Un Data Processing Agreement (DPA) — ou contrat de sous-traitance au sens de l’article 28 RGPD — n’est pas une formalité. Sa rédaction défaillante peut coûter directement au responsable de traitement : la CNIL a sanctionné Mobius Solutions Ltd à hauteur d’un million d’euros en décembre 2025, mais le client final (Deezer) n’a pas été dispensé de sa responsabilité contractuelle.
Cet article fournit un modèle DPA prêt à l’emploi aligné sur la jurisprudence CNIL 2024-2025, listant les neuf clauses obligatoires de l’article 28 paragraphe 3, les huit erreurs courantes qui invalident le contrat, et les options techniques (chiffrement, sous-traitance ultérieure, transferts internationaux) à négocier au cas par cas.
Pour le cadre général de l’article 28, voir notre guide article 28 RGPD. Pour la distinction avec la co-responsabilité, article 28 vs article 26 RGPD.
Points clés
- L’article 28 paragraphe 3 RGPD impose 9 clauses obligatoires dans tout contrat sous-traitant. L’omission d’une seule rend le contrat non conforme.
- Un DPA conforme protège le responsable de traitement en cas d’investigation CNIL — l’absence de DPA fait peser la totalité du risque sur le donneur d’ordre.
- Les sanctions CNIL ciblent désormais directement les sous-traitants (Mobius 1M€ décembre 2025), mais le responsable conserve sa responsabilité contractuelle.
- Le DPA peut être bilatéral (Annexe au contrat principal) ou multipartite (sous-traitants ultérieurs en cascade).
- Un DPA standardisé sur la base de la Décision d’exécution UE 2021/915 (clauses contractuelles types) est une option valide pour les sous-traitants extérieurs à l’UE.
1. Les 9 clauses obligatoires de l’article 28 §3
L’article 28 paragraphe 3 RGPD liste les éléments qui doivent figurer dans tout contrat sous-traitant :
| # | Clause | Référence article 28 §3 |
|---|---|---|
| 1 | Objet et durée du traitement | a) |
| 2 | Nature et finalité du traitement | a) |
| 3 | Type de données personnelles | a) |
| 4 | Catégories de personnes concernées | a) |
| 5 | Obligations et droits du responsable de traitement | a) |
| 6 | Traitement uniquement sur instruction documentée | a) |
| 7 | Confidentialité du personnel autorisé | b) |
| 8 | Mesures de sécurité (article 32) | c) |
| 9 | Conditions de sous-traitance ultérieure | d) |
Sept obligations supplémentaires figurent aux lettres e) à h) : assistance pour les droits des personnes, assistance pour la sécurité et la notification de violation, suppression ou restitution des données en fin de prestation, mise à disposition des informations nécessaires aux audits.
2. Modèle DPA — clauses prêtes à l’emploi
Préambule
Le présent Accord de Traitement de Données (ci-après "DPA") complète
le Contrat de Service signé le [date] entre [Responsable de Traitement,
adresse, n° SIRET] (ci-après "Responsable") et [Sous-traitant, adresse,
n° SIRET] (ci-après "Sous-traitant").
Le présent DPA prévaut sur toute clause contraire du Contrat de Service
en matière de protection des données personnelles.
Article 1 — Définitions
Les termes "données personnelles", "traitement", "violation de données",
"personne concernée", "responsable de traitement", "sous-traitant" ont
le sens qui leur est donné par l'article 4 du Règlement (UE) 2016/679
(RGPD).
Article 2 — Objet, nature et finalité du traitement (Annexe 1)
Le Sous-traitant traite les données personnelles décrites en Annexe 1
("Description du traitement"), pour la seule finalité d'exécution du
Contrat de Service.
Annexe 1 doit contenir :
- Objet du traitement : [exemple : hébergement et traitement des données
clients dans le cadre de l'application X]
- Durée : [durée du Contrat de Service + délai de restitution]
- Nature : [collecte, stockage, consultation, suppression]
- Finalité : [exécution du contrat]
- Type de données : [données d'identification, coordonnées, etc.]
- Catégories de personnes concernées : [clients, salariés, prospects]
Article 3 — Instructions documentées
Le Sous-traitant ne traite les données que sur instruction documentée
du Responsable, y compris pour les transferts vers un pays tiers,
sauf obligation légale impérative à laquelle le Sous-traitant est
soumis. Dans ce dernier cas, le Sous-traitant en informe le Responsable
avant le traitement, sauf si le droit applicable interdit cette
information pour des motifs d'intérêt public.
Le Contrat de Service et ses annexes constituent l'instruction initiale
du Responsable. Toute instruction complémentaire est formalisée par
écrit (courriel, ticket de support, avenant).
