Des notes plus intelligentes avec HappyScribe
Essai gratuit →

Un accord de traitement des données (DPA) est le contrat qui encadre la manière dont un prestataire traite des données personnelles pour votre compte.

Avant de signer avec un prestataire, renseignez-vous sur :

  • la localisation du stockage des données
  • les sous-traitants ultérieurs
  • les délais de notification en cas de violation de données
  • les pratiques d'entraînement de l'IA
  • les droits d'audit, et
  • les procédures de suppression.

Les exigences diffèrent entre le RGPD, le RGPD britannique (UK GDPR) et les lois des États américains sur la protection de la vie privée, et chaque juridiction impose un langage contractuel spécifique.

Cet article est fourni à titre purement informatif et ne constitue pas un avis juridique. Les organisations doivent consulter un conseil juridique qualifié pour obtenir des recommandations propres à leur juridiction en matière d'accords de traitement des données et de conformité au droit de la protection des données.

Pourquoi le DPA de votre prestataire est à la fois un document de conformité et un signal de risque

Signer un contrat avec un éditeur de logiciels n'a rien d'inhabituel. Mais téléverser des enregistrements, partager des données clients ou connecter un assistant IA de réunion à votre agenda, ce n'est pas le même niveau d'enjeu.

D'un point de vue juridique, dès que des données personnelles passent chez un sous-traitant tiers, vous restez responsable de ce qu'il en advient.

C'est le principe au cœur des exigences en matière de DPA : le responsable du traitement (l'organisation qui détermine la finalité et les moyens du traitement) demeure responsable du comportement du sous-traitant.

En Europe

En vertu de l'article 28 du RGPD, cette responsabilité est structurelle. Un DPA bien rédigé documente le fait que la relation a été correctement encadrée. Un DPA mal rédigé, ou son absence, laisse cette responsabilité sans attribution.

Les chiffres des sanctions rendent le risque concret. Selon l'enquête DLA Piper GDPR Fines and Data Breach Survey (janvier 2026), le cumul des amendes RGPD depuis mai 2018 atteint 7,1 milliards d'euros, dont environ 1,2 milliard d'euros infligé rien qu'en 2025.

La même enquête relève une hausse de 22 % des notifications de violation en un an, de 363 à 443 par jour — la première fois que la moyenne quotidienne dépasse les 400 depuis l'entrée en vigueur du RGPD.

Aux États-Unis

Aux États-Unis, les sanctions prévues par le CCPA/CPRA peuvent atteindre 7 988 dollars par violation intentionnelle, selon les seuils indexés sur l'inflation fixés par la CPPA.

Les organisations américaines partent souvent du principe que le DPA est une exigence européenne. Ce n'est pas le cas.

Le CCPA/CPRA impose des contrats écrits de prestataire de services qui interdisent expressément de vendre les données, de les divulguer à des tiers ou de les combiner avec des informations personnelles que le prestataire a collectées de son côté

Le Colorado, la Virginie, le Connecticut et d'autres États dotés de lois actives sur la protection de la vie privée exigent des accords similaires. Le terme juridique varie ; la substance est la même.

Avant toute question : identifiez le type de relation de traitement dans laquelle vous vous trouvez

Dans une relation responsable du traitement–sous-traitant, vous déterminez la finalité et les moyens du traitement, et le prestataire agit selon vos instructions. Un DPA standard conforme à l'article 28 du RGPD encadre cette relation. C'est le schéma qui s'applique à la plupart des outils SaaS.

À l'inverse, dans une relation de responsable à responsable, le prestataire traite les données pour ses propres finalités, de manière indépendante. Si un prestataire développe des produits, réalise des analyses ou entraîne des modèles d'IA sur vos données, il peut agir en tant que responsable du traitement pour ces activités, même lorsqu'il agit simultanément comme sous-traitant pour d'autres.

Dans ce cas, un DPA standard de sous-traitance ne couvre pas les activités du prestataire en tant que responsable du traitement. Si le DPA ne distingue pas explicitement les deux rôles, l'accord souffre d'une faiblesse structurelle qu'aucune négociation sur les délais de notification ou la liste des sous-traitants ultérieurs ne pourra corriger.

