Un accord de traitement des données (DPA) est l’avenant contractuel qui régit la manière dont un fournisseur (le sous-traitant) va traiter les données à caractère personnel pour le compte du client (le responsable du traitement). Exigé par l’article 28 du RGPD, avec des obligations équivalentes en vertu du Data Protection Act britannique, du CCPA/CPRA, du LGPD brésilien et de la plupart des régimes modernes de protection de la vie privée. Le DPA est rarement le document qui intéresse les équipes commerciales — mais c’est lui qui détermine si les données de vos clients sont exposées en cas de violation chez un fournisseur.
Quand vous avez besoin d’un DPA
Vous avez besoin d’un DPA auprès de tout fournisseur qui :
- Stocke des données à caractère personnel en votre nom (CRM, service support, automatisation marketing, analytics)
- Traite des données à caractère personnel en votre nom (fournisseurs d’enrichissement, courtiers en données, services IA)
- Accède à des données à caractère personnel via une relation de sous-traitance (infrastructure cloud, sous-fournisseurs)
Vous n’avez pas besoin d’un DPA auprès de fournisseurs qui ne touchent pas aux données à caractère personnel (la plupart des fournisseurs d’outils internes qui traitent uniquement vos propres données employés/entreprise — bien que les données des employés soient elles-mêmes des données à caractère personnel, si bien que la plupart des fournisseurs B2B finissent par en nécessiter un).
Si un fournisseur propose à la fois un MSA standard et un « DPA disponible sur demande », demandez-le. S’il n’en possède pas, c’est un signal d’alarme quant à sa maturité en matière de protection de la vie privée.
La checklist DPA en 12 points
Tout DPA que vous signez doit couvrir :
| # | Élément | Ce qu’il faut vérifier |
|---|---|---|
| 1 | Objet et durée | Les données à caractère personnel ne sont traitées qu’aux fins du service, et uniquement pendant la durée du MSA |
| 2 | Nature et finalité du traitement | Description précise ; pas « à toute fin commerciale » |
| 3 | Catégories de personnes concernées | Clients, prospects, employés, etc. — énumérés |
| 4 | Catégories de données à caractère personnel | Quels champs sont traités (pas de catégories spéciales sans disposition expresse) |
| 5 | Obligations du responsable / sous-traitant | Liste de l’article 28 — confidentialité, sécurité, sous-traitants ultérieurs, audit |
| 6 | Sous-traitants ultérieurs | Listés ; préavis en cas de changements ; droit d’opposition |
| 7 | Transferts internationaux | CCT, décisions d’adéquation ou mécanisme de transfert équivalent |
| 8 | Assistance aux droits des personnes concernées | Le fournisseur doit aider à répondre aux demandes d’accès, de suppression, de portabilité |
| 9 | Notification de violation | 24 à 72 heures ; quelles informations ; quel canal |
| 10 | Restitution / suppression des données | À la résiliation ; certification ; exceptions de conservation documentées |
| 11 | Droits d’audit | Raisonnables, avec préavis ; le dernier SOC 2 / ISO 27001 du fournisseur suffit généralement |
| 12 | Responsabilité et indemnisation | Alignées sur le MSA ; plafond non inférieur à l’exposition aux amendes réglementaires |
Les modèles de DPA des fournisseurs échouent régulièrement sur la notification de sous-traitants ultérieurs (aucun préavis, aucun droit d’opposition), les transferts internationaux (recours à des mécanismes de transfert obsolètes) et la notification de violation (délais vagues, canal vague).
Comment opérationnaliser
- Modèle de DPA standard annexé à chaque MSA. Ne négociez pas à partir du DPA du fournisseur — imposez votre DPA standard comme référence. La plupart des fournisseurs l’accepteront.
- Liste de sous-traitants ultérieurs maintenue par le fournisseur. Abonnez-vous aux notifications de changement de sous-traitants. Ajoutez au calendrier de gestion des fournisseurs pour révision.
- Audit des transferts transfrontaliers. Une fois par an, vérifiez quels fournisseurs traitent des données personnelles UE/UK en dehors de l’EEE et vérifiez que le mécanisme de transfert est à jour (notamment après Schrems II / les évolutions du Data Privacy Framework).
- Exercice de notification de violation. Annuellement, simulez une notification de violation par un fournisseur et vérifiez le processus de réponse de votre équipe — qui notifie qui, dans quel délai, avec quelles implications réglementaires.
- Examen approfondi des DPA des fournisseurs IA. Les fournisseurs IA qui entraînent leurs modèles sur les données clients constituent un cas particulier — vérifiez que le DPA exclut explicitement l’utilisation à des fins d’entraînement, ou que le mode sans entraînement est garanti contractuellement.
Écueils fréquents
- Accepter le DPA du fournisseur sans négociation. Les DPA des fournisseurs sont rédigés dans l’intérêt du fournisseur ; les concessions standard accordées aux clients se cachent dans les clauses types.
- Ignorer la transmission des obligations aux sous-traitants ultérieurs. Les sous-traitants de votre fournisseur traitent vos données — les obligations de transmission en cascade sont essentielles.
- Mécanismes de transfert obsolètes. Les clauses contractuelles types ont été révisées en 2021 ; certains anciens DPA font encore référence aux anciennes CCT qui ne sont plus valides.
- Formulations relatives à l’entraînement IA. De nombreux DPA de fournisseurs IA prévoient par défaut « nous pouvons utiliser les données clients pour améliorer le service ». Négociez une clause d’interdiction d’entraînement explicite, ou vérifiez que le niveau entreprise sans entraînement est bien ce qui est acheté.
- Absence de journal des DPA signés. Lorsqu’une enquête réglementaire demande « quels fournisseurs traitent les données de la personne concernée X », vous devez répondre en quelques jours, pas en quelques mois.
En lien
- Rubrique de redline MSA — le contrat parent auquel le DPA est annexé
- Workflow de due diligence fournisseur — le processus global d’intégration des fournisseurs
- SOP de revue de contrats — le processus régissant le niveau de revue du DPA