Un DPA (Data Processing Agreement), en français accord — ou contrat — de traitement des données, est le document contractuel exigé par l’article 28 du RGPD dès qu’un responsable de traitement confie le traitement de données personnelles à un sous-traitant (par exemple un éditeur de logiciel SaaS, un hébergeur ou un prestataire).
Le DPA encadre juridiquement cette relation. L’article 28.3 impose qu’il précise l’objet, la durée, la nature et la finalité du traitement, le type de données et les catégories de personnes concernées, ainsi que les obligations des parties. Le sous-traitant s’engage notamment à ne traiter les données que sur instruction documentée du responsable, à garantir la confidentialité, à mettre en œuvre des mesures de sécurité (article 32), à n’avoir recours à un sous-traitant ultérieur qu’avec autorisation, à assister le responsable pour les droits des personnes et à supprimer ou restituer les données en fin de prestation.
En pratique, tout fournisseur de service numérique sérieux met un DPA à la disposition de ses clients : c’est une pièce maîtresse de la conformité et un point de vigilance lors du choix d’un outil. Il formalise la chaîne de responsabilité entre le donneur d’ordre et son prestataire, et va de pair avec la désignation éventuelle d’un délégué à la protection des données (DPO).