Avant d'envoyer les questions ci-dessous, vérifiez : quel rôle joue ce prestataire, et le DPA reflète-t-il la relation réelle ?

Les questions à poser à votre prestataire, et à quoi ressemble une bonne réponse

Voici les critères pour évaluer si un DPA est réellement protecteur. La capacité d'un prestataire à y répondre rapidement et précisément révèle si l'infrastructure de conformité existe vraiment ou si elle a été assemblée après coup.

1. Où mes données sont-elles stockées et traitées ?

La localisation des données détermine quel cadre juridique s'applique à vos données et si des mécanismes de transfert international sont nécessaires.

Pour les organisations de l'UE et du Royaume-Uni, transférer des données vers un pays sans décision d'adéquation exige des clauses contractuelles types (CCT) pour les transferts depuis l'UE, ou l'UK International Data Transfer Agreement (UK IDTA) pour les transferts depuis le Royaume-Uni.

Les deux ne sont pas interchangeables.

📌 Une nuance essentielle : la localisation des serveurs et la juridiction de l'entité juridique sont deux choses différentes. Un prestataire dont le siège est aux États-Unis mais dont les centres de données se trouvent dans l'UE reste soumis au CLOUD Act américain, qui peut le contraindre à produire les données, où qu'elles se trouvent physiquement.

Demandez précisément si l'entité juridique du prestataire est immatriculée dans l'UE ou l'EEE, et pas seulement où se trouvent les serveurs.

Pour les prestataires américains, vérifiez si le prestataire participe au Data Privacy Framework UE–États-Unis, validé par le Tribunal de l'Union européenne en septembre 2025. Un pourvoi devant la CJUE (affaire C-703/25 P) reste pendant à la mi-2026 ; les organisations qui s'appuient sur le DPF devraient donc maintenir des CCT en garde-fou parallèle.

✅ Bon signe : Une entité immatriculée dans l'UE avec des centres de données exclusivement dans l'UE, ou un prestataire américain avec une certification DPF active et des CCT.

❌ Mauvais signe : Une « infrastructure mondiale » sans précision de juridiction, ou l'incapacité à confirmer le pays d'immatriculation de l'entité juridique.

2. Qui sont vos sous-traitants ultérieurs, et comment sont-ils encadrés ?

Les sous-traitants ultérieurs sont les tiers sur lesquels votre prestataire s'appuie pour fournir son service.

En vertu de l'article 28 du RGPD, ils doivent être soumis aux mêmes obligations de protection des données que le sous-traitant principal. Le CPRA impose lui aussi des exigences explicites de répercussion contractuelle.

Demandez si le prestataire tient une liste de sous-traitants ultérieurs à jour et accessible publiquement ; comment et quand les clients sont informés de l'ajout de nouveaux sous-traitants ; et de combien de temps les clients disposent pour s'y opposer.

✅ Bon signe : Une liste publique des sous-traitants ultérieurs avec abonnement aux notifications et un délai d'objection de 30 jours.

❌ Mauvais signe : Une pré-approbation globale de tous les sous-traitants actuels et futurs, sans obligation de notification.

3. Utiliserez-vous mes données pour entraîner des modèles d'IA ?

De nombreux fournisseurs d'IA se réservent le droit d'utiliser les données de leurs clients pour améliorer leurs modèles. Ce droit ne figure souvent pas dans le DPA : il se niche dans les conditions d'utilisation, sous une formulation aussi anodine que « pour améliorer nos services ».

La distinction est importante : une politique de confidentialité peut être modifiée unilatéralement. Une clause de DPA, non. Un paramètre produit n'est pas un contrat.

Demandez précisément si le DPA contient une interdiction contractuelle explicite d'utiliser le contenu des clients (enregistrements, transcriptions, comptes rendus) pour entraîner, affiner ou améliorer des modèles d'IA, et si cette interdiction s'applique par défaut ou exige un opt-out du client.

✅ Bon signe : Une interdiction contractuelle explicite et contraignante de l'entraînement de l'IA, sans aucune exception.

