Différences entre NDA, accord de confidentialité et DPA : guide pratique pour startups

Différences entre NDA, accord de confidentialité et DPA : guide pratique pour startups

Confondre NDA, accord de confidentialité et DPA expose les startups à des fuites d’informations, des ruptures de deals et des sanctions RGPD. Ce guide opérationnel clarifie les usages, les clauses indispensables et les erreurs à éviter.

NDA, accord de confidentialité et clause de confidentialité : bien distinguer

NDA (Non‑Disclosure Agreement) : un contrat autonome

Le NDA est un contrat spécifique par lequel une ou plusieurs parties s’engagent à ne pas divulguer certaines informations. Il peut être unilatéral (sens unique) ou bilatéral (réciproque). En droit français, la confidentialité pendant les négociations est aussi protégée par la loi : article 1112‑2 du Code civil. Le NDA contractuel vient sécuriser au‑delà des négociations et précise le périmètre, la durée, les exceptions et les sanctions.

Dans la pratique française, « NDA » et « accord de confidentialité » sont souvent synonymes. Cette équivalence de vocabulaire est aussi relevée par la littérature professionnelle (voir un tour d’horizon vulgarisé sur les différences de terminologie).

Accord de confidentialité : terme générique

« Accord de confidentialité » désigne soit un NDA autonome, soit une simple clause de confidentialité insérée dans un autre contrat (contrat de prestation, licence, CGV, travail). L’accord autonome est recommandé quand l’échange d’informations précède ou est indépendant du contrat principal (pitch investisseurs, due diligence, POC).

Clause de confidentialité intégrée

La clause intégrée protège aussi le secret, mais elle est souvent plus concise. Bien rédigée, elle peut être aussi robuste qu’un NDA autonome. On l’insère systématiquement dans un contrat de prestation de services ou des CGV B2B pour couvrir toutes les informations échangées pendant l’exécution.

DPA (Data Processing Agreement) : un contrat RGPD distinct

Le DPA encadre le traitement de données personnelles par un sous‑traitant pour le compte d’un responsable de traitement. C’est une obligation légale, prévue à l’article 28 du RGPD. Il est indépendant d’un NDA : on signe un NDA pour protéger des informations confidentielles (techniques, commerciales, savoir‑faire), et un DPA pour encadrer la conformité RGPD des traitements de données personnelles.

Les points clés du DPA sont précisés par la réglementation et les recommandations de la CNIL : instructions documentées, confidentialité des personnes autorisées, sécurité (art. 32), sous‑traitance ultérieure, assistance au responsable, sort des données en fin de contrat, audits. Pour aller plus loin côté pratique, voyez notre guide DPA pour startups SaaS.

Quand utiliser quoi ? Scénarios concrets pour startups

• Pitch investisseurs, POC avec un grand compte, audit technique d’un partenaire : NDA autonome (unilatéral si vous seul divulguez ; bilatéral si échanges réciproques).
• Signature d’un contrat de vente B2B ou d’un contrat de prestation : clause de confidentialité intégrée +, si des données personnelles sont traitées pour le client, DPA séparé.
• Recours à un hébergeur/cloud, outil marketing, call center traitant des données personnelles pour votre compte : DPA obligatoire (art. 28 RGPD), en plus d’éventuelles clauses de confidentialité.
• Partage d’un algorithme, d’un roadmap produit, d’un pricing non public : NDA. Pour les informations stratégiques assimilables à un secret d’affaires, la protection peut durer tant que le secret est préservé (voir l’INPI sur le secret d’affaires et économie.gouv.fr).

Checklists de rédaction

NDA / Accord de confidentialité autonome

• Définition précise des « Informations Confidentielles » (inclusion des supports oraux/visuels, mentions ou non des informations « dérivées ») + exceptions classiques (public, déjà connue, reçue légitimement d’un tiers, développée indépendamment).
• Champ des destinataires autorisés (employés, dirigeants, conseils, auditeurs, investisseurs potentiels) et condition de nécessité (« need to know ») avec obligations de confidentialité équivalentes.
• Usage autorisé strict (évaluation du partenariat, réalisation du POC, due diligence, etc.).
• Durée distincte pour l’échange et pour l’obligation de confidentialité (souvent 3–5 ans ; pour les secrets d’affaires, jusqu’à ce que l’information devienne publique).
• Mesures de protection raisonnables (contrôle d’accès, chiffrement, compartimentage).
• Restitution/destruction à première demande ou fin de relation, avec exceptions légales (archives, obligation réglementaire).
• Sanctions et recours: clause pénale ou indemnisation, possibilité de demander des mesures d’urgence (injonction). Attention à la compatibilité avec vos plafonds de responsabilité: il est fréquent d’exclure les violations de confidentialité du plafond d’indemnisation.
• Droit applicable et compétence choisis, langue faisant foi, divisibilité, cession, notification.

