BAUR, Manon. Data processing Agreement : un outil clé pour encadrer et sécuriser la sous-traitance de données personnelles en pratique, 7 octobre 2025 in : www.swissprivacy.law/377 [en ligne] [Consulté le 22.10.2025]
WEBER, Claudia (Dir.). Guide pratique du data processing agreement : des solutions communes pour les acheteurs et prestataires de services IT. Bruxelles : Larcier, 2000. [Consulté le 28.05.2025]
Dans le cadre d’une prestation de service, quand un responsable du traitement travaille avec un fournisseur (un sous-traitant) qui traitera des données à caractère personnel, il est obligatoire de conclure un Data Processing Agreement, c’est-à-dire un « Accord de traitement de données ».
Ce document est en général conclu parallèlement à un contrat informatique et parfois en constitue une annexe. Il accompagne ainsi le contrat cadre qui définit les conditions générales de la sous-traitance, ainsi que d’autres contrats tels que le contrat cloud qui régit les conditions d’utilisation, et le Service Level Agreement qui fixe les engagements en matière de performance et de disponibilité du service.
Parfois le DPA est également directement intégré aux conditions générales du sous-traitant.
Le sous-traitant peut mettre ce document à disposition sur son site internet ou le transmettre sur demande
Le DPA est un document conçu pour contraindre légalement un fournisseur tiers à adhérer à une législation spécifique sur la protection des données lors du traitement de données personnelles.
Il s’agit d’une obligation prévue à l’art 28 RGPD, qui prévoit que le contrat doit contenir au moins les mentions suivantes :
En droit suisse actuel (Loi sur la protection des données, LPD), les rapports avec un sous-traitant doivent être également formalisés dans un contrat écrit (art. 9, al 1 LPD). Son contenu ne dépend toutefois pas d’un cadre légal mais il est établi par la pratique et contient :
Au moment des négociations contractuelles, il faut demander au sous-traitant s'il a déjà un DPA qu’il utilise avec les co-contractants. Si c’est le cas, le fournir au DPO pour relecture et validation, puis le signer, attendre l’exemplaire signé en retour et fournir à DPO une copie pour archivage.
Si l’entreprise n’a pas de DPA, un modèle pré-rempli est disponible sur demande à DPO. Le proposer à l’entreprise pour signature, le contre-signer puis le fournir à DPO pour archivage.
DPO ne signe pas le contrat, mais vérifie sa conformité à la réglementation et propose des modifications si besoin. Il est chargé d’archiver le document, à des fins de compliance.
Le DPA doit être signé par des personnes habilitées à représenter chaque partie impliquée dans le traitement des données, cela garantit que le contrat est juridiquement contraignant et que toutes les parties comprennent leurs responsabilités.
Points d’attention
La signature d’un DPA est obligatoire chaque fois qu’un sous-traitant traite des informations au nom du responsable du traitement.
Le recours à un sous-traitant ne décharge pas le responsable du traitement de ses obligations, ni de sa responsabilité en matière de traitement de données.
Le fait de recourir à un sous-traitant sans base contractuelle constitue une violation de son devoir de diligence, passible d’une amende pouvant atteindre CHF 250 000 (art. 61 let. b LPD)