Aller directement au contenu principal
Blog

Data Processing Agreement (DPA) : un document souvent négligé, mais juridiquement incontournable


RécapitulatifLecture : 15 min

Connaissez-vous le Data Processing Agreement (DPA) ? Voici un guide pour tout savoir de ce contrat indispensable au respect du RGPD.

Une équipe d'informaticiens et d'informaticiennes

À mesure que les entreprises externalisent leurs outils et services (CRM, signature électronique, logiciels RH, hébergement cloud, service provider...), les flux de données à caractère personnel se multiplient. Or, sans cadre contractuel conforme, le risque de violation et de non-conformité légale devient réel. Bonne nouvelle : sécuriser ses relations avec les sous-traitants est possible, à condition de comprendre le rôle exact du Data Processing Agreement (DPA). Ce guide vous aide à faire le point, de manière claire et opérationnelle, sur le DPA, sa définition, son caractère obligatoire, son contenu juridique et les bonnes pratiques pour assurer la conformité RGPD.

Qu’est-ce qu’un Data Processing Agreement (DPA) ?

Un Data Processing Agreement, ou DPA, est un contrat qui encadre le traitement de données personnelles réalisé par un sous-traitant pour le compte d’un responsable de traitement. Il est imposé par l’article 28 du RGPD s’ouvre dans un nouvel onglet, afin de garantir que toute entité qui accède à des données personnelles respecte des obligations strictes en matière de sécurité, de confidentialité et de conformité.

Concrètement, le DPA formalise les engagements du prestataire : éditeur SaaS, hébergeur, fournisseur de services informatiques ou prestataire externalisé. Il précise ce que le sous-traitant est autorisé à faire avec les données, les mesures de protection qu’il doit appliquer, ainsi que les conditions dans lesquelles il intervient.

Sans DPA, la relation contractuelle est juridiquement fragile. Pourquoi ? Car l'entreprise responsable ne peut pas démontrer qu’elle encadre correctement ses sous-traitants, ce qui constitue une non-conformité directe au RGPD.

Dans la pratique, plusieurs appellations coexistent : accord de traitement des données, contrat RGPD, contrat de sous-traitance de données personnelles... Le terme DPA s’est alors imposé comme standard, notamment dans l’univers SaaS. Quelle que soit la terminologie, l’enjeu reste le même : intégrer les clauses obligatoires prévues par la réglementation européenne.

Responsable de traitement et sous-traitant : bien comprendre les rôles

Le responsable de traitement est l’entité qui détermine les finalités et les moyens du traitement des données personnelles. Il s’agit, dans la majorité des cas, de l’entreprise qui collecte et exploite les données de ses prospects, clients ou collaborateurs.

Le sous-traitant, quant à lui, traite ces données uniquement pour le compte du responsable de traitement et selon ses instructions. C’est typiquement le cas d’un éditeur de signature électronique comme Docusign, d’un CRM, d’un prestataire d’hébergement ou d’un outil RH.

Quand un DPA est-il requis selon la CNIL ?

Situations couvertes par l'article 28 du RGPD

Un Data Processing Agreement est obligatoire dès lors qu’un prestataire traite des données personnelles pour le compte d’un tiers. Cela recouvre un large éventail d’opérations : collecte, stockage, consultation, modification, suppression ou transfert de données. En pratique, dès qu'un outil externe accède à vos bases clients, RH ou prospects, un DPA est requis.

L'absence de ce document constitue une violation directe du RGPD. En effet, l'article 28 du RGPD impose que cette relation soit formalisée par un contrat précisant notamment la durée du traitement, la nature des données traitées, les finalités poursuivies et les mesures de sécurité mises en place.

Prenons le cas d’une PME qui fait signer ses contrats commerciaux via une solution de signature électronique. Les documents contiennent des données personnelles : nom, email, fonction, signature, parfois coordonnées complètes. L’entreprise décide de la finalité du traitement (formaliser un contrat, gérer la relation commerciale). Elle agit donc en tant que responsable de traitement. Le prestataire de signature électronique héberge les documents, sécurise les signatures et traite ces données pour le compte de l’entreprise. Il est donc sous-traitant au sens du RGPD. Dans ce contexte, la conclusion d’un DPA est juridiquement obligatoire.