Bon réflexe: centralisez vos NDA et automatisez les relances d’échéance dans vos Legal Ops. Évitez le « copier‑coller » de modèles non adaptés: un NDA d’investisseur n’a pas la même logique qu’un NDA fournisseur.

Clause de confidentialité intégrée dans un contrat

• Veillez à ce qu’elle couvre toutes les informations échangées pendant l’exécution, y compris celles du client et des tiers.
• Alignez la durée de confidentialité sur la sensibilité des données (souvent plus longue que la durée du contrat).
• Prévoyez la compatibilité avec les autres clauses (plafonds, pénalités, résiliation). Des exemples figurent dans notre ressource sur les points de vigilance d’un contrat de services.

DPA (art. 28 RGPD) : clauses obligatoires

• Objet, durée, nature et finalités du traitement, catégories de personnes concernées et de données, obligations et droits du responsable (article 28 RGPD).
• Traitement selon instructions documentées + confidentialité des personnes autorisées.
• Sécurité appropriée (art. 32), journalisation, tests, gestion des vulnérabilités.
• Sous‑traitance ultérieure conditionnée (autorisation préalable spécifique ou générale, mêmes obligations contractuelles).
• Assistance: exercice des droits, notification des violations (art. 33‑34), analyses d’impact, audits.
• Fin de contrat: suppression ou restitution des données, effacements des copies, preuve d’exécution.

La CNIL publie des repères utiles sur le rôle du sous‑traitant et le contenu du DPA (cnil.fr). Des rappels pratiques figurent aussi sur Service Public Pro.

Erreurs fréquentes et risques

• Penser qu’un NDA remplace un DPA: faux. Le NDA protège le secret; le DPA encadre légalement un traitement de données personnelles.
• Oublier d’inclure les destinataires réels (freelances, cabinets de conseil, investisseurs) dans le périmètre autorisé: source de violation « indirecte ».
• Définition trop large ou trop floue des informations confidentielles: risque d’inopposabilité.
• Absence d’exceptions standards: vous empêchez des obligations légales (contrôle, audit) ou des échanges nécessaires avec vos conseils.
• Durées irréalistes (confidentialité « perpétuelle » sans préciser le secret d’affaires) ou, à l’inverse, trop courtes pour des savoir‑faire.
• Ignorer la conformité RGPD des sous‑traitants: l’absence de DPA peut exposer à des amendes administratives allant jusqu’à 4 % du CA mondial (article 83 du RGPD), comme le rappelle la CNIL.

Mise en œuvre côté startup

• Cartographiez vos flux: quelles infos confidentielles ? quelles données personnelles ? qui y accède ?
• Standardisez vos templates: au moins un NDA unilatéral, un NDA bilatéral, une clause de confidentialité type, un DPA compatible avec vos offres.
• Formez vos équipes: sales, produit et tech doivent savoir quand envoyer un NDA, quand exiger un DPA, et quels points négocier.
• Adossez vos documents à vos politiques internes: sécurité, gestion des accès, politique de confidentialité (voir comment rédiger une politique de confidentialité RGPD).

FAQ

Un NDA et un accord de confidentialité, est‑ce la même chose ?

En pratique oui: « NDA » est l’intitulé anglo‑saxon d’un accord de confidentialité autonome. On parle aussi de clause de confidentialité quand elle est intégrée à un autre contrat.

Dois‑je signer un DPA avec tous mes prestataires ?

Seulement avec ceux qui traitent des données personnelles pour votre compte (hébergeur, emailing, support...). C’est une exigence de l’article 28 RGPD.

Quelle durée prévoir pour un NDA ?

Classiquement 3 à 5 ans. Pour un secret d’affaires, la protection dure aussi longtemps que l’information reste secrète (cf. ressources INPI et économie.gouv.fr).

Un NDA suffit‑il à me protéger en cas de fuite ?

Il facilite la preuve et la réparation (clause pénale, injonction), mais pensez à exclure ces violations du plafond de responsabilité et à renforcer vos mesures techniques.

Puis‑je intégrer le DPA dans mes CGV ?

Mieux vaut un DPA séparé pour couvrir précisément le traitement, les sous‑traitants ultérieurs et les audits. Vos contrats de services peuvent y renvoyer.

Références utiles : Legifrance, RGPD (EUR‑Lex), CNIL, Service Public Pro, INPI, économie.gouv.fr.