❌ Mauvais signe : Une interdiction d'entraînement qui n'existe que comme paramètre produit ; aucune mention de l'entraînement de l'IA dans le DPA.

4. Quelles certifications de sécurité détenez-vous, et pouvez-vous les documenter ?

L'article 32 du RGPD impose aux sous-traitants de mettre en œuvre des mesures techniques et organisationnelles (TOM) adaptées au risque.

Une formulation vague du type « pratiques de sécurité commercialement raisonnables » ne suffit pas : l'accord doit nommer des contrôles précis.

Les certifications sont le raccourci le plus fiable. Demandez un rapport SOC 2 Type II à jour (pas un Type I, ni un rapport de plus de 12 mois). Vérifiez que les normes de chiffrement sont précisées dans le DPA (AES-256 en transit et au repos).

✅ Bon signe : Un rapport SOC 2 Type II à jour disponible sous NDA ; des normes de chiffrement nommées dans le DPA.

❌ Mauvais signe : Des certifications mentionnées dans le marketing mais non documentables ; seul un rapport SOC 2 Type I est disponible.

5. Sous quel délai me notifierez-vous une violation de données ?

L'article 33 du RGPD impose aux responsables du traitement de notifier les autorités de contrôle dans les 72 heures après avoir pris connaissance d'une violation.

Comme ce compte à rebours démarre lorsque le responsable du traitement en est informé, un sous-traitant lent ampute directement la fenêtre de réaction du responsable. Le RGPD britannique applique la même règle.

Le DPA doit fixer un délai maximal de notification, et pas seulement qualifier la notification de « rapide » ou « sans retard injustifié ». Ces deux formules ont un sens juridique, mais restent floues sur le plan opérationnel.

✅ Bon signe : Le DPA prévoit une notification au plus tard 72 heures après la découverte, avec un contact d'escalade nommément désigné.

❌ Mauvais signe : « Rapidement » ou « sans retard injustifié » sans délai précis ; une définition étroite de la violation qui exclut des incidents qui compteraient pour vous.

6. Quels sont mes droits d'audit, et comment les exercer ?

L'article 28 du RGPD donne aux responsables du traitement le droit d'auditer leurs sous-traitants et d'accéder à toutes les informations nécessaires pour démontrer la conformité.

En pratique, le droit de demander un rapport SOC 2 Type II à jour est le mécanisme qui fonctionne réellement.

Demandez si le DPA accepte explicitement qu'un rapport d'audit tiers satisfasse cette obligation, s'il précise un délai de préavis (30 jours est la norme) et s'il étend un droit d'audit aux sous-traitants ultérieurs.

✅ Bon signe : Le SOC 2 Type II accepté comme satisfaction de l'obligation d'audit ; un préavis de 30 jours précisé ; un mécanisme de vérification de la conformité des sous-traitants ultérieurs.

❌ Mauvais signe : Un droit d'audit vague ; une page web publique citée comme réponse à l'obligation ; aucun mécanisme d'audit des sous-traitants ultérieurs.

7. Comment et quand mes données seront-elles supprimées ?

Le DPA doit préciser un calendrier de conservation, les événements qui déclenchent la suppression et si le prestataire fournit une certification écrite de suppression à la résiliation.

Demandez si la suppression couvre toutes les copies (y compris les sauvegardes et les copies chez les sous-traitants ultérieurs) et si des dérivés anonymisés sont conservés après la fin de la relation.

✅ Bon signe : Un calendrier de conservation défini ; une suppression sous 30 jours après la résiliation ; une certification écrite disponible ; un périmètre qui couvre les sauvegardes.

❌ Mauvais signe : Une conservation régie par la politique de confidentialité du prestataire plutôt que par le DPA ; aucune certification de suppression fournie.

8. Quelles juridictions votre DPA couvre-t-il ?

Un DPA rédigé pour la conformité au RGPD ne satisfait pas automatiquement les obligations du RGPD britannique.

Depuis le Brexit, le Royaume-Uni applique un régime distinct, et l'UK IDTA (et non les CCT de l'UE) est le mécanisme requis pour les transferts internationaux depuis le Royaume-Uni.

