Contrat de sous-traitance de données (DPA) : modèle et obligations nLPD
Depuis l'entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD) le 1er septembre 2023, les entreprises suisses sont tenues de formaliser leurs relations avec les prestataires qui traitent des données personnelles en leur nom. Ce document s'appelle un contrat de sous-traitance de données, souvent désigné par l'acronyme anglais DPA (Data Processing Agreement) ou, en allemand, AVV (Auftragsbearbeitungsvertrag).
Cet article vous explique pourquoi ce contrat est indispensable, quelles clauses il doit contenir, et comment vous y conformer sans vous perdre dans le jargon juridique.
Qu'est-ce qu'un DPA selon l'art. 9 nLPD ?
L'article 9 de la nLPD pose une règle claire : lorsqu'un responsable du traitement (votre entreprise) confie le traitement de données personnelles à un sous-traitant (un prestataire externe), il doit s'assurer que ce dernier offre des garanties suffisantes pour protéger ces données. Cette obligation se matérialise dans un contrat écrit — le DPA.
En droit suisse, on distingue deux rôles :
- Responsable du traitement (Verantwortlicher) : l'entité qui détermine les finalités et les moyens du traitement. C'est vous, l'entreprise qui collecte les données de vos clients ou employés.
- Sous-traitant (Auftragsbearbeiter) : l'entité qui traite ces données uniquement sur instruction du responsable. C'est votre hébergeur cloud, votre outil CRM, votre logiciel de paie.
Un DPA n'est pas une simple formalité administrative. Il définit les règles du jeu entre vous et votre prestataire, et vous protège en cas de violation de données.
Quand avez-vous besoin d'un DPA ?
La réponse courte : dès qu'un tiers accède à des données personnelles que vous contrôlez. Voici les cas les plus fréquents pour une PME suisse :
Hébergement cloud et infrastructure AWS, Google Cloud, Microsoft Azure, Infomaniak — tous traitent des données personnelles stockées sur vos serveurs. Un DPA est obligatoire.
Services d'emailing et marketing Mailchimp, Brevo (ex-Sendinblue), Klaviyo : vos listes de contacts avec noms et adresses email constituent des données personnelles. Votre prestataire d'emailing est un sous-traitant.
Analytique web Google Analytics, Plausible, Matomo : même les données de navigation (adresse IP, identifiants de session) sont des données personnelles au sens de la nLPD.
CRM et gestion commerciale Salesforce, HubSpot, Pipedrive stockent des informations sur vos clients et prospects. Un DPA est requis.
Paiements en ligne Stripe, Datatrans, Payrexx traitent des données financières liées à vos clients. Les prestataires de paiement proposent généralement leurs propres DPA.
Logiciels RH et paie Abacus, Sage, Personio traitent des données sensibles sur vos employés (salaires, contrats, données de santé). L'obligation de DPA est ici particulièrement importante.
Support client Zendesk, Intercom, Freshdesk : les tickets de support contiennent souvent des données personnelles de vos utilisateurs.
Clauses obligatoires d'un DPA nLPD
Un DPA conforme à la nLPD doit couvrir au minimum les éléments suivants :
1. Traitement sur instruction uniquement Le sous-traitant ne peut traiter les données que selon vos instructions documentées. Il ne peut pas utiliser vos données à ses propres fins (publicité, revente, analyse interne).
2. Confidentialité Toutes les personnes accédant aux données doivent être soumises à une obligation de confidentialité. Cela inclut les employés du prestataire et tout sous-traitant supplémentaire.
3. Mesures de sécurité techniques et organisationnelles Le prestataire doit décrire les mesures mises en place : chiffrement, contrôles d'accès, sauvegardes, plan de réponse aux incidents. Ces mesures doivent être proportionnées au niveau de risque.
4. Recours à des sous-traitants ultérieurs Le DPA doit préciser si le prestataire peut déléguer tout ou partie du traitement à d'autres entités. Vous devez avoir le droit d'approuver ou de refuser ces sous-traitants ultérieurs, ou au minimum d'en être informé.
5. Assistance pour les droits des personnes concernées Votre prestataire doit vous aider à répondre aux demandes d'accès, de rectification, d'effacement ou de portabilité formulées par vos clients ou employés.
6. Assistance en cas de violation de données En cas de faille de sécurité, le prestataire doit vous notifier sans délai (idéalement sous 72 heures) afin que vous puissiez respecter votre propre obligation de notification au PFPDT.
7. Retour ou destruction des données À la fin du contrat, vous devez pouvoir récupérer toutes vos données dans un format exploitable, et obtenir la confirmation de leur destruction chez le prestataire.
8. Droits d'audit Vous devez pouvoir vérifier, directement ou via un tiers mandaté, que le prestataire respecte ses obligations. En pratique, de nombreux grands prestataires substituent ce droit à une certification tierce (ISO 27001, SOC 2).
DPA suisse vs RGPD art. 28 : les différences clés
Si vous êtes familier avec le Règlement général sur la protection des données européen (RGPD), vous noterez plusieurs similarités — la nLPD s'en est d'ailleurs largement inspirée. Mais il existe des différences importantes :
| Aspect | nLPD (Suisse) | RGPD (UE) |
|---|---|---|
| Base légale | Art. 9 nLPD | Art. 28 RGPD |
| Autorité de contrôle | PFPDT | Autorité nationale (CNIL pour la France) |
| Amendes | Jusqu'à CHF 250'000 (pénale, à la personne) | Jusqu'à 4% du CA mondial |
| Données sensibles | Catégories spéciales (santé, religion, y compris données génétiques/biométriques) | Idem (nLPD inclut également données génétiques/biométriques comme catégories sensibles) |
| Transferts internationaux | Décisions d'adéquation du Conseil fédéral | Décisions d'adéquation + clauses types |
| Obligation DPA | Art. 9 nLPD | Art. 28 RGPD obligatoire |
Point important : si votre entreprise traite des données de résidents européens, vous devrez respecter les deux cadres légaux simultanément. Dans ce cas, un DPA conforme au RGPD art. 28 couvre en grande partie les exigences nLPD, mais vérifiez les spécificités suisses.
