En clair
Définition vulgarisée
Contrat entre une entreprise (responsable du traitement) et son sous-traitant (par ex : un éditeur SaaS) qui encadre la manière dont ce dernier traite les données personnelles confiées. Obligatoire dès qu'on confie des données à un tiers.
Pour aller plus loin
Détail technique
Acronyme de Data Processing Agreement, aussi appelé contrat de sous-traitance dans le RGPD (article 28) et la nLPD. Doit contenir : (1) objet et durée du traitement, (2) nature et finalité, (3) types de données et catégories de personnes, (4) obligations du sous-traitant (sécurité, confidentialité, sous-sous-traitance, audit, suppression). Tous les SaaS sérieux publient un DPA-type à signer (Google Workspace, Microsoft 365, Stripe, Mailchimp, AWS, Anthropic, OpenAI, etc.). Refus de signer un DPA = ne pas utiliser le service.
Exemple concret
Cas business
Une PME utilise Mailchimp pour ses newsletters. Elle signe le DPA Mailchimp en ligne, le stocke dans son registre des traitements, et documente Mailchimp comme sous-traitant avec hébergement US (donc avec clauses contractuelles types pour transfert hors UE/CH).
Piège à éviter
Erreur fréquente
Les DPA des fournisseurs US (Cloud Act) ne suffisent plus pour la nLPD/RGPD seuls : il faut combiner avec des Standard Contractual Clauses (SCC) et une analyse d'impact.
Besoin d'un avis concret sur DPA pour votre PME ?
On a déployé DPA en interne avant de le proposer à nos clients. Discutons de votre cas en 30 minutes.