# Qu'est-ce qu'un accord de traitement (DPA) ?

Source: https://contracko.com/fr/blog/qu-est-ce-qu-un-accord-de-traitement-des-donnees

[Blog](https://contracko.com/fr/blog)

[Qu'est-ce qu'un accord de traitement (DPA) ?](https://contracko.com/fr/blog/qu-est-ce-qu-un-accord-de-traitement-des-donnees)

# Qu'est-ce qu'un accord de traitement (DPA) ?

Budi Voogt 19 mai 2026

Copier pour LLM

Vous reconnaitrez sans doute la situation : un nouvel outil arrive, l'equipe l'adore, et quelque part dans le parcours d'inscription se trouve une case a cocher qui indique que vous acceptez les conditions de traitement des donnees. Vous la cochez, parce que c'est evidemment ce qu'on fait, et vous passez a autre chose. Des mois plus tard, quelqu'un au service juridique reclame "le DPA conclu avec ce prestataire" et personne ne sait vraiment ce qui a ete convenu ni ou se trouve le document. J'ai vu cela se produire dans des entreprises de toutes tailles, et ce n'est presque jamais de la negligence. C'est simplement que les DPA comptent parmi les documents les plus signes et les moins lus de toute entreprise.

Ce guide est la pour y remedier. Je vais vous expliquer ce qu'est reellement un accord de traitement des donnees, quand le RGPD en exige un, et quelles clauses portent le vrai poids, afin que la prochaine fois qu'on vous interrogera sur un DPA, vous puissiez repondre avec assurance plutot qu'avec un sentiment d'inquietude.

> Ceci constitue une orientation pratique, et non un avis juridique. Pour votre situation particuliere, adressez-vous a un professionnel qualifie en protection des donnees.

A la fin de ce guide, vous saurez :

- Comprendre ce qu'est un DPA et les roles de responsable de traitement et de sous-traitant qu'il formalise
- Savoir quand le RGPD vous oblige a en avoir un en place
- Reconnaitre les clauses qui comptent le plus quand vous lisez ou negociez un DPA
- Reperer les deux erreurs que je vois les entreprises commettre encore et encore
- Disposer d'une premiere etape simple pour tout DPA pose sur votre bureau des maintenant

## Ce qu'est reellement un DPA

Un accord de traitement des donnees (DPA), parfois appele avenant de traitement des donnees, est un contrat entre un responsable de traitement et un sous-traitant. Le responsable de traitement, c'est vous, l'entreprise qui decide pourquoi et comment les donnees personnelles sont traitees. Le sous-traitant est le prestataire qui traite ces donnees selon vos instructions. Le DPA fixe les regles entre vous : ce que le prestataire peut faire des donnees, comment il doit les proteger, et ce qui se passe en cas de probleme ou a la fin de la relation.

La facon la plus simple de se le representer, selon moi, c'est comme un ensemble de garde-fous. Vous confiez des donnees personnelles (celles de vos clients, de vos salaries, de vos fournisseurs) a un tiers pour qu'il accomplisse une tache a votre place. Le DPA est la promesse ecrite qu'il n'accomplira que cette tache, uniquement selon les modalites convenues, et qu'il restituera ou detruira les donnees une fois le travail termine.

Sous le RGPD, ce n'est pas un simple plus. L'article 28 impose un contrat ecrit des qu'un sous-traitant traite des donnees personnelles pour le compte d'un responsable de traitement. Sans contrat, les deux parties sont exposees : le responsable de traitement pour ne pas avoir correctement encadre son sous-traitant, et le sous-traitant pour avoir traite des donnees sans instruction licite. Le DPA protege donc tout le monde, ce qui explique en partie pourquoi les regulateurs prennent son absence tres au serieux.

### Responsable de traitement ou sous-traitant : pourquoi les roles comptent

Tout l'accord repose sur la question de savoir qui decide de ce qui arrive aux donnees. Si votre prestataire agit uniquement selon vos instructions, c'est un sous-traitant et vous avez besoin d'un DPA. Si le prestataire decide, pour ses propres finalites, de ce qu'il fait des donnees, alors c'est lui-meme un responsable de traitement et la relation obeit a d'autres regles. Bien etablir cette distinction des le depart evite beaucoup de confusion par la suite, car elle determine a qui incombent quelles obligations.

