Aller au contenu
Satya Legal - Abogados especializados en startups y derecho tecnológico en España
Luis Soto Navarro
Par · Associé fondateur
Publié le
DPA y RGPD: contrato de encargado de tratamiento para startups

DPA & RGPD : qu'est-ce qu'un accord de sous-traitance de données et quand votre startup en a-t-elle besoin ?

Vous utilisez HubSpot, Brevo, Stripe, Google Workspace, Notion et d'autres outils. Tous traitent des données personnelles de vos clients ou employés. Avez-vous signé un accord avec chacun d'eux ? Si la réponse est non, vous êtes en infraction avec le RGPD depuis le premier jour. Cet article explique ce qu'est un DPA, quand vous en avez besoin, ce qu'il doit contenir et les erreurs les plus fréquentes des startups.

À retenir

  • Tout prestataire externe traitant des données personnelles pour votre compte est un Sous-traitant. Vous devez conclure un DPA avec lui — obligatoire selon l'art. 28 RGPD.
  • La plupart des SaaS proposent leur propre DPA — mais vous devez l'activer ou le signer et vérifier qu'il est conforme.
  • Les SaaS américains ajoutent une couche : les transferts internationaux de données. « Ils ont des serveurs en Irlande » ne suffit pas toujours.
  • L'absence de DPA expose à des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial (art. 83 RGPD).

Ai-je besoin d'un DPA avec mon prestataire ? Guide rapide

Situation Accord de sous-traitance nécessaire ?
Hébergement web (AWS, Google Cloud, Hetzner…) Normalement oui
CRM avec données clients (HubSpot, Salesforce…) Oui
Plateforme d'emailing (Brevo, Mailchimp…) Oui
Stripe ou autre passerelle de paiement Dépend du rôle assumé par le prestataire
Google Analytics / Meta Ads Vérifier la configuration et le rôle du prestataire
Notaire, banque ou conseiller externe agissant de façon autonome N'agit normalement pas comme sous-traitant

Qu'est-ce qu'un DPA et pourquoi le RGPD l'exige-t-il ?

L'article 28 du RGPD (Règlement (UE) 2016/679) impose que lorsqu'une organisation — le Responsable du traitement — confie à un tiers le traitement de données personnelles en son nom, elle doit conclure un contrat contraignant avec ce tiers : l'Accord de traitement des données (DPA), aussi appelé Accord de sous-traitance.

Exemple concret : Votre startup utilise Brevo pour envoyer des emails d'onboarding. Brevo accède aux noms et emails de vos utilisateurs pour les envoyer. Vous décidez quelles données sont envoyées et dans quel but : vous êtes le Responsable. Brevo exécute le traitement selon vos instructions : il est le Sous-traitant. Sans DPA signé, cette relation n'a aucune couverture légale au regard du RGPD.

Les 8 clauses obligatoires de tout DPA (art. 28.3 RGPD)

1. Traitement uniquement sur instruction documentée — Le sous-traitant ne peut traiter les données qu'aux fins que vous définissez (art. 28.3.a).

2. Confidentialité du personnel — Les personnes habilitées doivent être soumises à des obligations de confidentialité (art. 28.3.b).

3. Mesures de sécurité (art. 32 RGPD) — Chiffrement, pseudonymisation, résilience, etc. (art. 28.3.c).

4. Sous-traitants ultérieurs soumis à autorisation préalable — Autorisation générale ou spécifique requise (art. 28.3.d et 28.4).

5. Assistance pour les droits des personnes concernées — Accès, effacement, portabilité (art. 28.3.e).

6. Assistance pour les obligations de sécurité — Violations de données, AIPD (art. 28.3.f).

7. Restitution ou suppression des données à l'issue du contrat — Art. 28.3.g.

8. Droits d'audit — Audits directs ou certifications équivalentes (ISO 27001, SOC 2) si convenu dans le DPA (art. 28.3.h).

Transferts internationaux : le risque des SaaS américains

Lorsque des données de vos utilisateurs européens sont transférées vers des serveurs américains (ou accessibles depuis les États-Unis), il s'agit d'un transfert international soumis aux arts. 44-49 RGPD. Tous les transferts ne nécessitent pas automatiquement des CCT — vérifiez dans cet ordre :

  1. Vérifier l'existence d'une décision d'adéquation (art. 45 RGPD) : des pays comme la Suisse, le Japon, le Canada ou le Royaume-Uni sont reconnus adéquats. Il n'existe pas de décision d'adéquation générale pour les États-Unis.
  2. EU-US Data Privacy Framework (DPF) — Décision (UE) 2023/1795 : si le prestataire américain est certifié DPF, les transferts sont licites sans CCT supplémentaires. Attention : la validité du DPF reste soumise à des risques juridiques et politiques.
  3. Clauses Contractuelles Types (CCT) — Décision (UE) 2021/914 : à défaut des mécanismes précédents, les CCT sont l'instrument le plus courant, accompagnées d'une évaluation de l'impact du transfert (TIA).

Questions fréquentes sur le DPA et le RGPD

Ai-je besoin d'un DPA même si je n'ai que 10 clients ?

Oui. Le RGPD ne prévoit pas de seuils de volume pour l'obligation de l'art. 28. Dès qu'un tiers traite des données personnelles pour votre compte — même pour quelques utilisateurs — vous avez besoin d'un DPA.

Quelle est la différence entre un DPA et les clauses contractuelles types (CCT) ?

Le DPA régit la relation Responsable-Sous-traitant au sein de l'UE (art. 28 RGPD). Les CCT sont le mécanisme pour légaliser le transfert international de ces données vers des pays sans décision d'adéquation (art. 46.2.c RGPD). Beaucoup de DPAs avec des fournisseurs américains intègrent les deux.

Puis-je utiliser le DPA standard du prestataire ?

Pour les grands SaaS (Google, Microsoft, HubSpot, Stripe), le DPA standard est juridiquement valide et pratiquement non négociable. Pour des prestataires plus petits ou des traitements sensibles, un DPA personnalisé est recommandé.

Que faire si mon prestataire refuse de signer un DPA ?

Vous ne devriez pas utiliser ce service pour traiter des données personnelles de vos utilisateurs. L'utilisation sans DPA est une infraction à l'art. 28 RGPD dont vous êtes responsable en tant que Responsable du traitement.

À quelle fréquence dois-je revoir mes DPAs ?

Au moins une fois par an, et à chaque fois que vous ajoutez un nouveau prestataire, qu'un prestataire modifie ses conditions, que la réglementation évolue ou que vous introduisez de nouvelles catégories de données ou finalités de traitement.