DPA et IA : le contrat que 80 % des PME oublient de signer

Sans lui, votre fournisseur peut techniquement faire ce qu'il veut. Et en cas de problème, c'est vous qui payez. Cet article vous explique ce qu'est un DPA, pourquoi il est obligatoire, et comment vérifier en 5 minutes si vos outils en ont un.

Pourquoi c'est urgent d'en parler

En 2025, la CNIL a prononcé 83 sanctions pour un montant total de 487 millions d'euros. Parmi les manquements les plus fréquents dans le cadre de la procédure simplifiée (celle qui cible les PME) : la sécurisation insuffisante des données et le non-respect des obligations envers les sous-traitants. En décembre 2025, un sous-traitant (Mobius Solutions) a été condamné à 1 million d'euros d'amende pour une fuite de données. L'entreprise cliente était co-responsable.

Le message est clair : si votre fournisseur IA fuit, vous êtes dans le même bateau. C'est quoi un DPA, concrètement Imaginez que vous confiez les clés de votre bureau à une entreprise de ménage. Vous ne leur donnez pas les clés sans un contrat qui précise ce qu'ils ont le droit de faire (nettoyer les sols) et ce qu'ils n'ont pas le droit de faire (ouvrir vos tiroirs, copier vos documents).

Le DPA, c'est la même chose pour vos données. Quand vous utilisez un CRM, un outil de paie ou un chatbot IA, vous confiez des données personnelles à un prestataire. Le DPA encadre cette relation. Concrètement, il précise quelles données sont traitées (noms, emails, factures, CV), pourquoi elles sont traitées (gestion commerciale, paie, support client), que le prestataire ne les utilise pas pour autre chose (notamment pour entraîner son IA), ce qui se passe en cas de fuite (notification sous 48h), où les données sont stockées (France, UE, États-Unis), et ce qui se passe quand vous résiliez (suppression ou restitution).

Sans ce contrat, votre prestataire est en roue libre. Et c'est l'article 28 du RGPD qui l'exige. Pas une recommandation, une obligation légale. Pourquoi votre outil IA doit avoir un DPA Vous pourriez vous dire « mon outil marche bien, je ne vais pas m'embêter avec de la paperasse ». Voici quatre raisons concrètes de changer d'avis.

Vous êtes co-responsable en cas de fuite

Si votre fournisseur IA subit une fuite de données et que vous n'avez pas de DPA, la CNIL considère que vous n'avez pas pris les mesures nécessaires. L'amende peut aller jusqu'à 10 millions d'euros ou 2 % de votre chiffre d'affaires.

Vos données peuvent servir à entraîner le modèle

Beaucoup d'outils IA (notamment les versions gratuites) utilisent les données de leurs utilisateurs pour améliorer leur modèle. Sans DPA, rien ne les en empêche. On en parle en détail dans notre article « ChatGPT en entreprise : 5 erreurs qui coûtent cher aux PME ». Vous ne pouvez pas répondre aux demandes RGPD

Si un client vous demande « quelles données avez-vous sur moi ? », vous devez pouvoir répondre. Sans DPA, vous ne savez même pas ce que votre fournisseur fait de ces données.

Vous perdez des clients et des appels d'offres

De plus en plus de grands comptes exigent la preuve d'une chaîne de conformité complète. Pas de DPA avec vos sous-traitants, pas de marché. Comment vérifier si votre outil IA a un DPA Bonne nouvelle, c'est rapide. Trois étapes, cette semaine.

1.Allez sur le site de votre fournisseur

Cherchez les pages « Legal », « Privacy », « Trust Center » ou « RGPD ».

Un DPA public y est souvent disponible en téléchargement.

Les éditeurs sérieux comme Pennylane, Sellsy, Brevo ou Payfit le mettent en évidence.

2.Si vous ne trouvez rien, demandez-le

Envoyez un email au support ou à l'adresse DPO du fournisseur. Un éditeur conforme vous le fournira sous 48h. S'il ne répond pas, c'est un signal d'alerte.

3.Vérifiez les clauses essentielles

Le DPA doit mentionner au minimum les données traitées, la finalité, la durée, les mesures de sécurité, la politique sur les sous-traitants ultérieurs, et la procédure en cas de fuite. Pour ne pas faire ce travail outil par outil, c'est exactement ce que le Label Vigie de trouver-ia.fr fait pour vous. Les 3 niveaux de DPA sur trouver-ia.fr

Sur notre annuaire, nous classons chaque outil selon trois niveaux de disponibilité du contrat. Le premier niveau, c'est le DPA public en ligne. L'éditeur publie son contrat directement sur son site.

Vous pouvez le lire et le télécharger sans rien demander. C'est le signe d'un éditeur mature et transparent. Pennylane, Modjo, Sellsy et Payfit sont dans cette catégorie. Le deuxième niveau, c'est le DPA sur demande. L'éditeur a un contrat, mais il faut le demander par email. Ce n'est pas un problème en soi, mais ça ralentit votre mise en conformité et complique un audit.

Le troisième niveau, c'est l'absence de DPA. Aucun contrat n'est mentionné sur le site, et aucune réponse n'a été obtenue à notre demande. C'est un signal d'alerte fort. Utiliser un outil sans DPA, c'est rouler sans assurance. Votre plan d'action en 3 étapes Vous pouvez faire tout ça cette semaine.

1.Listez tous vos outils qui traitent des données personnelles

CRM, comptabilité, paie, emailing, chatbot, recrutement. La plupart des PME en ont entre 5 et 15.

2.Vérifiez le DPA de chacun

Allez sur leur site, cherchez « DPA » ou « contrat de sous-traitance ». Notez le statut pour chaque outil.

3.Remplacez les outils sans DPA

Si un outil n'a pas de DPA et ne répond pas à votre demande, cherchez une alternative conforme sur trouver-ia.fr.

Vous voulez savoir quels outils IA ont un DPA conforme pour votre métier ? Faites le Diagnostic Métier sur trouver-ia.fr. On vous recommande uniquement des outils vérifiés, avec un contrat RGPD en bonne et due forme.