Cas où un DPA n'est pas requis (et pourquoi)

Un DPA n'est pas nécessaire lorsque deux entreprises agissent chacune comme responsables de traitement indépendants. C'est par exemple le cas lors d'un partenariat commercial où chaque partie exploite les données pour ses propres finalités.

Il n’est pas non plus requis lorsque le prestataire n’accède pas aux données personnelles, comme un simple fournisseur de matériel informatique sans intervention sur les systèmes. La vigilance reste toutefois essentielle, car de nombreux faux positifs existent. Dès qu’un accès technique aux données est possible, même indirectement, l’obligation de DPA redevient applicable.

Qui doit signer un DPA ?

Responsable de traitement et sous-traitant

Le Data Processing Agreement doit être signé entre le responsable de traitement et le sous-traitant. Chacun s'engage juridiquement à respecter ses obligations RGPD respectives. Le responsable de traitement conserve la maîtrise des finalités et des instructions, tandis que le sous-traitant s'engage à n'agir que sur demande, à sécuriser les données et à respecter la confidentialité. Cette signature permet de matérialiser la conformité avec le DPA et de démontrer, en cas de contrôle CNIL, que l'entreprise a pris les mesures nécessaires.

Cas des sous-traitants ultérieurs

De nombreux prestataires s’appuient eux-mêmes sur d’autres sous-traitants (hébergement cloud, services de maintenance, outils tiers...). Le RGPD impose alors une chaîne de responsabilité clairement encadrée.

En effet, selon l'article 28.2 : "Le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement". En outre, l'autorisation du responsable de traitement est indispensable en cas de sous-traitance ultérieure, notamment dans un cadre de transparence entre les deux entités.

Quels sont les éléments clés d'un DPA conforme au RGPD ?

Clauses obligatoires

Pour être conforme, un Data Processing Agreement doit décrire de manière précise :

  • durée totale

    de traitement et de conservation des données,

  • nature et finalité

    des opérations,

  • types de données personnelles concernées

    (données d'identification, adresses, coordonnées bancaires...),

  • catégories de personnes concernées

    (clients, employés...),

  • mesures de sécurité techniques et organisationnelles

    mises en place.

Il doit également prévoir les obligations du sous-traitant, à savoir :

  • traitement des données sur instruction documentée

    du responsable de traitement,

  • respect de l'obligation de confidentialité

    , contractuelle ou légale,

  • assistance du responsable de traitement

    dans le respect de ses obligations RGPD, notamment en cas de demande d’exercice de droits ou d’analyse d’impact,

  • notification des violations de données personnelles sans délai indu

    , afin que le responsable de traitement puisse respecter son obligation de notification à la CNIL sous 72 heures.

Clauses fortement recommandées

Au-delà des obligations minimales, les clauses suivantes renforcent significativement la solidité du DPA :

  • Droit d'audit et de contrôle du sous-traitant

    par le responsable de traitement (ou par un tiers indépendant),

  • Modalités d’assistance en cas de contrôle

    pour répondre aux demandes RGPD des personnes concernées (accès, rectification, suppression, portabilité),

  • Clauses de réversibilité des données

    (export, restitution dans un format exploitable),

  • Suppression sécurisée des données personnelles en fin de contrat

    ,

  • Traçabilité des actions

    liées à la protection des données,

  • Information en cas d’instruction non conforme au RGPD.

DPA et transferts de données hors Union européenne

Le DPA joue un rôle important dans l’encadrement des flux de données, mais il ne suffit pas à lui seul à sécuriser un transfert hors UE.Lorsque les données sont transférées vers un pays tiers, le DPA doit être complété par des clauses contractuelles types (SCC), une analyse d’impact sur les transferts (TIA) et, le cas échéant, des mesures supplémentaires.

Ces exigences sont précisées dans les lignes directrices du Comité européen de la protection des données s’ouvre dans un nouvel onglet, qui interprète et harmonise l’application du RGPD au niveau européen.

Modèle de Data Processing Agreement

Il existe des modèles de DPA et des clauses types, notamment inspirés des recommandations de la CNIL. Ces documents constituent une base de travail utile, mais ils ne sont ni certifiés ni validés officiellement par les autorités.