Dans la pratique, la plupart des arrangements du type "le prestataire fait quelque chose de nos donnees pour que nous puissions faire tourner notre activite" sont des relations entre responsable de traitement et sous-traitant, et c'est la que le DPA joue son role. Si vous gerez la conformite a travers un ensemble de prestataires, nos notes pour le [cas d'usage du responsable conformite](https://contracko.com/usecases/compliance-officer) detaillent comment ces roles s'articulent au quotidien.

## Quand vous en avez besoin

Vous avez besoin d'un DPA des qu'une autre organisation traite des donnees personnelles pour votre compte. Les declencheurs courants sont plus faciles a reconnaitre que les definitions juridiques, voici donc ou ils apparaissent generalement :

- Les outils SaaS qui stockent des donnees de clients ou de salaries, comme votre CRM, votre service d'assistance, votre SIRH ou votre plateforme d'analyse
- Les fournisseurs d'infrastructure et d'hebergement cloud
- Les services de paiement, de paie et de comptabilite
- Les plateformes marketing et les services d'envoi d'e-mails
- Tout prestataire ou agence traitant les donnees personnelles de vos clients ou de votre personnel

Le schema est simple une fois qu'on le voit. Si un prestataire touche a des donnees personnelles pour votre compte, vous avez presque certainement besoin d'un DPA avec lui. Vu le nombre d'outils sur lesquels une equipe moderne s'appuie, cela s'accumule vite, ce qui explique en partie pourquoi les obligations liees aux DPA se repandent dans une entreprise avant que quiconque ne s'en apercoive. Si vous gerez specifiquement des prestataires logiciels, l'approche de [gestion des contrats SaaS](https://contracko.com/usecases/saas-contract-management) se marie naturellement avec la bonne tenue des DPA.

## Les clauses qui comptent

Un DPA peut s'etaler sur plusieurs pages, et la plupart de ces pages sont des formulations standard qui changent rarement. Une poignee de dispositions, en revanche, portent l'essentiel du poids, et ce sont celles que je lis en premier des qu'un DPA arrive entre mes mains.

| Clause | Ce qu'elle encadre | Pourquoi elle compte |
| --- | --- | --- |
| Objet et duree | Ce qui est traite, pourquoi, pour combien de temps, et quelles categories de donnees et de personnes concernees sont impliquees | Definit le perimetre de tout le reste ; si elle est vague, le reste est difficile a faire respecter |
| Traitement sur instructions documentees | Le sous-traitant agit selon vos instructions, non de sa propre initiative | Maintient le prestataire a l'interieur des garde-fous que vous avez fixes |
| Mesures de securite | Mesures techniques et organisationnelles appropriees, comme le chiffrement et le controle d'acces | C'est la que les violations sont evitees ou favorisees |
| Confidentialite | Toute personne ayant acces est tenue de garder les donnees confidentielles | Etend votre protection jusqu'a chaque membre du personnel |
| Sous-traitants ulterieurs | Si, et comment, le prestataire fait appel a ses propres sous-traitants ulterieurs, et votre droit d'en etre informe et de vous y opposer | De nouvelles parties peuvent discretement rejoindre la chaine qui traite vos donnees |
| Assistance | Le sous-traitant vous aide a repondre aux demandes des personnes concernees et a remplir vos obligations | Vous restez en mesure d'honorer les demandes d'exercice de droits dans les delais |
| Notification des violations | Le sous-traitant vous informe, sans retard injustifie, lorsqu'une violation survient | Votre propre delai de declaration depend souvent du sien |
| Suppression ou restitution | A la fin du contrat, les donnees sont supprimees ou restituees sur votre instruction | Evite que des donnees subsistent quelque part hors de votre controle |
| Audits | Vous pouvez verifier la conformite par des audits, des inspections ou des preuves | Transforme les promesses ci-dessus en quelque chose de verifiable |
| Transferts internationaux | Si les donnees quittent l'EEE, un mecanisme de transfert valable est en place | Un mecanisme absent ou perime rend le transfert illicite |

Si vous ne lisez rien d'autre, lisez attentivement les clauses de securite, de sous-traitance ulterieure, de notification des violations et de transferts internationaux. D'apres mon experience, ces quatre clauses sont celles ou les modeles des prestataires different le plus, et ou une faiblesse discrete peut vous couter cher plus tard. Lorsque vous soumettez un DPA a un outil comme l'[analyse de contrats par IA](https://contracko.com/features/ai-contract-analysis), ce sont precisement les dispositions a faire ressortir en priorite.