Le Sous-traitant informe immédiatement le Responsable s'il considère
qu'une instruction constitue une violation du RGPD ou d'autres
dispositions de protection des données.
Article 4 — Confidentialité
Le Sous-traitant veille à ce que les personnes autorisées à traiter
les données personnelles s'engagent à respecter la confidentialité ou
soient soumises à une obligation légale appropriée de confidentialité.
Le Sous-traitant tient à jour la liste des personnes autorisées et
limite l'accès au strict nécessaire à l'exécution du Contrat.
Article 5 — Mesures de sécurité
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles
appropriées au sens de l'article 32 RGPD, notamment :
a) Chiffrement des données en transit (TLS 1.2 ou supérieur) et au repos
(AES-256 ou équivalent) ;
b) Contrôle d'accès logique avec authentification multifacteur pour les
accès administratifs ;
c) Journalisation des accès aux données sensibles, conservation des logs
pendant [durée] mois ;
d) Sauvegardes régulières et testées ;
e) Procédure documentée de gestion des incidents de sécurité ;
f) Formation annuelle du personnel à la protection des données.
Les mesures détaillées figurent en Annexe 2 ("Mesures de sécurité").
Toute modification substantielle des mesures de sécurité est notifiée
au Responsable.
Article 6 — Sous-traitance ultérieure
Le Sous-traitant peut recourir à des sous-traitants ultérieurs sous les
conditions cumulatives suivantes :
a) Information préalable du Responsable, par écrit, avec un préavis de
30 jours ;
b) Droit d'opposition motivée du Responsable ;
c) Engagement contractuel du sous-traitant ultérieur dans des termes
au moins équivalents au présent DPA ;
d) Responsabilité pleine et entière du Sous-traitant pour les actions
du sous-traitant ultérieur.
La liste des sous-traitants ultérieurs autorisés à la signature du présent
DPA figure en Annexe 3. Cette annexe est mise à jour par avenant.
Article 7 — Assistance aux demandes des personnes concernées
Le Sous-traitant met à disposition du Responsable, dans la mesure du
possible, les fonctionnalités permettant de répondre aux demandes
d'exercice des droits prévus aux articles 12 à 23 RGPD (accès,
rectification, effacement, opposition, limitation, portabilité).
Si une demande est adressée directement au Sous-traitant, il la transmet
au Responsable dans un délai de 5 jours ouvrés, sans y répondre lui-même
sauf instruction contraire.
Article 8 — Notification de violation
Le Sous-traitant notifie au Responsable toute violation de données
personnelles dans un délai maximum de 24 heures à compter de sa prise
de connaissance, par écrit aux contacts définis en Annexe 4.
La notification contient :
- Description de la violation ;
- Catégories et nombre approximatif de personnes concernées ;
- Catégories et nombre approximatif de jeux de données concernés ;
- Conséquences probables ;
- Mesures prises ou envisagées.
Le Sous-traitant assiste le Responsable dans la conduite de l'enquête,
la notification à l'autorité de contrôle (article 33 RGPD) et la
communication aux personnes concernées (article 34 RGPD).
Article 9 — Audits
Le Responsable peut, à ses frais, conduire un audit de la conformité
du Sous-traitant au présent DPA, sur préavis de 30 jours et sans
perturbation déraisonnable de l'activité du Sous-traitant.
L'audit peut être conduit par le Responsable lui-même ou par un tiers
indépendant qu'il mandate, sous engagement de confidentialité.
Le Sous-traitant peut alternativement fournir un rapport d'audit
indépendant récent (ISO 27001, SOC 2, ou équivalent) couvrant les
mesures de sécurité applicables au présent DPA.
Article 10 — Transferts internationaux
Toute transfert de données vers un pays hors UE/EEE non couvert par
une décision d'adéquation est soumis à l'une des garanties suivantes :
a) Clauses contractuelles types (CCT) de la Commission européenne du
4 juin 2021, signées en annexe au présent DPA ;
b) Règles d'entreprise contraignantes (BCR) approuvées ;
c) Mécanisme de certification reconnu (par exemple, EU-U.S. Data
Privacy Framework pour les destinataires américains certifiés).
Le Sous-traitant conduit, sur demande du Responsable, une analyse
d'impact transfert (TIA) documentant les risques liés à l'accès des
autorités étrangères et les mesures de mitigation.
Article 11 — Fin du Contrat
À la fin du Contrat de Service, le Sous-traitant, au choix du
Responsable :
a) Restitue les données personnelles dans un format structuré et
couramment utilisé, dans un délai de 30 jours ;
b) Supprime les données personnelles, à l'exception de celles que le
droit applicable lui impose de conserver, et certifie la suppression
par écrit dans un délai de 60 jours.
