DPA — Contrat de Traitement des Données : Obligations RGPD Art. 28 pour les Fournisseurs IA
Point clé : Le DPA (Data Processing Agreement, ou contrat de traitement des données) n'est pas une formalité administrative facultative — c'est un prérequis juridique obligatoire au titre de l'Art. 28 du RGPD pour toute relation dans laquelle un prestataire traite des données personnelles pour le compte d'une autre organisation. Tout fournisseur IA qui accède à des données personnelles doit le signer avant le début du traitement.
Qu'est-ce qu'un Contrat de Traitement des Données ?
Le contrat de traitement des données est le contrat imposé par l'Art. 28 du RGPD entre le responsable du traitement (l'organisation qui détermine les finalités et les moyens du traitement des données personnelles) et le sous-traitant (l'organisation qui traite ces données pour le compte du responsable). Le DPA définit la portée, la nature, la finalité et la durée du traitement ; précise les catégories de données personnelles et les personnes concernées ; et établit les obligations contraignantes de chaque partie.
Dans le contexte de l'acquisition de solutions IA en entreprise, le DPA est l'instrument juridique fondamental qui régit la manière dont un fournisseur IA gère les données de votre organisation. Sans DPA valide et conforme, le responsable du traitement est directement exposé à une action de la CNIL : l'absence d'accord conforme à l'Art. 28 constitue en elle-même une violation du RGPD, indépendamment d'éventuels problèmes dans la gestion concrète des données.
Pourquoi C'est Important
Les entreprises qui déploient des systèmes IA sans DPA signé assument une exposition réglementaire directe. En vertu de l'Art. 83(4) du RGPD, les violations des obligations de l'Art. 28 sont passibles d'amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. La CNIL — ainsi que ses homologues européennes — a prononcé des sanctions spécifiques pour des accords de traitement manquants ou non conformes.
Au-delà de l'exposition réglementaire, le DPA est le mécanisme contractuel par lequel le responsable du traitement exerce ses droits de supervision sur le sous-traitant. Sans lui, le responsable ne peut pas exiger du prestataire le respect de la minimisation des données, des droits d'audit, des obligations de sécurité ou des délais de notification des violations.
Contenu Obligatoire : Les Éléments Requis par l'Art. 28 du RGPD
Un DPA conforme à l'Art. 28 doit comprendre les éléments suivants :
Traitement uniquement sur instruction documentée. Le sous-traitant ne doit traiter les données personnelles que selon les instructions du responsable du traitement. C'est crucial pour les fournisseurs IA : le système IA ne doit pas utiliser les données du client pour entraîner, affiner ou améliorer le modèle sans autorisation explicite dans le DPA.
Obligations de confidentialité. Le personnel autorisé à traiter les données personnelles doit être soumis à des obligations de confidentialité contraignantes et exécutoires.
Mesures de sécurité techniques et organisationnelles. Le sous-traitant doit mettre en œuvre des mesures appropriées au titre de l'Art. 32 du RGPD : chiffrement, pseudonymisation, contrôles d'accès, continuité d'activité.
Contrôle des sous-traitants ultérieurs. Le sous-traitant ne peut pas faire appel à un autre sous-traitant sans l'autorisation écrite préalable du responsable du traitement. Cette obligation est particulièrement conséquente pour les fournisseurs IA — voir sous-traitant IA (Art. 28 RGPD) pour l'analyse complète de la chaîne Art. 28(2).
Assistance dans l'exercice des droits des personnes concernées. Le sous-traitant doit aider le responsable du traitement à répondre aux demandes d'accès, de rectification, d'effacement et de portabilité des personnes concernées.
Suppression ou restitution en fin de contrat. À l'expiration du contrat, le sous-traitant doit restituer ou supprimer toutes les données personnelles, sauf obligation de conservation prévue par le droit de l'UE ou d'un État membre.
Droits d'audit. Le responsable du traitement doit pouvoir vérifier la conformité du sous-traitant avec le DPA, directement ou par l'intermédiaire d'un auditeur tiers autorisé.
Mécanismes de transfert de données. Si le sous-traitant transfère des données personnelles en dehors de l'EEE, le DPA doit inclure ou faire référence à un mécanisme de transfert adéquat — Clauses Contractuelles Types (CCT), Règles d'Entreprise Contraignantes (BCR) ou transfert vers un pays bénéficiant d'une décision d'adéquation.
Clauses DPA Spécifiques à l'IA
Les modèles DPA commerciaux standard omettent fréquemment des dispositions essentielles lorsque le sous-traitant est un système IA ou utilise des composants IA :
Interdiction d'utilisation des données pour l'entraînement. Une interdiction explicite d'utiliser les données du responsable pour entraîner, affiner ou améliorer les modèles IA du fournisseur — sauf autorisation distincte. De nombreuses conditions générales standard des fournisseurs IA permettent l'amélioration du modèle à partir des données clients par défaut.
Résidence des outputs du modèle. Si les outputs IA (enregistrements scorés, recommandations) dérivent de données personnelles, ils constituent eux-mêmes des données personnelles traitées pour le compte du responsable. Le DPA doit également régir ces outputs.
Décisions automatisées. Lorsque le système IA contribue substantiellement à des décisions ayant des effets significatifs sur les individus, le DPA doit préciser comment le sous-traitant permet la révision humaine au titre de l'Art. 22 du RGPD.
Résidence des données. Si des exigences de résidence géographique des données s'appliquent, le DPA doit spécifier la portée géographique du traitement autorisé.
Knowlee et les Contrats de Traitement des Données
Knowlee agit en qualité de sous-traitant pour toutes les données clients traitées sur la plateforme. Un contrat de traitement conforme au RGPD est fourni en standard dans le cadre de l'accord commercial — et non sur demande. Le DPA couvre tous les éléments obligatoires de l'Art. 28, notamment l'interdiction explicite d'utiliser les données clients pour entraîner des modèles sans autorisation distincte, une liste des sous-traitants ultérieurs approuvés avec obligations de notification des modifications (voir sous-traitant IA), et des droits d'audit exerçables par le client ou son auditeur désigné.
L'isolation par tenant de la base de données Supabase garantit que les données personnelles d'un client ne sont pas accessibles dans l'environnement de traitement d'un autre — un contrôle technique qui renforce les obligations de confidentialité et de ségrégation des données du DPA. Le cadre ISO 42001-aligné et la conformité SOC 2 de Knowlee fournissent les mesures techniques et organisationnelles de l'Art. 32 qui sous-tendent les engagements de sécurité du DPA.