2025 a été une année bien remplie 💜
Regarder le recap 2025
Regardez notre récap 2025 vidéo 💜
Découvrir
Produits
Clients
Ressources RH
Pourquoi Zola ?
Zola IA ✨
Se connecterDemander une démo
Produits
Clients
Articles RH
Outils RH
Notre équipe
Zola IA ✨
Se connecterDemander une démo
Pour recevoir gratuitement votre ressource :
Fiches pratiques
>
Données RH et RGPD
>
DPA : checklist et définition

DPA RGPD : comment sécuriser le contrat avec votre éditeur de logiciel RH ?

Sabrine Azougli
Mis à jour le
22/3/2026
Jérôme Vobmann
Mis à jour le
22
/
03
/
2026

Choisir un logiciel RH implique de confier des données sensibles (évaluations, formations, compétences, rémunérations) à un prestataire externe. Le Data Processing Agreement (DPA) est le contrat qui encadre cette relation et protège votre entreprise en cas de contrôle ou de violation de données. En 2025, la CNIL a prononcé 83 sanctions pour un montant cumulé de près de 487 millions d'euros, avec la sécurité des données personnelles parmi les premiers motifs de sanction.

Cet article détaille les clauses essentielles d'un DPA conforme à l'article 28 du RGPD et vous donne une méthode concrète pour évaluer la fiabilité de votre éditeur RH avant de signer. Vous y trouverez aussi une checklist prête à l'emploi pour ne rien oublier.

Pour bien comprendre le cadre global, consultez notre guide RGPD et RH qui pose les bases de la conformité en ressources humaines.

Qu'est-ce qu'un DPA et pourquoi est-il indispensable en RH ?

Le DPA (Data Processing Agreement) est le contrat imposé par l'article 28 du RGPD pour formaliser la relation entre un responsable de traitement (votre entreprise) et un sous-traitant (votre éditeur SIRH, TMS ou LMS). Ce document constitue le pilier de la conformité : il formalise les instructions du client et les obligations de sécurité du prestataire.

Concrètement, le DPA définit ce que l'éditeur a le droit de faire avec vos données, comment il les protège et ce qui se passe en cas de problème. Le contrat doit préciser l'objet, la durée, la nature et la finalité du traitement, ainsi que la nature des données concernées.

En contexte RH, les données traitées par un éditeur incluent souvent des informations particulièrement sensibles : identité des salariés, résultats d'entretiens annuels, historiques de formation, évaluations de compétences ou encore données de rémunération. Un DPA bien rédigé délimite précisément le périmètre de ces traitements et fixe les règles du jeu.

Sans DPA valide, votre entreprise et votre prestataire s'exposent à une co-responsabilité en cas de faille. Les sanctions pour non-conformité à l'article 28 peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.

Quelles clauses vérifier dans le DPA de votre éditeur RH ?

L'objet et les finalités du traitement sont-ils clairement définis ?

Le DPA doit décrire avec précision les traitements confiés au sous-traitant. Cela couvre les types de données personnelles concernées (noms, évaluations, parcours de formation), les catégories de personnes (salariés, managers, candidats) et la finalité de chaque traitement.

Le DPA ne doit pas être une simple annexe juridique générique : il doit refléter la réalité opérationnelle du traitement. Un éditeur qui propose un DPA copié-collé identique pour tous ses clients devrait éveiller votre vigilance.

Pensez aussi à relier cette description aux durées de conservation de vos données RH, qui doivent figurer explicitement dans le contrat.

Les mesures de sécurité techniques et organisationnelles sont-elles détaillées ?

L'article 32 du RGPD impose au sous-traitant de mettre en place des mesures adaptées au niveau de risque. Le sous-traitant doit mettre en oeuvre des mesures techniques et organisationnelles adaptées : pseudonymisation, chiffrement, tests réguliers de sécurité des systèmes.

Dans un DPA éditeur RH, vérifiez la présence de mentions concrètes sur :

  • Le chiffrement des données au repos et en transit (notre fiche sur le chiffrement des données RH détaille les bonnes pratiques)
  • La politique de gestion des accès et d'habilitation (voir nos bonnes pratiques de traçabilité)
  • La journalisation des actions sur les données
  • La fréquence des tests de sécurité et audits internes

Un éditeur certifié ISO 27001 apporte un niveau de garantie supplémentaire. Pour comprendre l'impact de cette certification, consultez notre article sur ISO 27001 chez un éditeur RH.

Où sont hébergées vos données RH ?

L'hébergement des données en Union européenne (idéalement en France) simplifie considérablement la conformité. Si vos données quittent l'UE, le DPA doit prévoir des mécanismes de protection spécifiques.

Le contrat doit spécifier les exigences relatives aux transferts vers des pays tiers à l'Union européenne, en tenant compte des dispositions du RGPD. Les clauses contractuelles types (CCT) adoptées par la Commission européenne constituent l'outil principal pour encadrer ces transferts.

Lors de votre évaluation, demandez explicitement à l'éditeur où sont localisés ses serveurs et ceux de ses propres sous-traitants techniques.

Comment sont gérés les sous-traitants ultérieurs ?

Votre éditeur RH peut lui-même recourir à d'autres prestataires pour le stockage, l'envoi d'e-mails ou l'hébergement. Le sous-traitant doit obtenir l'accord écrit préalable du responsable de traitement avant de faire appel à un autre sous-traitant, et imposer contractuellement les mêmes obligations de protection.

Le DPA doit donc préciser :

  • La liste des sous-traitants ultérieurs utilisés
  • Le mécanisme d'information en cas de changement (ajout ou remplacement)
  • Votre droit d'émettre une objection à un nouveau sous-traitant

Le sous-traitant initial reste pleinement responsable vis-à-vis du responsable de traitement, même en cas de manquement par le sous-traitant ultérieur. Ce point est souvent sous-estimé et mérite une attention particulière.

La notification des violations est-elle encadrée ?

En cas de violation de données, l'article 33 du RGPD impose une notification à la CNIL dans un délai de 72 heures. Le DPA doit prévoir que l'éditeur vous informe rapidement de tout incident afin que vous puissiez respecter ce délai.

Vérifiez que le contrat précise la procédure de notification, les informations transmises (nature de l'incident, données concernées, mesures prises) et le délai d'alerte garanti par le prestataire.

Le droit d'audit est-il prévu ?

Le sous-traitant doit mettre à disposition les informations nécessaires pour prouver sa conformité et permettre des audits. Cette clause est essentielle pour vérifier dans la durée que l'éditeur respecte ses engagements.

Le DPA doit prévoir la possibilité de réaliser un audit annuel, directement ou par un tiers indépendant. Certains éditeurs proposent aussi l'envoi régulier de questionnaires de sécurité ou de rapports d'audit, ce qui facilite le suivi sans mobiliser de ressources importantes.

Que prévoit le contrat en fin de prestation ?

La question de la réversibilité est souvent négligée. Pourtant, à la fin du contrat, l'éditeur doit vous proposer deux options : la restitution complète de vos données dans un format exploitable ou leur suppression définitive avec certificat.

Le DPA doit indiquer les délais de restitution, les formats disponibles et les conditions de suppression. Ce point est critique si vous envisagez de changer de logiciel RH : un éditeur qui ne facilite pas la récupération de vos données vous enferme dans une dépendance technique.

Quels risques en l'absence de DPA conforme ?

L'absence de DPA ou un DPA incomplet expose votre entreprise à plusieurs niveaux de risque.

Sur le plan juridique, une administration a déjà été sanctionnée par la CNIL pour ne pas avoir formalisé sa relation avec un prestataire informatique par un contrat conforme à l'article 28. L'absence de DPA est considérée comme une faute grave.

Sur le plan financier, les amendes peuvent aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. En 2025, la sécurité insuffisante des données personnelles figurait parmi les trois premiers motifs de sanction par la CNIL.

Sur le plan opérationnel, sans DPA clair, vous n'avez aucun levier contractuel pour exiger la suppression de données, imposer un audit ou obtenir des informations en cas de fuite. Votre registre des traitements RH sera aussi incomplet, ce qui aggrave votre exposition en cas de contrôle.

Comment évaluer la conformité RGPD d'un éditeur RH avant de signer ?

Avant de vous engager avec un éditeur, posez-vous les bonnes questions. Un prestataire conforme sera transparent sur ses pratiques et capable de fournir des preuves concrètes.

Commencez par demander le DPA en amont. Un éditeur sérieux le met à disposition dès la phase commerciale, pas uniquement après la signature. Analysez ensuite les points suivants :

L'éditeur dispose-t-il d'une certification de sécurité (ISO 27001, SOC 2) ? L'hébergement est-il localisé en France ou en UE ? La liste des sous-traitants ultérieurs est-elle accessible ? Le DPA prévoit-il explicitement un droit d'audit et une notification sous 72h ?

Comparez aussi les pratiques de l'éditeur avec vos obligations en matière de droits des salariés sur leurs données. L'éditeur doit être en mesure de vous aider à traiter les demandes d'accès, de rectification ou d'effacement.

Chez Zola, la sécurité des données RH est au coeur de notre approche. Nos données sont hébergées en Europe avec un chiffrement avancé et des audits réguliers. Chaque module (entretiens, formation, compétences, people review) fonctionne de manière indépendante, ce qui vous permet de n'activer que les briques dont vous avez besoin, sans compromettre la protection de vos données.

