Accords de Traitement de Données (DPA) sous le RGPD
Tout ce que les équipes SaaS doivent savoir sur les Accords de Traitement de Données RGPD. Couvre les exigences de l'article 28, les clauses obligatoires, la gestion des sous-traitants, les sous-traitants ultérieurs et les signaux d'alerte courants.
GRCTrail Team
Chaque fois que votre entreprise SaaS partage des données personnelles avec un service tiers — votre fournisseur d’hébergement cloud, votre plateforme d’email, votre outil d’analyse, votre CRM — le RGPD exige un Accord de Traitement de Données entre vous et ce fournisseur. Pas de DPA, pas de base juridique pour le transfert de données. C’est aussi simple que cela.
L’article 28 du RGPD établit les règles. Lorsqu’un responsable du traitement (l’organisation qui décide pourquoi et comment les données sont traitées) engage un sous-traitant (l’organisation qui traite les données pour le compte du responsable du traitement), la relation doit être régie par un contrat comprenant des dispositions obligatoires spécifiques.
Pour les entreprises SaaS, cela fonctionne dans les deux sens. Vous êtes presque certainement un responsable du traitement engageant des sous-traitants — chaque fournisseur de votre pile technologique qui touche des données personnelles a besoin d’un DPA. Et si vos clients confient leurs données à votre plateforme, vous êtes également un sous-traitant, ce qui signifie que vos clients ont besoin d’un DPA de votre part.
Ce guide couvre les deux aspects : ce qu’il faut rechercher dans les DPA que vous signez avec vos fournisseurs, et ce qu’il faut inclure dans le DPA que vous proposez à vos clients.
Qu’est-ce qu’un DPA ?
Un Accord de Traitement de Données est un contrat juridiquement contraignant entre un responsable du traitement et un sous-traitant qui régit la manière dont les données personnelles sont traitées. Ce n’est pas une politique de confidentialité autonome ni un vague avenant sur la protection des données — c’est un contrat spécifique requis par l’article 28(3) du RGPD.
Le DPA doit :
- Être établi par écrit (y compris sous forme électronique)
- Être contraignant pour le sous-traitant
- Définir l’objet, la durée, la nature et la finalité du traitement
- Définir les types de données personnelles et les catégories de personnes concernées
- Préciser les obligations et les droits du responsable du traitement
Considérez le DPA comme le manuel d’exploitation d’une relation de traitement de données. Il indique au sous-traitant exactement ce qu’il peut et ne peut pas faire avec les données, et il donne au responsable du traitement l’assurance et le contrôle que le RGPD exige.
Que doit contenir un DPA ?
L’article 28(3) spécifie huit obligations obligatoires que le DPA doit imposer au sous-traitant. Voici ce que chacune signifie en pratique :
1. Traiter uniquement sur instructions documentées
Article 28(3)(a)
Le sous-traitant ne doit traiter les données personnelles que sur les instructions documentées du responsable du traitement. Cela empêche les sous-traitants d’utiliser vos données à leurs propres fins — entraînement de modèles d’IA, création de produits d’analyse agrégée ou ciblage publicitaire.
En pratique : Le DPA doit préciser exactement ce que le sous-traitant est autorisé à faire avec les données. « Stocker et traiter les données clients pour fournir le service contractuel » est une instruction raisonnable. Si le sous-traitant souhaite utiliser les données pour l’amélioration de son produit ou pour du benchmarking, cela devrait nécessiter une autorisation séparée et explicite.
2. Obligations de confidentialité
Article 28(3)(b)
Toute personne autorisée à traiter les données (employés du sous-traitant, prestataires) doit être soumise à des obligations de confidentialité, soit par contrat, soit par obligation légale.
En pratique : Le DPA doit exiger que le sous-traitant s’assure que tout le personnel ayant accès aux données personnelles a signé des accords de confidentialité et a reçu une formation appropriée en matière de protection des données.