Pour les organisations américaines soumises au CCPA, le DPA doit explicitement interdire au prestataire de vendre, conserver ou divulguer des informations personnelles pour toute finalité autre que le service prévu au contrat.

✅ Bon signe : Le RGPD, le RGPD britannique et le CCPA/CPRA nommés explicitement ; l'UK IDTA inclus pour les transferts depuis le Royaume-Uni ; un avenant CCPA avec des interdictions spécifiques énumérées.

❌ Mauvais signe : Une clause fourre-tout sur les « lois applicables en matière de protection des données », sans mécanisme propre à chaque juridiction ; aucune mention du Royaume-Uni comme juridiction distincte.

Votre checklist DPA en un coup d'œil

Question Ce que le DPA doit préciser Bon signe Mauvais signe
Où les données sont-elles stockées et traitées ? Clause de localisation des données ; mécanisme de transfert international nommé Entité UE + serveurs UE, ou prestataire américain certifié DPF « Infrastructure mondiale » sans précision de juridiction
Qui sont les sous-traitants ultérieurs ? Liste des sous-traitants ultérieurs ; droits de notification et d'objection Liste publique avec abonnement aux mises à jour ; délai d'objection de 30 jours Pré-approbation globale ; aucune obligation de notification
Mes données servent-elles à entraîner des modèles d'IA ? Interdiction contractuelle explicite de l'entraînement de l'IA Interdiction contraignante dans le DPA, sans exception Simple opt-out ; interdiction limitée à un paramètre produit
Quelles certifications de sécurité s'appliquent ? TOM spécifiques ; mécanisme de documentation Rapport SOC 2 Type II à jour sous NDA ; ISO 27001 avec détails du certificat Certifications citées dans le marketing mais non documentables
Quelles sont les conditions de notification en cas de violation ? Délai précis, pas seulement « rapidement » 72 heures à compter de la découverte ; contact d'escalade nommé « Rapidement » sans délai défini
Quels sont mes droits d'audit ? Droit d'auditer ou de demander des rapports ; mécanisme d'exercice SOC 2 accepté comme satisfaction de l'audit ; préavis de 30 jours Droit d'audit vague ; page web publique citée comme réponse à l'obligation
Quand et comment mes données sont-elles supprimées ? Calendrier de conservation ; certification de suppression Suppression sous 30 jours après résiliation ; certification écrite ; sauvegardes couvertes Conservation régie par la politique de confidentialité ; aucune certification de suppression
Quelles juridictions sont couvertes ? RGPD, RGPD britannique et CCPA nommés explicitement, avec des mécanismes propres à chaque juridiction Tous les cadres pertinents nommés ; UK IDTA pour les transferts depuis le Royaume-Uni RGPD uniquement, avec une référence fourre-tout aux « lois applicables »

Que faire quand le DPA d'un prestataire n'est pas à la hauteur ?

Un DPA qui échoue à certains de ces critères ne disqualifie pas automatiquement le prestataire ; mais c'est un prestataire avec lequel vous devez négocier avant de signer.

Les clauses de DPA de niveau entreprise sont généralement négociables : les délais de notification des sous-traitants ultérieurs, les délais de suppression, le périmètre juridictionnel et la formulation de l'interdiction d'entraînement de l'IA sont couramment modifiés.

Si le contrat standard d'un prestataire ne comporte aucun DPA, demandez-en un explicitement dès l'onboarding. Les éditeurs SaaS américains le fournissent souvent, sur demande, sous forme d'avenant de traitement des données distinct.

Un prestataire incapable d'en produire un, ou qui traite la demande comme inhabituelle, signale que la conformité n'est pas ancrée dans son fonctionnement. C'est un risque prestataire significatif, indépendant de la qualité de son produit.

À quoi ressemble un DPA conforme en pratique

Les outils audio et les assistants IA de réunion posent le problème du DPA de façon plus aiguë que la plupart des catégories de logiciels.

Les enregistrements contiennent des voix, le contenu des réunions et des données de conversation : autant de données personnelles qui méritent un traitement rigoureux. Le DPA qui encadre cette relation doit refléter la sensibilité de ce qui est traité.

