DPA — Accord de Traitement des Données
Téléchargez le DPA RGPD art. 28 pré-rempli avec votre identité cabinet.
Le DPA (Data Processing Agreement, ou Accord de Traitement des Données en français) est le contrat de sous-traitance imposé par l'article 28 du RGPD. Il encadre les traitements opérés par un sous-traitant pour le compte d'un responsable du traitement.
Dans le contexte de PV-Express, le DPA s'établit entre votre cabinet d'expertise comptable (responsable du traitement, qui décide des finalités et des moyens du traitement) et Mytm-Group SAS (éditeur de PV-Express, qui agit comme sous-traitant au sens RGPD).
Ce document est obligatoire dès lors que votre cabinet utilise PV-Express en production, et constitue l'une des premières pièces réclamées par la CNIL en cas de contrôle.
Pourquoi ce document est obligatoire
L'article 28.3 du RGPD exige qu'un acte juridique écrit lie le responsable du traitement à son sous-traitant. À défaut, le responsable du traitement engage seul sa responsabilité, et s'expose aux sanctions administratives prévues à l'article 83 RGPD (jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 M€).
Le DPA n'est donc pas une formalité commerciale : c'est une exigence réglementaire dont l'absence constitue un manquement caractérisé.
Où le télécharger
Menu Settings → Conformité RGPD → Documents de conformité → DPA.
Cette section est accessible aux rôles owner et manager. Le PDF généré reprend automatiquement les informations renseignées dans Identité légale du cabinet : raison sociale, SIREN, adresse, n° d'inscription au CRO, représentant légal.
Le document est versionné. À chaque modification de l'identité du cabinet ou de la liste des sous-traitants ultérieurs, une nouvelle version est générée et l'ancienne reste accessible dans l'historique.
Contenu du DPA
Le DPA généré par PV-Express respecte les 9 mentions obligatoires imposées par l'article 28.3 RGPD :
| # | Mention | Détail dans le DPA |
|---|---|---|
| 1 | Objet et durée du traitement | Édition logicielle, durée du contrat |
| 2 | Nature et finalité | Production assistée de PV d'AGOA |
| 3 | Type de données | Identifiants, données de gestion, fichiers comptables |
| 4 | Catégories de personnes concernées | Dirigeants, associés, collaborateurs cabinet |
| 5 | Obligations et droits du responsable | Reprise des art. 28 et 32 RGPD |
| 6 | Confidentialité du personnel sous-traitant | Engagement de confidentialité |
| 7 | Mesures de sécurité (art. 32) | Chiffrement, MFA, audit log, backups |
| 8 | Recours à des sous-traitants ultérieurs | Liste détaillée ci-dessous |
| 9 | Sort des données en fin de contrat | Restitution puis suppression sous 30 jours |
Sous-traitants ultérieurs
L'article 28.2 RGPD impose au sous-traitant d'obtenir l'autorisation écrite et préalable du responsable du traitement avant de recourir à un sous-traitant ultérieur. Le DPA PV-Express formalise une autorisation générale pour les 6 sous-traitants suivants :
| Sous-traitant | Localisation | Finalité | Encadrement transfert |
|---|---|---|---|
| OVHcloud | France (Roubaix / Gravelines) | Hébergement VPS et base self-hostée | Aucun (UE) |
| Mistral AI | France (Paris) | OCR des plaquettes comptables | Aucun (UE) |
| Anthropic | États-Unis | Modèle d'IA générative | Clauses Contractuelles Types CE 2021/914 |
| Yousign | France (Caen) | Signature électronique eIDAS | Aucun (UE) |
| Resend | États-Unis | Envoi d'emails transactionnels | Clauses Contractuelles Types CE 2021/914 |
| Stripe | Irlande | Encaissement abonnements | Aucun (UE) |
Tout ajout, retrait ou changement de sous-traitant ultérieur fait l'objet d'une notification préalable au cabinet, qui dispose d'un droit d'opposition motivé conformément à l'article 28.2.
Procédure de validation
Une fois téléchargé, le DPA doit être transmis pour validation au DPO du cabinet ou, à défaut, au référent RGPD interne (voir la check-list RGPD pour cabinet EC sur les modalités de désignation).
La signature du DPA n'est pas requise pour activer l'usage de PV-Express, mais sa conservation dans le registre RGPD du cabinet est obligatoire. La CNIL, en cas de contrôle, demandera à voir l'accord pour chaque sous-traitant accédant à des données personnelles.
Mise à jour du DPA
Le DPA est mis à jour automatiquement dans deux situations :
- Modification de l'identité légale du cabinet : changement de raison sociale, transfert de siège, changement de représentant légal.
- Évolution de la liste des sous-traitants ultérieurs : ajout d'un nouveau prestataire, changement de localisation d'hébergement, suppression d'un sous-traitant.
Une notification est envoyée par email au compte owner du cabinet 14 jours avant toute prise d'effet d'une modification substantielle, ce qui ouvre la fenêtre de droit d'opposition prévue à l'article 28.2.
L'historique des versions est consultable en permanence dans Settings → Conformité RGPD → Historique des documents, et chaque téléchargement est tracé dans l'audit log.
Articulation avec le registre des traitements
Le DPA est complémentaire du registre des activités de traitement. Le registre liste vos traitements (en tant que responsable du traitement), tandis que le DPA encadre les traitements opérés pour votre compte par PV-Express (en tant que sous-traitant).
Les deux documents sont attendus par la CNIL et doivent être tenus à jour en parallèle.