Modèle de DPA : structure et clauses essentielles
Voici la structure recommandée pour un DPA conforme à la nLPD suisse :
Préambule
- Identification des parties (responsable et sous-traitant)
- Référence au contrat principal de services
- Objet et durée du traitement
Section 1 — Objet et périmètre
- Description des données traitées (catégories, volume estimé)
- Finalités du traitement
- Catégories de personnes concernées
Section 2 — Obligations du sous-traitant
- Traitement sur instruction uniquement
- Confidentialité du personnel
- Mesures de sécurité (annexe technique)
- Gestion des sous-traitants ultérieurs
Section 3 — Assistance au responsable
- Droits des personnes concernées
- Notification de violations
- Analyse d'impact (si applicable)
Section 4 — Fin du traitement
- Retour ou destruction des données
- Délai et format de restitution
Section 5 — Audit et contrôle
- Modalités d'audit
- Certifications acceptées en substitution
Annexe A — Description du traitement Annexe B — Mesures de sécurité techniques et organisationnelles Annexe C — Liste des sous-traitants ultérieurs autorisés
Signaux d'alarme dans les DPA
Voici les red flags à surveiller quand vous examinez un DPA proposé par un prestataire :
"Nous pouvons utiliser vos données pour améliorer nos services" Cette clause ambiguë peut cacher une utilisation de vos données à des fins d'entraînement IA ou d'analyse interne. Demandez une clarification explicite.
Absence de liste des sous-traitants ultérieurs Si le prestataire refuse de divulguer ses propres sous-traitants (hébergeurs, CDN, etc.), c'est problématique. Vous ne pouvez pas évaluer le risque.
Notification de violation "dans un délai raisonnable" Un délai flou ne vous permet pas de respecter votre propre obligation légale. Exigez un délai précis (72 heures maximum).
Droit d'audit purement théorique Certains DPA accordent un droit d'audit mais avec des conditions tellement restrictives (préavis de 6 mois, frais prohibitifs) qu'il est inapplicable en pratique.
Juridiction étrangère sans équivalence reconnue Si le prestataire est soumis à une juridiction dont la Suisse n'a pas reconnu le niveau de protection adéquat, vous avez besoin de garanties supplémentaires (clauses contractuelles types).
Transferts internationaux et DPA
La nLPD encadre strictement les transferts de données vers l'étranger (art. 16-17 nLPD). Lorsque votre sous-traitant se trouve hors de Suisse, votre DPA doit inclure :
Si le pays est reconnu adéquat (UE/EEE, Canada, Royaume-Uni, etc.) : le DPA standard suffit, sans clause additionnelle.
Si le pays n'est pas reconnu adéquat (États-Unis hors DPF, Inde, etc.) : vous devez ajouter des clauses contractuelles types (CCT) approuvées par le PFPDT, ou utiliser un mécanisme de certification reconnu.
Pour les prestataires américains, vérifiez s'ils adhèrent au Swiss-U.S. Data Privacy Framework (successor du Privacy Shield). Si oui, cela simplifie le transfert. Si non, des CCT sont nécessaires.
Comment demander un DPA à vos prestataires existants
Si vous n'avez pas encore de DPA avec certains de vos prestataires, voici comment procéder :
-
Inventoriez vos prestataires qui accèdent à des données personnelles (votre registre des activités de traitement est utile ici).
-
Vérifiez leur documentation existante — la plupart des grands éditeurs (Google, Microsoft, Stripe) proposent des DPA standardisés disponibles en ligne ou dans leurs paramètres compte.
-
Pour les prestataires locaux ou PME, envoyez un email formel demandant un DPA. Joignez votre propre modèle si nécessaire.
-
Négociez les clauses non conformes — ne signez pas un DPA manifestement insuffisant. En cas de refus de négocier, envisagez de changer de prestataire.
-
Archivez et documentez — conservez tous vos DPA signés dans un registre, avec dates de signature et de révision.
Gestion des DPA avec PrivaGuard Business
La gestion manuelle des DPA pour une PME avec une dizaine de prestataires devient vite chronophage. PrivaGuard Business inclut un module de registre des activités de traitement (art. 12 nLPD) qui vous permet de :
- Lister tous vos sous-traitants avec leur statut DPA
- Documenter les clauses et dates de signature
- Recevoir des alertes lors des renouvellements
- Générer des rapports de conformité
Cette vue centralisée vous permet de démontrer votre conformité nLPD lors d'un audit du PFPDT ou d'une demande client.
Points de vigilance pour les PME suisses
Quelques rappels pratiques avant de conclure :
- La nLPD s'applique même sans présence physique en Suisse — si vous traitez des données de résidents suisses, vous êtes concerné.
- Un DPA ne remplace pas une politique de confidentialité — ce sont deux documents distincts avec des audiences différentes.
- Revoyez vos DPA régulièrement — les prestataires mettent à jour leurs conditions, et votre DPA doit rester conforme.
- La responsabilité reste la vôtre — même avec un DPA en place, vous restez responsable du traitement vis-à-vis de vos clients et du PFPDT.
Vous souhaitez évaluer votre conformité nLPD et identifier les sous-traitants pour lesquels un DPA est requis ? Lancez un scan gratuit avec PrivaScan — notre outil détecte automatiquement les traceurs et services tiers actifs sur votre site, et vous aide à construire votre inventaire de sous-traitants.