### Une note sur les transferts internationaux

De toutes les clauses, celle-ci semble la moins stabilisee. La base juridique permettant de transferer des donnees personnelles au-dela des frontieres a evolue plus d'une fois ces dernieres annees, et un DPA qui arrimait la conformite a un mecanisme precis peut devenir caduc sans que personne n'en modifie un seul mot. Si votre prestataire traite des donnees hors de l'EEE, verifiez que le mecanisme de transfert sur lequel il s'appuie (souvent les clauses contractuelles types) couvre toujours vos flux de donnees reels. Garder cela sous surveillance releve d'une bonne hygiene plus large en matiere de [logiciel de conformite RGPD](https://contracko.com/solutions/gdpr-compliance-software), plutot que d'une verification ponctuelle.

## Erreurs courantes

Deux defaillances reviennent bien plus souvent que toutes les autres, et toutes deux paraissent parfaitement comprehensibles sur le moment.

La premiere consiste a signer le DPA du prestataire sans le lire. Le modele arrive, il semble standard, et sous la pression des delais il est approuve. L'ennui, c'est que les modeles "standard" favorisent discretement la partie qui les a rediges, si bien que vous pouvez finir par accepter des conditions de securite faibles, de larges droits de sous-traitance ulterieure, ou un delai de notification des violations compte en semaines plutot qu'en jours. Quelques minutes de lecture epargnent bien des regrets.

La seconde consiste a signer une fois puis a oublier. Un DPA est une obligation vivante, et non une signature ponctuelle. Les sous-traitants ulterieurs changent, les regles de transfert evoluent, les revues annuelles arrivent a echeance, et rien de tout cela ne vous envoie de rappel. L'accord se degrade silencieusement pendant que chacun suppose qu'il est en ordre. Cela rejoint de pres les [risques de la gestion des contrats](https://contracko.com/blog/risks-in-contract-management) plus larges, qui surgissent des que les obligations survivent a l'attention qu'on leur porte.

Conserver chaque DPA aux cotes du contrat du prestataire auquel il se rattache, avec ses dates de revue et ses conditions de sous-traitance ulterieure suivies, c'est ce qui transforme un PDF classe en conformite reelle. C'est exactement ce pour quoi la [gestion des accords de traitement des donnees](https://contracko.com/solutions/data-processing-agreement-management) dans Contracko est concue, et elle repose sur un [referentiel de contrats](https://contracko.com/features/contract-repository) afin que le DPA et l'accord qu'il encadre ne se separent jamais.

## Une premiere etape rapide

Si vous avez un DPA sous les yeux des maintenant, le moyen le plus rapide de le comprendre est de le passer dans un [analyseur d'accord de partage de donnees](https://contracko.com/tools/data-sharing-agreement-review). Il fait ressortir en quelques secondes les conditions d'utilisation autorisee, les obligations de securite, les durees de conservation, les delais de notification des violations et les dispositions pertinentes au regard du RGPD, de sorte que vous savez ce que vous signez avant de signer. L'essai est gratuit, et il vous donne une lecture claire des clauses que j'ai signalees ci-dessus sans que vous ayez a parcourir chaque page vous-meme.

De la, l'etape suivante naturelle consiste a maintenir cette comprehension a jour plutot que de la laisser s'estomper. Le moyen le plus serein d'y parvenir, selon moi, est de donner un foyer a chaque DPA, d'en extraire les dates cles, et de laisser le systeme vous rappeler quand quelque chose requiert votre attention. C'est toute la difference entre un DPA qui vous protege et un DPA qui se contente de dormir dans un dossier.

Contracko est une plateforme hebergee dans l'UE, vos donnees restent chiffrees avec un acces base sur les roles, et les fournisseurs d'IA que nous utilisons n'entrainent pas leurs modeles sur vos contrats, si bien que lire et stocker des accords sensibles ne cree pas de nouvelle exposition en soi. Si vous souhaitez voir comment cela s'integre a votre ensemble d'outils, l'[apercu complet des solutions](https://contracko.com/solutions) est un bon point de depart, et un essai gratuit vous attend des que vous etes pret.

N'hesitez pas a nous contacter si vous avez des questions. Je lis chaque e-mail moi-meme, et c'est toujours avec plaisir que je vous aide a y voir clair dans un DPA epineux.

## Lancez-vous avec Contracko

Débarrassez-vous des tracas de la gestion des contrats et des abonnements. Contracko vous permet de rester organisé, ponctuel et maître de la situation. Commencez à simplifier dès aujourd'hui.

[Démarrer l'essai gratuit de 7 jours](https://app.contracko.com/register)

Réserver une démo