Aller au contenu
    Entreprisma — Média entrepreneur
    EntreprismaLe média de l'entreprise française
    Définition

    Data processing agreement

    Dénomination anglaise de l’accord de sous-traitance de données personnelles.

    Cadre juridique de la sous-traitance de données

    Le Data Processing Agreement (DPA), ou accord de traitement de données, est un document juridique essentiel dans l'écosystème numérique actuel. Il formalise la relation entre un responsable de traitement (l'entreprise qui collecte les données) et un sous-traitant (l'entité qui traite ces données pour le compte du responsable de traitement). Cette contractualisation est rendue obligatoire par l'article 28 du Règlement Général sur la Protection des Données (RGPD) en Europe, et des législations similaires existent à l'échelle internationale, comme le California Consumer Privacy Act (CCPA) aux États-Unis.

    Objectifs et Protections

    L'objectif principal d'un DPA est de garantir la protection des données personnelles traitées. Il impose au sous-traitant des obligations strictes en matière de sécurité, de confidentialité et de conformité au RGPD. Parmi les clauses typiques, on retrouve :

    • Instructions du responsable de traitement : Le sous-traitant s'engage à agir uniquement sur instruction documentée du responsable de traitement.
    • Sécurité des données : Le DPA détaille les mesures techniques et organisationnelles mises en œuvre par le sous-traitant pour assurer la sécurité des données (chiffrement, accès restreints, audits réguliers).
    • Confidentialité : Le personnel du sous-traitant est soumis à une obligation de confidentialité.
    • Assistance : Le sous-traitant doit assister le responsable de traitement dans le respect de ses obligations (réponse aux demandes d'exercices de droits, notification de violations de données).
    • Sort des données : Le DPA précise le sort des données à la fin du contrat (destruction ou renvoi des données).

    Importance stratégique pour les PME

    Pour une PME, la mise en place d'un DPA avec chacun de ses sous-traitants traitant des données personnelles n'est pas qu'une simple formalité administrative. C'est un levier de confiance et de conformité réglementaire. Ignorer cette obligation peut entraîner des sanctions significatives, telles que des amendes pouvant aller jusqu'à 4% du chiffre d'affaires mondial ou 20 millions d'euros, en plus d'une altération de la réputation. Un DPA bien rédigé permet de clarifier les rôles et responsabilités de chaque partie, minimisant ainsi les risques juridiques et opérationnels liés à la gestion des données personnelles. Il constitue une preuve de la diligence de l'entreprise en matière de protection des données, renforçant sa crédibilité auprès des clients et partenaires.

    Exemple concret

    La PME "BioCulture", producteur de légumes biologiques en Occitanie avec 12 employés et un chiffre d'affaires annuel de 2,5 millions d'euros, utilise un prestataire cloud (SAS "NuageSecurisé") pour héberger son site e-commerce et sa base de données clients. Un Data Processing Agreement a été établi entre BioCulture et NuageSecurisé. Ce DPA stipule que NuageSecurisé doit appliquer un chiffrement des données de bout en bout, réaliser des sauvegardes quotidiennes et notifier BioCulture dans les 24 heures en cas de brèche de sécurité. En 2023, une tentative d'intrusion sur les serveurs de NuageSecurisé a été détectée ; grâce au DPA, NuageSecurisé a immédiatement informé BioCulture et mis en œuvre les procédures d'urgence, limitant l'impact à une simple tentative non aboutie et évitant une divulgation de données clients.

    Erreurs fréquentes à éviter

    • Considérer le DPA comme un simple addendum contractuel sans impact juridique fort, alors qu'il est un pilier de la conformité RGPD.
    • Ne pas avoir de DPA avec tous les sous-traitants qui traitent des données personnelles, exposant l'entreprise à des risques de sanctions.
    • Ne pas vérifier que les mesures techniques et organisationnelles mentionnées dans le DPA sont réellement implémentées et maintenues par le sous-traitant.

    Questions fréquentes sur Data processing agreement

    Qu'est-ce que Data processing agreement ?

    Dénomination anglaise de l’accord de sous-traitance de données personnelles.

    Sources de référence

    Catégorie : Juridique, contrats et conformité · Mis à jour le 7 juin 2026

    Retour au glossaire complet

    Nous utilisons des cookies pour mesurer l'audience et améliorer votre expérience. Vous pouvez paramétrer vos choix ou tout accepter/refuser. En savoir plus