DPA : encadrez le traitement de vos données par vos prestataires

Un contrat de sous-traitance conforme au RGPD pour sécuriser vos données personnelles chez chaque prestataire.
Parler à un expert
LA DEFINITION

Qu'est-ce qu'un contrat de sous-traitance des données (DPA) ?

Le contrat de sous-traitance des données (Data Processing Agreement ou DPA) est un document imposé par le RGPD qui encadre la relation entre un responsable de traitement et tout prestataire qui accède à des données personnelles pour son compte. Hébergeur, CRM, agence marketing, développeur : dès qu'un tiers manipule des données personnelles, un DPA est obligatoire.

Son absence constitue une violation directe du RGPD, passible d'amendes pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial.

LA METHODE BOLD

Notre accompagnement

Un avocat ou une équipe dédiée vous accompagne sur chacun de ces sujets — en illimité dans l'abonnement, ou au forfait.

Cartographie des sous-traitants : identification de tous les prestataires ayant accès à des données personnelles et évaluation du niveau de risque.


Rédaction du DPA : clauses obligatoires (finalité, durée, catégories de données, droits des personnes, mesures de sécurité, sort des données en fin de contrat).


Transferts hors UE : mise en place des Clauses Contractuelles Types (CCT) ou vérification de la décision d'adéquation pour les transferts internationaux.


Audit et sous-traitance ultérieure : droit d'audit sur le prestataire, encadrement du recours à des sous-traitants de second rang.


Négociation avec les prestataires : revue et négociation des DPA standards imposés par les grands éditeurs (AWS, Google, Salesforce).


Mise à jour et conformité continue : révision des DPA en cas de changement de prestataire, d'évolution réglementaire ou de recommandation de la CNIL.

Notre Process

Les étapes de votre accompagnement

01

Qualification des Rôles

Élaboration des mesures techniques (chiffrement, anonymisation) et des procédures d'alerte en cas de violation de données.

02

Rédaction des Obligations Sécurité

Élaboration des mesures techniques (chiffrement, anonymisation) et des procédures d'alerte en cas de violation de données.

03

Cadrage de la "Cascade" (Sous-traitance ultérieure)

Définition des règles permettant au prestataire de faire appel à ses propres sous-traitants (Cloud, outils SaaS) tout en gardant le contrôle.

04

Droit d'Audit & Réversibilité

Mise en place des clauses permettant de vérifier la conformité du prestataire et d'organiser la récupération ou destruction des données en fin de contrat.

PRIX

Simple et transparent

Nous pensons que le droit et le conseil doivent rester accessibles, clairs et prévisibles

Contrathèque

Disponible
Modèle rédigé et mis à jour par nos avocats
Format word personnalisable
Adapté aux besoins  de démarrage
Télécharger gratuitement
Option la plus demandée

Abonnement illimité

Inclus
Facturé tous les mois
Rédaction et personnalisation illimitées
Conseils stratégiques illimités
Aide à la négociation illimitée
Gestion de vos actes / contrats signés
Accès à notre plateforme
Prendre rendez-vous

Opération Exceptionnelle

 Forfait
à définir
Rédaction et personnalisation  
Conseils stratégiques
Aide à la négociation
Tarif fixe
Demandez votre devis
Q&A

Questions fréquentes

Tout ce que vous devez savoir
Le DPA est-il obligatoire pour tous mes prestataires ?
Oui, dès que le prestataire a accès à des données personnelles (email, nom, IP) pour votre compte, qu'il soit hébergeur, agence marketing ou développeur.
Que se passe-t-il si les données sont hébergées hors d'Europe ?
Le DPA doit obligatoirement inclure des mécanismes de protection supplémentaires, comme les Clauses Contractuelles Types (CCT) de la Commission Européenne.
Mon prestataire peut-il utiliser mes données pour ses propres besoins ?
Non, sauf si le DPA l'autorise expressément. Le sous-traitant ne peut traiter les données que sur instruction documentée du responsable de traitement et uniquement pour la finalité prévue au contrat. Toute utilisation non autorisée le rend lui-même responsable de traitement, avec les obligations et sanctions qui en découlent.
C'est au client ou au prestataire de fournir le DPA ?
Souvent, le prestataire propose son propre DPA standard. Toutefois, le client (responsable de traitement) a l'obligation légale de s'assurer que ce contrat respecte le RGPD.
Quelle sanction si on n'a pas de DPA ?
L'absence de contrat écrit est une violation directe du RGPD. La CNIL peut prononcer des amendes allant jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial.
Que devient ma data quand je change de prestataire ?
Le DPA doit prévoir le sort des données en fin de contrat : restitution dans un format exploitable et/ou suppression définitive, avec un certificat de destruction. Sans cette clause, vous risquez de perdre l'accès à vos données ou de les voir conservées indéfiniment par l'ancien prestataire.
Avatar photoAvatar photoAvatar photo
Vous ne trouvez pas la réponse à votre question ?
Échangez avec notre équipe, nos experts se feront un plaisir de vous aider.
POUR ALLER PLUS LOIN

Expertises complémentaires

D'autres sujets juridiques souvent liés à cette expertise.

Nous contacter

Votre message a bien été envoyé !
Oops! Something went wrong while submitting the form.