Aller au contenu principal
Conformité Guide pratique PME

Faire signer des DPA à vos sous-traitants

Vos sous-traitants traitant des données personnelles ont-ils signé un DPA (accord de traitement) ?

En bref — ce que vous devez retenir

Tout sous-traitant qui traite des données personnelles pour votre compte doit signer un accord de traitement (DPA — Data Processing Agreement). C'est une obligation RGPD et votre responsabilité en tant que responsable de traitement — même si c'est un grand prestataire comme Google ou Microsoft.

Glossaire

DPA

Data Processing Agreement

Accord de Traitement des Données

Contrat obligatoire entre vous et vos sous-traitants (hébergeurs, prestataires cloud…) qui précise comment ils traitent les données personnelles pour votre compte. Exigé par le RGPD.

? Nature du problème

L'article 28 du RGPD est formel : avant de confier des données personnelles à un sous-traitant (hébergeur, prestataire de paie, marketing automation, CRM...), vous devez signer un DPA qui définit les obligations du sous-traitant quant à la sécurité et la confidentialité des données.

En pratique, les grands prestataires (AWS, Microsoft, Google, Mailchimp) ont des DPA standards disponibles en ligne que vous pouvez accepter. Les prestataires locaux (comptable, agence web, prestataire RH) n'ont souvent pas de DPA — c'est à vous de leur en soumettre un.

Comment corriger — étape par étape

  1. Identifiez tous vos sous-traitants traitant des données personnelles pour votre compte
  2. Pour les grands prestataires (Microsoft, Google, AWS, Salesforce) : leur DPA est accessible en ligne — acceptez-le via leur portail
  3. Pour les prestataires locaux (agence web, comptable, RH externalisé) : envoyez leur un modèle de DPA adapté (modèle disponible sur cnil.fr ou via votre avocat)
  4. Conservez une copie signée de chaque DPA dans votre documentation RGPD
  5. Vérifiez que chaque DPA inclut au minimum : la description des traitements, les obligations de sécurité, l'interdiction de sous-traiter sans accord, la destruction des données en fin de contrat
  6. Mettez à jour les DPA si le sous-traitant change ses pratiques de traitement

! Incidents réels

Agence de communication — Bordeaux, 2022

Contrôle CNIL suite à une plainte. L'agence n'avait aucun DPA signé avec son hébergeur web ni avec son outil emailing (Mailchimp). Amende de 15 000 € pour manquement à l'article 28.

Responsable IT — PME industrie, Lyon, 2023

"Lors d'un audit RGPD interne, on a réalisé qu'on n'avait pas de DPA avec notre éditeur ERP qui hébergeait les données RH de nos 80 salariés. On lui a envoyé un modèle standard — il l'a signé en une semaine."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →