Découvrez Zola IA ✨ - Votre nouvel assistant RH
Découvrir
Découvrez Zola IA ✨ - Votre nouvel assistant RH
Découvrir
Produits
Clients
Ressources RH
Pourquoi Zola ?
Zola IA ✨
Se connecterDemander une démo
Produits
Clients
Articles RH
Outils RH
Notre équipe
Zola IA ✨
Se connecterDemander une démo
Pour recevoir gratuitement votre ressource :
Fiches pratiques
>
Données RH et RGPD
>
DPA éditeur RH

Checklist DPA 2025 : sécuriser votre contrat avec un éditeur RH

Sabrine Azougli
Mis à jour le
29/9/2025
Jérôme Vobmann
Mis à jour le
29
/
09
/
2025

Le Data Processing Agreement (DPA), ou accord de sous-traitance, est une pièce maîtresse de la conformité RGPD lorsqu’une entreprise confie ses données RH à un éditeur de logiciel. Imposé par l’article 28 du RGPD, ce contrat encadre la relation entre le responsable de traitement (l’entreprise) et le sous-traitant (l’éditeur SIRH ou LMS).

Pourtant, tous les DPA ne se valent pas : certaines clauses sont incontournables, d’autres peuvent cacher des risques. Dans ce guide pratique, nous passons en revue les 12 points essentiels à vérifier avant de signer avec un éditeur RH. En fin d’article, téléchargez notre checklist DPA 2025 pour sécuriser vos contrats et convaincre votre direction.

La sécurité est au coeur de nos préoccupation chez Zola, c'est pourquoi nous partageons avec vous nos bonnes pratiques !

En complément, consultez notre guide RGPD et RH et nos fiches pratiques sur le registre des traitements, le chiffrement des données et la gestion des accès RH.

Qu’est-ce qu’un DPA et pourquoi est-il essentiel en RH ?

Un Data Processing Agreement (DPA), ou accord de sous-traitance, est le contrat qui encadre le traitement des données personnelles par un sous-traitant. Dans un contexte RH, il lie l’entreprise (responsable de traitement) à son éditeur SIRH/LMS (sous-traitant).

L’article 28 du RGPD impose un certain nombre de mentions obligatoires : description du traitement, mesures de sécurité, gestion des sous-traitants ultérieurs, transferts hors UE, droit d’audit, etc.

Ces éléments complètent vos démarches liées aux droits des salariés et aux durées de conservation des données RH.

Les 12 points clés à vérifier dans un DPA éditeur RH

1. Clauses obligatoires de l’article 28

Le contrat doit lister les finalités du traitement, la durée, la nature des données et les obligations de confidentialité.

2. Mesures techniques et organisationnelles (TOM)

Exigez des précisions sur le chiffrement, la gestion des accès, la journalisation et les tests réguliers. Exemple Zola : hébergement en Europe et chiffrement avancé avec audits trimestriels.

3. Hébergement en Europe

Vérifiez que vos données RH sont hébergées en UE ou en France, afin d’éviter des transferts non conformes.

4. Transfert hors UE

Si des données quittent l’UE, le DPA doit prévoir des clauses contractuelles types (CCT) et une évaluation des pays tiers.

5. Gestion des sous-traitants ultérieurs

L’éditeur doit vous informer de toute sous-traitance supplémentaire et recueillir votre autorisation.

6. Notification des violations de données

Le délai standard : 72h maximum. Vérifiez que ce délai est bien inscrit dans le DPA.

7. Droit d’audit

Vous devez pouvoir réaliser ou commander un audit annuel pour vérifier la conformité de l’éditeur.

8. Confidentialité et personnel autorisé

Le DPA doit prévoir que seules des personnes autorisées, formées et soumises à la confidentialité accèdent aux données.

9. Réversibilité et suppression des données

Précisez comment vos données seront restituées ou supprimées à la fin du contrat, dans quels délais et formats.

