Un Data Processing Agreement (DPA), ou contrat de sous-traitance des données, est le contrat exigé par l'article 28 du RGPD entre un responsable du traitement et un sous-traitant ; il fixe l'objet, la durée, la nature et la finalité du traitement ainsi que les obligations et droits des deux parties.
Un Data Processing Agreement, abrégé DPA (en français : contrat de sous-traitance des données), est un contrat juridiquement contraignant entre un responsable du traitement et un sous-traitant qui régit la manière dont les données personnelles sont traitées. Selon l'article 28 du RGPD, le responsable du traitement ne doit faire appel qu'à des sous-traitants offrant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, et la relation doit être encadrée par un contrat ou un autre acte juridique. Le DPA doit préciser l'objet et la durée du traitement, sa nature et sa finalité, le type de données personnelles, les catégories de personnes concernées, ainsi que les instructions documentées du responsable. Sans DPA valable, le recours à un sous-traitant constitue en soi une violation du RGPD.
Dans l'hôtellerie, l'hôtel est normalement le responsable du traitement des données des clients et signe des DPA avec chaque sous-traitant qu'il engage : l'éditeur du PMS, le moteur de réservation, le fournisseur d'e-mails, l'outil d'analytics, le BSP WhatsApp et toute plateforme de messagerie client. Chaque DPA doit refléter les flux réels de données entre les parties, lister les sous-traitants ultérieurs, exposer les mesures de sécurité, définir les délais de notification de violation et clarifier la manière dont les droits des personnes concernées (accès, rectification, effacement) sont pris en charge. Les hôtels qui intègrent un CRM ou un assistant IA doivent demander un DPA avant tout partage de données de production.
Un DPA n'est pas une formalité. Il définit qui est responsable en cas de problème, ce que le sous-traitant peut ou ne peut pas faire des données et la rapidité avec laquelle l'hôtel doit être notifié d'un incident. Les modèles génériques sont un piètre substitut à un DPA adapté au traitement réel, en particulier lorsque des fonctionnalités d'IA génèrent des données dérivées telles que des résumés de conversation ou des insights clients. Le DPA doit également s'aligner sur l'avis de confidentialité de l'hôtel et sur les obligations applicables de conformité au RGPD.
Viqal met à disposition de chaque client un DPA standard, accessible à l'adresse /data-processing-agreement. L'accord formalise la relation responsable de traitement-sous-traitant, liste les sous-traitants ultérieurs utilisés pour fournir le service, décrit les mesures techniques et organisationnelles en place, et fixe les obligations de notification de violation et de restitution des données. Combiné à la boîte de réception d'équipe avec accès basé sur les rôles, à la conservation configurable et aux contrôles de chiffrement de Viqal, le DPA donne aux hôtels une base contractuelle claire pour utiliser à grande échelle l'automatisation de la messagerie client pilotée par l'IA.
L'article 28 du RGPD exige un DPA chaque fois qu'un responsable du traitement engage un sous-traitant pour traiter des données personnelles pour son compte. Pour les hôtels situés dans l'UE ou traitant des données de résidents de l'UE, cela signifie qu'un DPA est requis avec chaque prestataire qui touche aux données des clients, y compris les PMS, CRM, outils d'e-mailing, BSP et plateformes de messagerie.
L'article 28, paragraphe 3, énumère les éléments obligatoires : objet et durée, nature et finalité du traitement, type de données personnelles et catégories de personnes concernées, instructions du responsable du traitement, obligations de confidentialité, mesures de sécurité, règles relatives aux sous-traitants ultérieurs, prise en charge des droits des personnes concernées, notification de violation et modalités de restitution ou de suppression des données à la fin du contrat.
Non. Une politique de confidentialité est une notice du responsable du traitement à l'attention des personnes concernées, expliquant comment leurs données sont traitées. Un DPA est un contrat entre le responsable du traitement et un sous-traitant régissant le traitement opérationnel de ces données. Les deux documents s'adressent à des publics différents et poursuivent des finalités juridiques distinctes.
C'est l'entité qui est responsable du traitement des données personnelles qui signe le DPA avec le sous-traitant. Pour un hôtel indépendant, il s'agit de l'établissement lui-même ; pour un hôtel managé ou franchisé, cela dépend de l'entité qui détermine les moyens et les finalités du traitement. Une attribution claire de la qualité de responsable du traitement est la première étape avant de négocier le DPA.
Un sous-traitant ne peut faire appel à des sous-traitants ultérieurs qu'avec l'autorisation, spécifique ou générale, du responsable du traitement. Le DPA doit lister les sous-traitants ultérieurs en place ou prévoir un processus de notification des changements au responsable, et le sous-traitant demeure pleinement responsable du respect, par le sous-traitant ultérieur, des mêmes obligations.
Viqal publie son DPA standard à l'adresse viqal.com/data-processing-agreement. Les hôtels peuvent le consulter et le signer dans le cadre de l'onboarding ; des avenants sur mesure sont possibles pour les clients enterprise présentant des exigences spécifiques.
.avif){kind=spacer}
