En vertu du GDPR, un accord de traitement des données (DPA) est un contrat écrit entre un responsable du traitement et un sous-traitant de données à caractère personnel. Le responsable du traitement est l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel, tandis que le sous-traitant est l'entité qui traite les données à caractère personnel pour le compte du responsable du traitement.
Un DPA définit les conditions dans lesquelles le sous-traitant traitera les données à caractère personnel pour le compte du responsable du traitement. Il comprend généralement des dispositions relatives à la portée du traitement, aux finalités pour lesquelles les données à caractère personnel seront utilisées, aux mesures de sécurité qui seront mises en place pour protéger les données à caractère personnel et aux droits des personnes concernées.
En vertu du GDPR, une DPA est obligatoire pour pouvoir faire appel à un processeur de données.