Ainsi, se baser uniquement sur un modèle ne dispense pas de personnalisation. Chaque DPA doit être adapté aux traitements réellement effectués, aux outils utilisés et au niveau de sensibilité des données. Par exemple, les exigences applicables à un outil de signature électronique diffèrent fortement de celles d’un logiciel RH ou d’un traitement de données de santé. Cette personnalisation garantit que le contrat reflète fidèlement la réalité du terrain.

Comment personnaliser un DPA pour votre entreprise ?

Avant de signer un DPA, il est essentiel d'identifier précisément les données concernées, leur finalité et leur durée de conservation. Il faut également s'assurer de la localisation des serveurs, des sous-traitants ultérieurs et des procédures en cas d'incident de sécurité. Enfin, il est important de vérifier la capacité du prestataire à assister concrètement l'entreprise en cas de demande RGPD ou de contrôle.

Identification des parties et des rôles

  • Définir clairement le responsable de traitement

  • Identifier chaque sous-traitant accédant aux données personnelles

  • Vérifier l'existence d'un DPA pour chaque prestataire concerné

Description du traitement

  • Préciser la finalité du traitement des données

  • Définir la durée de conservation

  • Lister les types de données personnelles traitées

  • Identifier les catégories de personnes concernées

Obligations contractuelles essentielles

  • Traitement uniquement sur instruction du responsable de traitement

  • Engagement de confidentialité du sous-traitant

  • Mise en place de mesures de sécurité documentées

  • Assistance RGPD (droits des personnes, audits, DPIA)

  • Notification rapide des violations de données

Sécurité et gouvernance des données

  • Contrôle des accès utilisateurs

  • Chiffrement et protection des données sensibles

  • Sauvegardes régulières

  • Traçabilité et journalisation

  • Procédures de gestion d'incident

Sous-traitance et transferts internationaux

  • Liste des sous-traitants ultérieurs

  • Autorisation préalable prévue contractuellement

  • Encadrement juridique des transferts hors UE. Le DPA ne suffit pas à lui seul pour encadrer un transfert hors UE. Il doit être complété par SCC, TIA (Transfer Impact Assessment) et mesures supplémentaires le cas échéant.

  • Localisation claire des serveurs

Fin de contrat et réversibilité

  • Restitution des données dans un format exploitable

  • Suppression sécurisée des données

  • Attestation de suppression sur demande

Pilotage dans la durée

  • Centralisation de tous les DPA

  • Revue annuelle de conformité

  • Mise à jour en cas d'évolution des traitements

  • Preuve documentaire disponible en cas de contrôle CNIL

Quelles sanctions en cas d'absence ou de non-conformité du DPA ?

Risques juridiques et financiers

L’absence de DPA constitue une violation de l’article 28 du RGPD, passible des sanctions prévues à l’article 83.4, soit des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. En cas de violation de données, la responsabilité contractuelle peut également être engagée, avec des conséquences financières importantes. À cela s'ajoutent les risques de responsabilité civile en cas de violation de données ou de préjudice subi par des personnes concernées. Enfin, des litiges contractuels peuvent émerger lorsque les rôles et obligations ne sont pas clairement encadrés dès le départ.

Risques business

Au-delà des sanctions financières, l'absence de DPA conforme peut fortement ralentir le développement commercial de l'entreprise, notamment une perte de confiance des collaborateurs. De plus en plus de clients, notamment les grands comptes et acteurs publics, exigent des garanties RGPD avant toute contractualisation, et un dossier incomplet peut bloquer un appel d'offres. Enfin, dans un contexte de digitalisation accélérée, la conformité RGPD devient un véritable facteur de crédibilité et de compétitivité sur le marché.

Bonnes pratiques pour gérer vos DPA dans la durée

Gérer efficacement ses Data Processing Agreements dans la durée suppose avant tout une centralisation rigoureuse de l'ensemble des contrats liés aux traitements de données personnelles dans des registres. Disposer d'un référentiel unique permet d'identifier rapidement les sous-traitants, de suivre les versions des DPA et de vérifier leur conformité aux exigences RGPD en vigueur. Cette organisation facilite également les réponses en cas de contrôle de la CNIL ou d'audit client. En structurant cette gouvernance contractuelle en toute transparence, l'entreprise gagne en visibilité sur ses risques et en sérénité juridique.