10. Durée de conservation

Le DPA doit indiquer la durée de conservation des données RH, distincte de la durée du contrat.

11. Assistance au responsable de traitement

L’éditeur doit vous accompagner dans la gestion des droits des personnes (accès, rectification, effacement).

12. SLA et conformité continue

Le DPA doit inclure des engagements de service (SLA), notamment sur la disponibilité, la sécurité, et la conformité continue (PIA, audits réguliers).

Avant de signer, vérifiez la cohérence entre le DPA et vos exigences internes de sécurité RH ou vos certifications (ISO 27001).

Encadré – Checklist DPA 2025

Notre checklist pour vérifier un DPA en un coup d’œil :

  • Clauses article 28 RGPD
  • Sécurité et chiffrement
  • Hébergement européen
  • Gestion des sous-traitants
  • Notification 72h
  • Réversibilité et suppression
  • SLA sécurité et conformité

Bonnes pratiques d’audit

  • Prévoir un audit annuel de conformité.
  • Exiger des tests de restauration de données tous les trimestres.
  • Documenter chaque audit et correctifs apportés.

Conclusion

Le DPA n’est pas un simple document juridique : c’est une garantie de confiance entre votre entreprise et votre éditeur RH. En suivant cette checklist et en exigeant des preuves concrètes (hébergement, chiffrement, audits), vous sécurisez vos données RH et démontrez votre conformité auprès de vos équipes et de votre direction.

👉 Pour aller plus loin, explorez nos ressources complémentaires sur le SIRH open source vs SaaS et la bonne gestion du registre des traitements RH.

Vos questions sur les DPA éditeurs RH

Quelle différence entre DPA et NDA ?

Un DPA encadre le traitement des données personnelles conformément au RGPD. Un NDA (accord de confidentialité) protège les informations confidentielles échangées, mais ne couvre pas les obligations légales liées aux données personnelles.

Comment aligner DPA et SIRH/LMS ?

En intégrant le DPA dans votre gouvernance RH et en reliant vos outils à une politique de formation RGPD. Exemple : un MOOC intégré au LMS pour sensibiliser vos collaborateurs.

Référentiel de compétences Soft Skills
Télécharger

D'autres fiches pratiques sur les données RH

Tableau CNIL des durées de conservation des données RH : candidats non retenus (2 ans), paie (6 ans), registre unique du personnel (5 ans), évaluations (3 ans), contentieux (6 ans), dossier du personnel (selon obligation).
4
/
09
2025
Durées de conservation des données RH : référentiel pratique (CNIL & RGPD)
> Lire l'article
ISO 27001 chez un éditeur RH : contrôles concrets (accès, journalisation, chiffrement, sauvegardes, PRA/PCA) pour protéger les données RH sensibles.
7
/
09
2025
ISO 27001 chez un éditeur RH : ce que ça change pour vous
> Lire l'article
Une image aérienne d'un centre de données RH en France
13
/
09
2025
Hébergement des données RH en Europe : comprendre les enjeux et choisir la bonne option
> Lire l'article
En voir plus
Référentiel de compétences Soft Skills
Produits
Gestion des entretiens professionnels
Gestion des entretiens annuels
Outil de création de formation (LMS)
Logiciel de plan de formation (TMS)
Logiciel GPEC (compétences)
Outil de sondage
Outil de feedback
Logiciel de revue du personnel
Clients
Par secteur
Services & technologiesRetail & HCRConseilStartup & scale up
Par taille
1 à 100101 à 1000Plus de 1000
Ressources
Expertise RH
Fiches PratiquesRessources téléchargeablesEntretiensFormationCompétencesRéglementationEnjeux RH
Boîte à outil
Guide de l'entretien professionnelGuide de l’entretien annuelExemple d’entretien professionnelExemple de trame d’entretien annuel
À propos
Qui sommes nous ?ContactMentions légalesCharte de respect de la vie privéePlan du siteSécurité et RGPD