3. Mesures de sécurité
Article 28(3)(c)
Le sous-traitant doit mettre en oeuvre des mesures de sécurité techniques et organisationnelles appropriées, telles que requises par l’article 32.
En pratique : Le DPA doit faire référence à des normes ou certifications de sécurité spécifiques (SOC 2, ISO 27001) ou lister des mesures concrètes : chiffrement au repos et en transit, contrôles d’accès, tests de sécurité réguliers, procédures de réponse aux incidents. Un langage vague comme « sécurité appropriée » sans précisions est un signal d’alerte.
4. Exigences relatives aux sous-traitants ultérieurs
Article 28(3)(d)
Le sous-traitant ne doit pas engager un autre sous-traitant (un sous-traitant ultérieur) sans l’autorisation écrite préalable du responsable du traitement. Le DPA peut prévoir soit :
- Une autorisation spécifique : Le responsable du traitement approuve chaque sous-traitant ultérieur individuellement
- Une autorisation générale : Le responsable du traitement pré-approuve le recours à des sous-traitants ultérieurs, mais le sous-traitant doit notifier le responsable du traitement de tout changement, lui donnant la possibilité de s’y opposer
En pratique : La plupart des grands fournisseurs SaaS utilisent l’autorisation générale avec une liste de sous-traitants ultérieurs publiée et un mécanisme de notification des changements. Vous devez recevoir un préavis (généralement 30 jours) de tout nouveau sous-traitant ultérieur, avec le droit de vous y opposer. Si le fournisseur ajoute un sous-traitant ultérieur qui vous pose problème et refuse de prendre en compte votre objection, vous devriez avoir le droit de résilier.
5. Assistance pour les droits des personnes concernées
Article 28(3)(e)
Le sous-traitant doit assister le responsable du traitement pour répondre aux demandes des personnes concernées — accès, rectification, effacement, portabilité, limitation et opposition.
En pratique : Le DPA doit préciser comment le sous-traitant vous aidera à satisfaire les demandes d’accès des personnes concernées et les autres demandes d’exercice de droits. Cela comprend la fourniture d’exports de données, la possibilité de suppression des données et la réponse aux demandes dans des délais raisonnables.
6. Assistance pour les obligations de sécurité et de notification de violation
Article 28(3)(f)
Le sous-traitant doit assister le responsable du traitement dans ses obligations de sécurité prévues aux articles 32 à 36, y compris la notification de violation, les AIPD et la consultation préalable des autorités de contrôle.
En pratique : Le DPA doit exiger que le sous-traitant vous notifie toute violation de données personnelles dans les meilleurs délais (et idéalement dans un délai spécifique — 24 ou 48 heures est courant). Cela vous donne le temps d’évaluer la situation et de respecter votre propre obligation de notification de 72 heures auprès de l’autorité de contrôle.
7. Suppression ou restitution des données
Article 28(3)(g)
À la fin de la relation de traitement, le sous-traitant doit soit supprimer, soit restituer toutes les données personnelles, et supprimer les copies existantes, sauf si le droit de l’Union ou des États membres exige le maintien du stockage.
En pratique : Le DPA doit préciser le délai de suppression (ex. : dans les 30 jours suivant la résiliation du contrat), prévoir l’export/restitution des données avant la suppression et confirmer que la suppression s’étend à toutes les sauvegardes et copies.
8. Audits et inspections
Article 28(3)(h)
Le sous-traitant doit mettre à disposition toutes les informations nécessaires pour démontrer la conformité et permettre les audits et inspections par le responsable du traitement ou un auditeur mandaté.
En pratique : Cela ne signifie pas que vous devez auditer physiquement chaque fournisseur. De nombreux sous-traitants satisfont cette exigence par des rapports d’audit tiers (SOC 2 Type II, certificats ISO 27001), des questionnaires complémentaires et le droit de demander des audits supplémentaires si nécessaire. Le DPA doit spécifier le mécanisme d’audit.
