Un Data Processing Agreement (DPA) conforme à l’article 28 RGPD doit être spécifique, opposable et auditable. Ce n’est pas une simple formalité. C’est un document contractuel qui engage votre prestataire sur la façon dont il traite, sécurise et restitue vos données. Mal rédigé, il peut devenir une faille béante en cas d’audit ou d’incident. Bien négocié, il protège votre organisation et clarifie les responsabilités.
Le piège ? De nombreuses clauses standard proposées par les prestataires sont soit trop vagues, soit trop favorables à leur propre intérêt. Dans cet article, nous passons en revue 12 clauses typiques à proscrire, les risques associés et les formulations plus équilibrées à privilégier.
Les 12 pièges à éviter dans un DPA
Pour chaque clause piège, vous trouverez : le risque, ce qu’il faut proscrire, une formulation‑type plus sûre (à adapter), et un tip de preuve pour l’audit.
1. Sous‑traitance « libre » (sans préavis ni opposition)
Ici, on parle des prestataires auxquels votre fournisseur peut lui-même faire appel. Le danger, c’est la clause qui autorise une sous-traitance libre, sans vous demander votre accord.
Son risque ? Un tel texte vous ferait perdre toute visibilité sur la chaîne de traitement.
A proposer : Pour éviter cela, exigez une autorisation générale mais assortie d’un préavis de 30 jours et d’un droit d’opposition motivée, ainsi qu’une liste tenue à jour des sous-traitants.
La preuve attendue : un registre clair des sous-traitants ultérieurs et des notifications documentées.
2. Finalités et instructions
Chaque traitement doit être limité aux finalités que vous avez définies.
Une clause qui ouvre la porte à « toutes finalités nécessaires » est problématique : elle permet des usages non autorisés.
A proposer : Il faut au contraire borner les traitements aux instructions documentées consignées en annexe, et prévoir qu’un avenant écrit soit requis pour toute finalité nouvelle.
La preuve attendue est simple : une annexe versionnée, datée et horodatée des instructions.
3. Durée de conservation
La question ici est : combien de temps les données sont-elles gardées ?
Le risque : La formulation « tant que nécessaire » est à bannir, car elle entraîne une rétention excessive.
A proposer : Privilégiez une durée bornée (par exemple X mois après la fin du contrat), une purge programmée des sauvegardes et la remise d’une attestation d’effacement.
Les preuves attendues sont une politique de rétention validée et des journaux de purge.
4. Mesures de sécurité
Les obligations de sécurité (TOMs) doivent être décrites, pas simplement mentionnées.
Le risque : Une clause trop vague (« mesures appropriées ») est inopposable.
Préférez une annexe détaillée listant les contrôles : MFA, chiffrement au repos et en transit, journalisation, RTO/RPO, plan d’incident.
Les preuves attendues sont les annexes TOMs (Technical and Organisational Measures) complétées, accompagnées de rapports de tests de sécurité.
5. Notification de violation
Lorsqu’une violation de données personnelles survient, le prestataire doit prévenir vite.
Le risque : « Dans un délai raisonnable » est insuffisant, car le responsable de traitement n’a que 72 heures pour alerter l’autorité.
A proposer : Exigez donc une notification sous 24 heures maximum, incluant les informations minimales (nature, volume, mesures, contact).
Les preuves attendues : tickets d’incident, rapports post-mortem avec horodatages.
6. Droit d’audit
Vous devez pouvoir vérifier que le DPA est respecté. Se contenter d’un rapport annuel type SOC 2 ou ISO 27001 ne suffit pas.
Un droit d’audit doit être prévu une fois par an et en cas d’incident, avec possibilité de consulter preuves documentaires et, si nécessaire, de réaliser un audit sur site.
La preuve attendue est l’existence d’un plan d’audit, des preuves partagées et d’un plan de remédiation.
7. Responsabilité
Le sujet est délicat : comment plafonner la responsabilité ?
Les clauses qui limitent aux 12 derniers mois de redevances et excluent toute responsabilité RGPD sont à proscrire.
Une approche équilibrée : un plafond général (X fois les redevances), mais avec des carve-outs pour les violations graves du RGPD qui échappent à ce plafond.
La preuve attendue : une clause contractuelle claire et signée.
8. Transferts hors EEE
Dès qu’il y a transfert hors UE, il faut une base légale solide. Les formulations floues type « auto-certification » sont insuffisantes. Demandez l’utilisation des SCC 2021/914, complétées par une TIA et, si nécessaire, des mesures additionnelles (chiffrement côté client, pseudonymisation).
Les preuves attendues : annexes SCC signées, dossier TIA et cartographie des flux.
9. Réutilisation des données
Certains prestataires veulent utiliser vos données pour leurs statistiques ou l’amélioration produit. Une clause trop large ouvre la porte à des dérives.
Limitez-la : l’amélioration produit ne doit se faire que sur des données anonymisées ou avec un opt-in explicite de votre part.
La preuve attendue est double : paramétrage clair de l’opt-in et preuve que l’anonymisation est bien irréversible (et n'est donc pas une pseudonymisation).
10. Assistance aux droits
Le sous-traitant doit vous aider à répondre aux demandes RGPD des personnes (accès, effacement…).
Les clauses qui prévoient une facturation au temps passé, sans engagement de délai, sont à proscrire.
Exigez des SLA précis , par exemple: réponse sous 2 jours ouvrés, résolution sous 30 jours (durée légale), avec coûts inclus sauf abus manifeste.
Les preuves attendues sont les journaux des demandes d'exercice des droits et les accusés horodatés.
11. Réversibilité et effacement
À la fin du contrat, que deviennent les données ?
Une clause qui laisse le prestataire libre de ne rien supprimer n'est pas souhaitable.
Préférez une option claire : soit restitution des données dans un format ouvert, soit suppression complète, y compris des sauvegardes, avec remise d’une attestation d’effacement. Chez Leto, nous sommes partenaires de co-signataires de One Clause, qui encadre cela parfaitement.
La preuve attendue : ladite attestation et des journaux de purge.
12. Loi applicable et juridiction
Enfin, la question de la loi et des tribunaux compétents.
Certaines clauses imposent un droit hors UE, ce qui complexifie la défense et ouvre la porte aux injonctions extra-européennes.
Préférez la loi d’un État membre UE et un for lié au siège du client, ou à défaut un arbitrage en Europe.
La preuve attendue : une clause contractuelle cohérente et alignée avec les SCC.
Pour conclure
Un DPA n’est pas qu’un document administratif, c’est votre assurance-vie contractuelle. En écartant les clauses vagues ou déséquilibrées et en exigeant des alternatives concrètes, vous sécurisez vos relations avec vos prestataires et vous vous donnez les moyens de prouver votre conformité.
L'équipe Leto reste à votre disposition pour discuter en détail de ce type de clauses!
FAQ
Un DPA est-il obligatoire avec tous mes prestataires SaaS ?
Oui, dès qu’ils traitent des données personnelles pour votre compte.
Pourquoi demander une notification en 24h alors que le RGPD parle de 72h ?
Parce que ces 72h concernent votre obligation à vous, pas celle du prestataire. Avoir un délai plus court côté sous-traitant vous laisse le temps d’agir.
Puis-je refuser totalement la sous-traitance ultérieure ?
C’est possible, mais dans les faits très contraignant. Mieux vaut autoriser sous conditions (préavis, opposition, obligations équivalentes).
.png)