Au-delà de la centralisation, les DPA doivent faire l'objet de mises à jour régulières afin de refléter l'évolution des outils, des prestataires et des traitements de données. Chaque changement de logiciel SaaS, d'hébergeur ou de flux de données doit déclencher une revue contractuelle. Il est également recommandé de prévoir des audits périodiques pour s'assurer que les pratiques réelles correspondent aux engagements contractuels. Cette approche proactive permet d'anticiper les risques plutôt que de les subir.

Data Processing Agreement, conclusion

En conclusion, le Data Processing Agreement, ou DPA, est un contrat primordial dans la gestion des données personnelles, notamment dans les relations entre les responsables de traitement et les sous-traitants. En structurant clairement vos relations avec vos prestataires, vous protégez votre entreprise, vos clients et vos données tout en renforçant la confiance.

C'est dans cette logique que la solution Docusign s'inscrit, avec des DPA facilement accessibles notamment grâce sa documentation légale. Ces derniers sont en général prérédigés, non négociables, et doivent être acceptés en ligne. En plus de ça, pour les signer, les signatures électroniques Docusign sont parfaitement sécurisées et très simples à mettre en place. Elles vous garantissent la conformité légale de vos DPA et autres contrats.

Optez pour les signatures électroniques Docusign pour signer vos DPA !

FAQ

Le DPA (Data Processing Agreement) est-il un contrat à part entière ou une annexe contractuelle ?

Le DPA (Data Processing Agreement) est bien un contrat juridiquement opposable, mais il prend le plus souvent la forme d'une annexe au contrat principal (contrat SaaS, contrat de prestation, conditions générales). Dans le cadre du DPA RGPD, ce n'est pas tant sa forme qui compte que son contenu : les clauses prévues par l'article 28 du RGPD doivent impérativement y figurer, quel que soit le support contractuel retenu.

Où trouver le DPA des grands éditeurs SaaS (Microsoft, Google, AWS, Docusign…) ?

La majorité des éditeurs internationaux proposent un Data Processing Agreement standardisé, accessible depuis leur centre de confiance ou leur documentation légale. Ces DPA sont généralement prérédigés, non négociables et doivent être acceptés en ligne. Ils couvrent les traitements réalisés par l'éditeur en tant que sous-traitant.

Existe-t-il un modèle ou template de Data Processing Agreement en français ?

Oui, il existe des templates de Data Processing Agreement, parfois proposés en PDF ou en Word, y compris en français. Attention toutefois : un template de DPA ne constitue qu'une base. Il doit toujours être personnalisé en fonction du traitement des données, du rôle des parties et du contexte opérationnel réel. Un modèle générique mal adapté peut exposer l'entreprise à un risque de non-conformité RGPD.

Le DPA est-il obligatoire pour tous les traitements de données personnelles ?

Non. Rédiger un DPA est requis uniquement lorsqu'un sous-traitant traite des données personnelles pour le compte d'un responsable de traitement. En revanche, dans une relation responsable de traitement à responsable de traitement (controller to controller), un DPA n'est pas obligatoire, même si un encadrement contractuel reste recommandé.

Quelle est la différence entre un Data Processing Agreement et les clauses contractuelles types (SCC) ?

Le Data Processing Agreement encadre la relation RGPD entre responsable de traitement et sous-traitant. Les Standard Contractual Clauses (SCC), quant à elles, sont utilisées pour encadrer les transferts de données personnelles hors de l'Union européenne. Dans certains cas, les deux documents coexistent : le DPA fixe les obligations générales, tandis que les SCC sécurisent juridiquement les flux internationaux de données.

Est-ce une obligation de créer une copie d'une DPA pour un professionnel ?

Le RGPD n’impose pas formellement de “créer une copie” d’un DPA. En revanche, il impose une obligation de responsabilité (accountability) : le responsable de traitement doit être en mesure de démontrer sa conformité à tout moment. Concrètement, cela signifie que le DPA doit être conservé de manière probante, facilement accessible et opposable en cas de contrôle ou d’audit. En l’absence de DPA disponible, l’entreprise s’expose à un risque élevé de non-conformité, même si le contrat a bien été signé.

Articles connexes

  • Insights pour les dirigeants

    Document probant : tout ce que vous devez savoir sur le sujet

    Jeune programmeur concentré travaillant sur plusieurs appareils dans un bureau moderne

Docusign IAM est la plateforme contractuelle dont votre entreprise a besoin

Inscrivez-vous gratuitementDécouvrez Docusign IAM
Person smiling while presenting