DPA pour les entreprises SaaS : les deux côtés
En tant que responsable du traitement : DPA avec vos fournisseurs
La plupart des entreprises SaaS ont des dizaines de fournisseurs qui traitent des données personnelles. Catégories courantes :
Infrastructure : AWS, Google Cloud, Azure, Cloudflare, Vercel
- Ces fournisseurs proposent généralement des DPA complets dans le cadre de leurs contrats de service. Examinez-les — ne vous contentez pas de cliquer sur « Accepter ».
Communication et marketing : Mailchimp, Customer.io, Sendgrid, HubSpot, Intercom
- Les plateformes marketing traitent souvent des quantités importantes de données personnelles. Portez attention à leurs politiques d’utilisation des données et à leurs listes de sous-traitants ultérieurs.
Analyse : Amplitude, Mixpanel, Google Analytics, Hotjar
- Les fournisseurs d’analyse peuvent opérer dans une zone grise entre sous-traitant et responsable du traitement indépendant. Clarifiez leur rôle dans le DPA.
Paiements : Stripe, Braintree, Adyen
- Les processeurs de paiement agissent souvent en tant que responsables du traitement indépendants pour certaines activités de traitement (prévention de la fraude, conformité aux réglementations financières). Comprenez quelles données ils contrôlent vs. traitent.
Support : Zendesk, Freshdesk, Intercom
- Les plateformes de support stockent des données personnelles riches, y compris du texte non structuré dans les conversations de tickets. Assurez-vous que le DPA couvre tous les types de données.
RH et interne : BambooHR, Gusto, Slack, Google Workspace
- Les données employés sont aussi des données personnelles. Les DPA avec les plateformes RH sont tout aussi importants que ceux tournés vers les clients.
En tant que sous-traitant : votre DPA destiné aux clients
Si votre produit SaaS traite des données pour le compte de vos clients, vous devez proposer un DPA. Celui-ci est généralement :
- Un document autonome lié depuis votre site web
- Un avenant à vos Conditions Générales de Service
- Une partie de votre contrat entreprise
Votre DPA destiné aux clients doit aborder les huit exigences de l’article 28(3) du point de vue du sous-traitant. Il doit être clair sur vos sous-traitants ultérieurs, vos mesures de sécurité, vos engagements de notification de violation et vos procédures de suppression de données.
Publier votre DPA publiquement (comme le font des entreprises telles que Notion, Linear et Vercel) est un signe de maturité et accélère les cycles de vente entreprise. Les prospects peuvent l’examiner avant de solliciter le service achats.
Gérer les DPA à grande échelle
Dans une entreprise SaaS de 50 personnes, vous pourriez avoir 30 à 50 fournisseurs traitant des données personnelles. Les gérer manuellement crée des problèmes prévisibles :
Suivi du statut. Quels fournisseurs ont signé des DPA ? Lesquels utilisent des versions obsolètes ? Quels nouveaux fournisseurs ont été intégrés sans DPA du tout ?
Surveillance des changements de sous-traitants ultérieurs. Les fournisseurs mettent régulièrement à jour leurs listes de sous-traitants ultérieurs. Examinez-vous ces notifications ? Avez-vous un processus pour vous opposer si un nouveau sous-traitant ultérieur est problématique ?
Cycles de renouvellement et de révision. Les DPA doivent être révisés périodiquement, surtout lorsque les fournisseurs mettent à jour leurs conditions, lorsque vous changez la façon dont vous utilisez un fournisseur, ou lorsque les orientations réglementaires évoluent.
Connexion à votre RAT. Chaque DPA doit correspondre à des entrées dans votre Registre des Activités de Traitement. Lorsqu’une relation fournisseur change, les deux documents doivent être mis à jour.
Signaux d’alerte dans les DPA
Lors de l’examen du DPA d’un fournisseur, surveillez ces signes d’alerte :
Sous-traitance illimitée sans notification significative. Si un fournisseur peut ajouter des sous-traitants ultérieurs sans vous en notifier, ou avec notification mais sans droit d’opposition, vous avez perdu un mécanisme de contrôle important. Vous devez savoir qui traite vos données.
