DPA (accord de traitement des données)

Lorsque votre entreprise confie des données de clients à un tiers (un service cloud, une plateforme d’envoi d’e-mails, un assistant IA), le RGPD impose un contrat écrit précisant ce que ce tiers est autorisé à en faire. Ce contrat, c’est le Data Processing Agreement, ou DPA (en français : accord de traitement des données). Il fixe les points fondamentaux : le prestataire ne traite vos données que sur vos instructions, les sécurise, vous informe de toute violation et les supprime à la fin du contrat.

Un exemple concret : un artisan plombier souhaite que son assistant IA rédige des réponses incluant les noms et adresses de ses clients. Sur un compte grand public, il n’y a généralement pas de DPA, et l’artisan serait bien en peine de justifier la protection de ces données si un client ou la CNIL posait la question. Sur les offres business, des fournisseurs comme OpenAI, Anthropic et Google proposent un DPA à accepter, souvent en quelques clics lors de la configuration. Du côté français, Mistral AI (Le Chat Business) publie également un DPA conforme au droit européen, ce qui peut être un atout si la souveraineté des données vous importe.

La règle à retenir, sans s’alarmer : données réelles de clients + IA pointent presque toujours vers une offre business avec DPA. L’outil sélecteur de plan vous aide à identifier le niveau qui vous convient ; pour les conditions précises du DPA, consultez les pages légales ou de confiance du fournisseur.

Où vous rencontrerez ce terme

• Les pages légales et « trust » des fournisseurs IA : OpenAI, Anthropic, Google et Mistral publient leurs DPA respectifs
• Les paramètres de facturation ou d’administration des offres business et enterprise, où vous acceptez le DPA
• Votre propre checklist fournisseurs, si votre entreprise travaille déjà dans une logique de conformité RGPD

Termes associés

• Responsable du traitement →
• RGPD →
• Offre enterprise →
• Données personnelles →