data processing contract définition
Fondamentaux RGPD

RGPD : qu’est-ce qu’un Data Processing Contract (DPC/DPA) ?

Confier vos données à un partenaire est un acte de confiance qui exige un cadre solide. Le Data Processing Contract (DPC, ou DPA) est l’outil idéal pour sécuriser vos collaborations. Découvrez comment le maîtriser pour protéger votre activité, vous conformer au RGPD et rassurer vos clients, usagers, patients.

Ce qu’il faut retenir

  • Un Data Processing Contract (DPC) est un accord de traitement des données établi entre un responsable de traitement et un sous-traitant.
  • Il définit les obligations du sous-traitant afin de garantir la conformité RGPD et la protection des droits des personnes.
  • Il protège ainsi vos données, les droits des personnes concernées et limite les risques juridiques.
  • Il est rendu obligatoire par l’article 28 du RGPD (Règlement Général sur la Protection des Données)

Le cabinet de conseil RGPD Lexagone vous permet de sécuriser vos partenariats grâce à une expertise juridique pointue. Nous simplifions votre mise en conformité RGPD avec des outils sur-mesure et un accompagnement humain.

PARLER À UN EXPERT

Qu’est-ce qu’un Data Processing Contract (DPC/DPA) ?

data processing contract définition

Un DPC est un contrat encadrant juridiquement le traitement des données par un sous-traitant

Le Data Processing Contract (abrégé en DPC ou DPA, pour Data Processing Agreement) est un contrat de sous-traitance de données imposé par le RGPD. Il formalise les engagements entre un responsable de traitement et ses prestataires pour garantir une protection optimale des informations personnelles.

Il lie juridiquement deux acteurs clés :

  • Le responsable du traitement: l’entité (entreprise, établissement de santé, etc.) qui détermine pourquoi et comment les données sont utilisées.
  • Le sous-traitant des données: le prestataire qui traite ces données pour le compte du responsable (par exemple, un hébergeur cloud ou un éditeur de logiciel CRM).

Le cadre est fixé par l’article 28 du RGPD. Il précise que :

« Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. »

Quand-est-ce qu’un DPC est obligatoire ?

data processing contract obligatoire

La mise en place d’un DPC est obligatoire dès qu’un organisme confie un traitement de données personnelles à un sous-traitant

La signature d’un Data Processing Contract devient impérative dès qu’une structure confie tout ou partie d’un traitement de données personnelles à un prestataire tiers. Cette obligation s’applique peu importe la nature de l’opération, qu’il s’agisse d’un simple stockage ou d’une analyse.

Le critère déterminant réside dans l’accès aux données : si votre prestataire (expert-comptable, agence marketing, hôte cloud) manipule des informations identifiant des personnes, le contrat est requis. À l’inverse, si aucune donnée personnelle n’est traitée, le DPC n’est pas obligatoire.

Si vous traitez des données de santé, assurez-vous que votre partenaire dispose de la certification HDS. Dans ce cadre, le contrat de sous-traitance doit impérativement intégrer les spécificités liées à la protection des données sensibles, conformément au Code de la santé publique.

L’absence de contrat ou un contrat incomplet peut entraîner de lourdes sanctions de la part de la CNIL, en plus d’une atteinte à la réputation de la structure auprès de ses clients, patients ou partenaires.

Quels éléments inclure dans le contrat ?

contenu dpc dpa

Le contrat doit décrire le traitement, les obligations du sous-traitant et les droits du responsable de traitement

Un Data Processing Contract conforme précise les responsabilités de chaque partie. Bien rédigé, il limite les zones d’ombre et sécurise juridiquement la relation commerciale entre le donneur d’ordre et son prestataire.

Description du traitement de données personnelles

Il est crucial de détailler précisément le périmètre du service fourni. Le contrat doit ainsi préciser la nature des opérations (collecte, stockage, etc.), la finalité poursuivie, le type de données traitées (identifiants, données de santé, etc.) et les catégories de personnes (clients, salariés, etc.).

Obligations du sous-traitant

Le prestataire doit garantir la sécurité et la confidentialité des informations traitées. Conformément à l’article 28.3.f du RGPD, le DPA doit stipuler que le sous-traitant aide le responsable de traitement à garantir le respect de ses obligations.

Cela inclut notamment l’obligation de notification de violation des données : selon l’article 33.2, le sous-traitant doit alerter le responsable de traitement dans les meilleurs délais après en avoir pris connaissance (voir notre guide sur l’article 33 du RGPD). Le contrat doit également encadrer strictement le recours à des sous-traitants ultérieurs (accord préalable écrit) et définir les mesures techniques et organisationnelles pour assurer un niveau de sécurité optimal.

Droits et instructions du responsable de traitement

Dans tous les cas, le responsable de traitement garde la maîtrise des données. Le contrat doit ainsi stipuler que le prestataire agit uniquement selon ses instructions. Il est également essentiel d’inclure une clause d’audit pour vérifier la conformité réelle et prévoir le sort des données (restitution ou destruction) en fin de contrat.

Vous avez besoin d’un regard expert sur vos contrats ? Un audit RGPD vous permet d’identifier les risques associés à vos traitements de données personnelles, de s’assurer de la conformité de votre contrat de sous-traitance des données et de renforcer durablement votre sécurité numérique. Vous pouvez également choisir un DPO externe chez Lexagone et bénéficier d’un accompagnement personnalisé.

PARLER À UN EXPERT

FAQ : vos questions fréquentes

Quelle différence entre un DPC/DPA et un DSA (Data Sharing Agreement) ?

Le DPC ou DPA encadre une relation de sous-traitance : le prestataire agit exclusivement sous vos ordres et pour votre compte. À l’inverse, le DSA (Data Sharing Agreement) intervient dans deux scénarios distincts :

  • L’échange entre responsables de traitement indépendants: deux entités s’échangent des données pour leurs propres finalités, sans lien de subordination (exemple : un partenariat commercial entre une banque et un assureur).
  • La coresponsabilité (article 26 du RGPD) : deux organismes déterminent conjointement les finalités et les moyens d’un traitement (exemple : une maison-mère et sa filiale utilisent un outil de recrutement commun).

Est-il obligatoire de signer un DPA ou DPC ?

Oui, c’est une obligation légale imposée par l’article 28 du RGPD, l’absence de contrat écrit et signé constitue donc une infraction en soi. En cas de contrôle, ce document est la première preuve que vous exigez de vos partenaires un niveau de sécurité adéquat.

Qui est exempté de Data Processing Contract ?

Seules les prestations n’impliquant aucun accès à des données personnelles sont exemptées. Si un tiers n’a aucun contact technique ou physique avec vos fichiers (maintenance purement matérielle, par exemple), le contrat n’est pas requis. Cela est valable quelle que soit la taille de votre structure.

Auteur Julie FERLIN

Consultante RGPD, Julie capitalise plusieurs années d’expérience au sein du cabinet Lexagone, où elle accompagne des organisations variées — secteur médico-social, médical et privé — dans leur démarche de conformité, de l’audit initial à l’accompagnement opérationnel quotidien. Elle intervient également sur des missions ponctuelles à forte expertise, telles que les analyses d’impacts.

Plus d'articles de Julie FERLIN