📌 Voici ce que cela donne concrètement chez HappyScribe :

Le centre de données de HappyScribe se trouve dans l'Union européenne. C'est une installation Tier IV, certifiée selon les normes PCI DSS et ISO 27001. Les serveurs sont physiquement séparés de ceux des autres locataires.

L'entreprise détient la certification SOC 2 Type II, dont les détails sont disponibles via son Trust Center. Le contrôle d'accès basé sur les rôles est disponible sur tous les comptes. Les employés signent un accord de confidentialité (NDA) comme condition d'embauche, ce qui limite l'accès interne au contenu des clients.

Enterprise-grade security. European infrastructure. Accurate AI transcription.
Commencer gratuitement

FAQ sur les accords de traitement des données

Quelle est la différence entre un accord de traitement des données et un accord de partage de données ?

Un DPA encadre une relation responsable du traitement–sous-traitant : le sous-traitant traite les données selon les instructions du responsable du traitement et ne peut pas les utiliser pour ses propres finalités.

À l'inverse, un accord de partage de données encadre une relation de responsable à responsable, où chaque partie détermine la finalité de manière indépendante. Si un prestataire fixe ses propres finalités pour vos données, un DPA seul ne suffit pas.

Les entreprises américaines ont-elles besoin d'un accord de traitement des données ?

Les entreprises américaines qui traitent des données personnelles de l'UE ou du Royaume-Uni ont besoin d'un DPA conforme au RGPD ou au RGPD britannique. Pour des opérations purement américaines, le CCPA/CPRA exige des contrats de prestataire de services interdisant au prestataire de vendre les informations personnelles ou de les divulguer au-delà de la finalité prévue au contrat.

Un même DPA peut-il couvrir à la fois les exigences du RGPD et du CCPA ?

Un seul document peut couvrir les deux, à condition que les exigences de chaque juridiction soient nommées explicitement. Beaucoup de DPA conformes au RGPD incluent un avenant CCPA couvrant les interdictions propres à la Californie. Le RGPD britannique exige une section distincte traitant des mécanismes de transfert propres au Royaume-Uni — l'UK IDTA plutôt que les CCT de l'UE, les deux régimes ayant divergé depuis le Brexit.

Que se passe-t-il si je signe un contrat avec un prestataire qui n'a pas de DPA ?

Sous le RGPD, procéder sans contrat de sous-traitance conforme viole l'article 28. Le responsable du traitement reste responsable du comportement du sous-traitant, et l'absence d'accord écrit rend la défense plus difficile en cas d'enquête d'une autorité de contrôle. Sous le CCPA, l'absence de contrat peut faire requalifier le transfert de données en vente d'informations personnelles, ce qui déclenche des obligations d'opt-out pour les consommateurs.

À quelle fréquence dois-je revoir le DPA d'un prestataire ?

Au minimum une fois par an et à chaque renouvellement de contrat. Les listes de sous-traitants ultérieurs changent, la réglementation évolue et les rapports SOC 2 Type II expirent tous les 12 mois. Programmez des rappels calés sur les dates de renouvellement de contrat plutôt que de traiter la revue du DPA comme une étape ponctuelle.

Un DPA doit-il traiter de l'entraînement des modèles d'IA ?

Les modèles types de l'article 28 du RGPD sont antérieurs à l'IA générative et n'incluent pas de clause sur l'entraînement par défaut. Si un prestataire utilise des données personnelles pour entraîner ou affiner des modèles d'IA, il s'agit d'une finalité de traitement secondaire qui exige sa propre base légale. Pour tout prestataire qui traite du contenu conversationnel ou audio, demander une interdiction contractuelle explicite est une position d'achat raisonnable et de plus en plus courante.

R Das
Écrit par

R Das

Rodoshi aide les marques SaaS à se développer grâce à un contenu performant qui génère des clics, convertit et grimpe dans les SERP et les moteurs de recherche. Elle passe ses journées à tester des outils, à décrypter les technologies et à transformer les données en récits captivants. En dehors du travail, elle troque les tableaux de bord contre des romans policiers et le jardinage pour se ressourcer.