🟣 Sécurisez vos données RH avec Zola

Hébergement en France, chiffrement des données, gestion fine des accès, conformité RGPD native : Zola vous permet de piloter vos talents en toute sérénité, sans compromis sur la protection des données.

👉 Réserver une démo

Checklist DPA : les points essentiels à valider

Point de contrôle Ce qu'il faut vérifier
Clauses article 28 Finalités, durée, nature des données, catégories de personnes
Mesures de sécurité Chiffrement, gestion des accès, journalisation, tests réguliers
Hébergement Localisation UE/France, identification des data centers
Sous-traitants ultérieurs Liste à jour, mécanisme d'information, droit d'objection
Notification des violations Délai garanti (72h max), procédure détaillée
Droit d'audit Audit annuel, questionnaires de sécurité, rapports disponibles
Confidentialité Engagement du personnel, formations internes à la protection des données
Réversibilité Formats de restitution, délais, certificat de suppression
Durée de conservation Alignement avec votre politique interne et le référentiel CNIL
SLA et conformité continue Engagements de disponibilité, PIA, mises à jour sécurité

Le DPA ne devrait jamais être un document signé puis oublié dans un tiroir. Il mérite une relecture annuelle pour vérifier qu'il reste aligné avec l'évolution de vos traitements, de votre organisation et du cadre réglementaire. En intégrant cette vérification dans votre gouvernance RH, vous transformez une obligation juridique en véritable levier de confiance avec votre éditeur et vos équipes.

Pour aller plus loin, explorez nos ressources sur le choix entre SIRH open source et SaaS et la comparaison objective des outils d'entretiens.

FAQ

Quelle différence entre un DPA et un NDA ?

Le DPA encadre le traitement des données personnelles conformément au RGPD. Il définit les obligations du sous-traitant en matière de sécurité, de confidentialité et de conformité. Le NDA (accord de non-divulgation) protège des informations confidentielles échangées entre deux parties. Il ne couvre pas les exigences légales liées aux données personnelles. Les deux documents sont complémentaires mais remplissent des fonctions distinctes.

Le DPA doit-il être revu à chaque évolution du traitement ?

Oui. Le DPA doit refléter la réalité opérationnelle du traitement. Si vous activez un nouveau module (par exemple un outil de sondage ou de people review), les données traitées changent. Le DPA doit être mis à jour pour intégrer ces nouvelles finalités, types de données et éventuels sous-traitants ultérieurs.

Comment concilier transfert international et protection des données personnelles ?

Le sous-traitant peut déléguer certaines activités de traitement à un sous-traitant situé dans un pays tiers, à condition que le contrat encadre ce transfert hors UE. Les clauses contractuelles types (CCT) sont l'outil standard pour ces situations. Privilégiez un éditeur dont l'hébergement est localisé en France ou en UE pour éviter cette complexité.

Sources :

  • CNIL, Chapitre IV du RGPD, article 28
  • CNIL, Guide du sous-traitant (2017) : cnil.fr/sites/cnil/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
  • CNIL, Bilan sanctions 2025

    • Télécharger le kit IA RH
    Télécharger

    D'autres fiches pratiques sur les données RH

    Schéma de gestion des accès et traçabilité RH conforme RGPD
    29
    /
    09
    2025
    Gestion des accès et traçabilité en RH : bonnes pratiques pour sécuriser vos données
    > Lire l'article
    ISO 27001 chez un éditeur RH : contrôles concrets (accès, journalisation, chiffrement, sauvegardes, PRA/PCA) pour protéger les données RH sensibles.
    7
    /
    09
    2025
    ISO 27001 chez un éditeur RH : ce que ça change pour vous
    > Lire l'article
    Frise délai droit d’accès salarié RGPD : 1 mois + prolongation 2 mois
    28
    /
    09
    2025
    Droits des salariés sur leurs données : demandes et délais à respecter
    > Lire l'article
    En voir plus
    Télécharger le kit IA RH
    L'outil RH tout en un pour développer
    vos talents !
    Produits
    Gestion des entretiens professionnels
    Gestion des entretiens annuels
    Outil de création de formation (LMS)
    Logiciel de plan de formation (TMS)
    Logiciel GPEC (compétences)
    Outil de sondage
    Outil de feedback
    Logiciel de revue du personnel
    Clients
    Par secteur
    Services & technologiesRetail & HCRConseilStartup & scale up
    Par taille
    1 à 100101 à 1000Plus de 1000
    Ressources
    Expertise RH
    Fiches PratiquesRessources téléchargeablesEntretiensFormationCompétencesRéglementationEnjeux RH
    Boîte à outil
    Guide de l'entretien professionnelGuide de l’entretien annuelExemple d’entretien professionnelExemple de trame d’entretien annuel
    À propos
    Qui sommes nous ?ContactMentions légalesCharte de respect de la vie privéePlan du siteSécurité et RGPD