ajoutent des clauses qui leur permettent d'utiliser vos données à des fins étonnantes (analytics, amélioration produit, partage avec partenaires). On lit, et on négocie quand c'est possible. Ignorer les sous-sous-traitants : votre fournisseur SaaS s'appuie probablement sur AWS, Stripe, SendGrid, dont chacun traite indirectement vos données. Le DPA doit lister ces chaînes ou en limiter l'extension. Oublier la cartographie : un dispositif sans inventaire à jour des sous-traitants est ingérable. On maintient une feuille (ou un outil dédié type DataLegalDrive) qui liste tout ça.