Plafonds de responsabilité qui transfèrent tout le risque sur vous. Certains DPA limitent la responsabilité du sous-traitant en cas de violation de données à un montant nominal tandis que le responsable du traitement supporte toute la responsabilité réglementaire et civile. Le DPA doit refléter une répartition raisonnable des responsabilités.
Pas de délai de suppression spécifique. « Nous supprimerons les données dans un délai raisonnable après la résiliation » est trop vague. Exigez un délai défini — 30 jours est la norme.
Engagements de sécurité vagues. Si la section sécurité ne dit rien de plus que « nous mettons en oeuvre des mesures techniques et organisationnelles appropriées », il n’y a rien de concret à faire respecter. Recherchez des mesures spécifiques, des certifications ou des normes.
Garanties manquantes pour les transferts internationaux. Si le sous-traitant transfère des données en dehors de l’EEE, le DPA doit préciser le mécanisme juridique. S’il est muet sur les transferts internationaux, soit les transferts n’ont pas lieu (vérifiez-le), soit le DPA est incomplet. Consultez notre guide sur les transferts internationaux de données pour savoir ce qui est requis.
Utilisation des données aux propres fins du sous-traitant. Surveillez le langage qui permet au sous-traitant d’utiliser vos données pour « l’amélioration du service », « l’analyse » ou « l’apprentissage automatique ». C’est le sous-traitant qui agit en tant que responsable du traitement indépendant — et cela change considérablement le cadre juridique.
Comment GRCTrail gère vos DPA
GRCTrail fournit un système centralisé de gestion des fournisseurs et des DPA :
Registre des fournisseurs avec suivi du statut des DPA. Chaque sous-traitant est catalogué avec son statut DPA, sa version, sa date de signature et sa prochaine date de révision. Visualisez d’un coup d’oeil quels fournisseurs nécessitent votre attention.
Alertes de changement de sous-traitants ultérieurs. Lorsque les fournisseurs mettent à jour leurs listes de sous-traitants ultérieurs, GRCTrail signale les changements pour votre examen. Plus d’emails de notification manqués enfouis dans une boîte de réception partagée.
Rappels automatisés de révision. Définissez des cadences de révision pour chaque DPA et recevez des notifications lorsque les révisions sont dues. Ne laissez jamais un DPA devenir obsolète parce que personne ne s’est souvenu de le vérifier.
Connecté à votre RAT. Le DPA de chaque fournisseur est directement lié aux activités de traitement pertinentes dans votre Registre des Activités de Traitement. Modifiez l’un, et vous verrez où l’autre doit être mis à jour.
Suivez chaque DPA fournisseur en un seul endroit →
Guides connexes
- Registre des Activités de Traitement (RAT) — Documenter vos activités de traitement
- Transferts internationaux de données — Mécanismes de transfert pour les flux de données transfrontaliers
- Checklist de conformité RGPD — Le cadre de conformité complet
- Exigences relatives aux avis de confidentialité — Ce que vous devez communiquer aux personnes concernées
Articles connexes
Gestion du consentement RGPD : exigences et bonnes pratiques
Comprenez quand le consentement RGPD est requis, ce qui rend le consentement valide, comment mettre en oeuvre les mécanismes de consentement et la différence entre le consentement et les autres bases juridiques. Guide pratique pour les équipes SaaS.
Checklist de conformité RGPD pour les entreprises SaaS
Une checklist de conformité RGPD étape par étape conçue pour les équipes SaaS. Couvre la documentation, les droits des personnes concernées, la gestion des sous-traitants et le suivi continu pour ne rien laisser passer.
Notification de violation de données RGPD : calendrier et étapes
Comment gérer les notifications de violation de données sous le RGPD. Couvre le délai de 72 heures, quand notifier l'autorité de contrôle vs. les personnes concernées, la planification de la réponse aux violations et les exigences de documentation.