Le Data Processing Agreement (DPA), ou Accord de traitement des données, est un contrat conclu entre un responsable du traitement et un sous-traitant. Il encadre juridiquement le traitement de données à caractère personnel effectué pour le compte du responsable du traitement, conformément à l’article 28 du Règlement Général sur la Protection des Données (RGPD).
Ce document définit notamment :
la nature et la finalité des traitements,
les types de données traitées,
les obligations et droits du responsable du traitement,
les garanties apportées par le sous-traitant en matière de sécurité et de confidentialité,
les modalités de sous-traitance ultérieure, d’assistance, de notification de violations, et de restitution ou suppression des données.