Beaucoup de PME signent des CGU sans réaliser qu'elles incluent (parfois) un DPA insuffisant. Voici ce qu'un bon DPA doit contenir.
Article 28 du RGPD
Tout responsable de traitement doit signer un DPA avec ses sous-traitants. Le DPA encadre les conditions du traitement et matérialise la chaîne de responsabilité.
Contenu obligatoire
Objet, durée, nature et finalité du traitement, type de données, catégories de personnes, droits et obligations du responsable, sécurité, sous-traitance ultérieure, audit.
Mesures techniques
Annexer la liste : chiffrement at-rest et in-transit, gestion des accès, journalisation, plan de continuité, notification de violation sous 72h.
Sous-traitants ultérieurs
Lister explicitement : OVH (hébergement), Mistral (IA), Stripe (paiement), Resend (email). Notification 30j en cas de changement.
Transferts hors UE
Idéalement : aucun. Sinon : SCC (clauses contractuelles types) + analyse d'impact. Tensha : aucun transfert hors UE.
Notre DPA
Disponible en self-service signable en ligne. Conforme CNIL et CEPD. Couvre tous les points ci-dessus.
Prêt à essayer Tensha ?
14 jours gratuits, sans carte bancaire. Souverain, RGPD, hébergé en France.
Créer un compte gratuitPour aller plus loin
Articles connexes
Pourquoi la souveraineté IA est critique pour les PME européennes
RGPD, Cloud Act, Patriot Act : pourquoi vos données de réunion ne devraient JAMAIS partir aux US. Le guide complet pour la souveraineté numérique.
Cloud Act et Patriot Act : ce que toute PME française doit savoir
Décryptage des lois extraterritoriales américaines qui obligent Microsoft, Google, AWS à livrer vos données — même hébergées en Europe.
Hébergement OVH France : pourquoi c'est notre choix RGPD
Datacenters Roubaix, Strasbourg, Gravelines, certifications ISO 27001 / 27701 / HDS : pourquoi OVH France coche toutes les cases pour un SaaS européen souverain.
RGPD et transcription IA : guide complet pour PME
Bases légales, registre des traitements, DPA, AIPD, droits des personnes : tout ce qu'une PME doit mettre en place.