Accords de sous-traitance (DPA) : qui, quand, et sans se compliquer la vie

Tout SaaS qui traite des données personnelles pour votre compte nécessite un DPA. La plupart le mettent à disposition sur leur site. Voici la checklist pour ne pas vous retrouver avec 40 PDF épars au bout d'un an.

Un accord de sous-traitance (Data Processing Agreement, DPA) est obligatoire entre vous (responsable du traitement) et chaque fournisseur qui traite des données personnelles en votre nom.

Avec qui faut-il un DPA ?

\n
• Votre logiciel de comptabilité (traite les données clients et du personnel).
\n
• Votre CRM.
\n
• Votre système RH.
\n
• Votre outil d'e-mail marketing (MailChimp, Mailerlite, ActiveCampaign).
\n
• Votre hébergement et stockage cloud (M365, Google Workspace, AWS).
\n
• Votre CDN / sécurité (Cloudflare).
\n
• Votre outil de support client (Intercom, Zendesk, Help Scout).
\n
• Votre cabinet comptable (s'il traite vos données).
\n

Avec qui PAS de DPA ?

\n
• Votre fournisseur d'accès à Internet (il n'est pas sous-traitant).
\n
• Votre opérateur téléphonique.
\n
• Votre prestataire de paiement (la banque est un « responsable tiers », pas un sous-traitant).
\n

Contenu d'un DPA

La plupart des grands fournisseurs proposent un DPA pré-rédigé en ligne. Téléchargez-le et signez-le électroniquement. Il doit couvrir :

\n
• La finalité et la durée du traitement.
\n
• Les catégories de données et de personnes concernées.
\n
• Les mesures de sécurité du fournisseur.
\n
• Les sous-traitants ultérieurs (quelle région AWS, quels tiers).
\n
• L'obligation de notification en cas d'incident.
\n
• L'assistance pour l'exercice des droits des personnes concernées.
\n

Archivage

Regroupez tous vos DPA dans un seul dossier, avec la date de signature et le numéro de version. En cas de changement de fournisseur : établissez un DPA avec le nouveau, et conservez l'ancien dans vos archives pour la durée de rétention applicable.

Voir aussi : pilier RGPD, sous-traitants hors UE.