Les sauvegardes contenant des données personnelles sont supprimées
selon le cycle de rotation prévu, ne dépassant pas [durée] mois.
Article 12 — Responsabilité
Le Sous-traitant est responsable des dommages causés par un traitement
non conforme au RGPD, en cas de manquement à ses obligations spécifiques
ou aux instructions du Responsable.
Les plafonds de responsabilité prévus au Contrat de Service ne
s'appliquent pas aux manquements du Sous-traitant à l'article 28 RGPD,
dans la limite des dispositions impératives applicables.
3. Les 8 erreurs qui invalident un DPA
- Annexes vides — Les annexes (description du traitement, mesures de sécurité, sous-traitants ultérieurs) sont obligatoires. Un DPA sans Annexe 1 remplie est inutilisable juridiquement.
- Sous-traitance ultérieure sans encadrement — Clause autorisant le sous-traitant à recourir librement à d’autres sous-traitants sans information préalable.
- Délai de notification de violation supérieur à 48h — Compte tenu du délai 72h imposé au responsable par l’article 33, le sous-traitant doit notifier dans les 24-48h maximum.
- Absence de clause d’audit — Ou clause d’audit conditionnée à l’accord du sous-traitant.
- Clause limitative de responsabilité étendue aux manquements RGPD — La responsabilité ne peut être plafonnée pour les manquements à l’article 28.
- Transferts internationaux sans garantie — Mention vague “le sous-traitant respecte le RGPD” sans CCT ni mécanisme reconnu.
- Suppression des données non spécifiée — Clause de fin de contrat sans délai ni format de restitution/suppression.
- Confusion responsable/sous-traitant — Le DPA traite le sous-traitant comme un responsable distinct, créant une co-responsabilité non voulue (cas typique avec les SaaS analytics).
4. Cas pratique : SaaS RH suisse
Une PME française utilise un SaaS RH hébergé en Suisse. Données traitées : fiches collaborateurs (identité, rémunération, évaluations). Sous-traitant ultérieur : prestataire de notification email en Allemagne.
DPA à rédiger :
- Annexe 1 : finalité = gestion administrative et paie. Données = identité, coordonnées, rémunération, évaluations annuelles. Personnes = salariés et anciens salariés.
- Annexe 2 : chiffrement TLS 1.3, AES-256 au repos, MFA pour accès admin, ISO 27001 certifié.
- Annexe 3 : sous-traitants ultérieurs autorisés (prestataire email DE, hébergeur cloud CH), avec mention explicite.
- Article 10 : transfert FR → CH couvert par décision d’adéquation 2024 (pas de CCT requises). Voir transferts vers la Suisse.
- Article 8 : notification du sous-traitant au responsable sous 24h, format e-mail dédié.
5. Automatiser la gestion des DPA
Pour une PME avec 20 à 100 sous-traitants (cloud, analytics, paie, marketing, support), la gestion manuelle des DPA devient ingérable. Legiscope audite automatiquement chaque DPA fourni par un sous-traitant — détection des clauses manquantes, alerte sur les sous-traitants ultérieurs non listés, score de conformité art. 28. Pour la rédaction côté responsable, le générateur produit un DPA conforme en quelques minutes.
Pour la méthodologie d’audit, voir notre checklist audit sous-traitants RGPD.
Conclusion
Un DPA conforme à l’article 28 RGPD repose sur neuf clauses obligatoires, mais sa qualité réelle se joue dans les annexes : description précise du traitement, liste à jour des sous-traitants ultérieurs, mesures de sécurité auditables. Le modèle fourni dans cet article couvre les exigences réglementaires ; il doit être adapté à chaque relation contractuelle.
Pour la suite : checklist audit sous-traitants, article 28 vs article 26, guide complet article 28 RGPD.
FAQ
Un DPA est-il obligatoire pour tout sous-traitant ?
Oui. L’article 28 paragraphe 3 RGPD impose un contrat écrit avec tout sous-traitant traitant des données personnelles pour le compte d’un responsable. L’absence de DPA expose le responsable à une sanction administrative, indépendamment du comportement du sous-traitant.
Peut-on utiliser le DPA standard fourni par un fournisseur SaaS ?
Oui, si le DPA couvre les neuf clauses obligatoires de l’article 28 §3 et si les annexes sont complétées. Les DPA des grands fournisseurs (AWS, Microsoft, Google) sont généralement conformes mais les annexes (description du traitement) doivent être adaptées à votre cas d’usage.
Quelle est la différence entre un DPA et des clauses contractuelles types (CCT) ?
Le DPA est le contrat sous-traitant général au sens de l’article 28. Les CCT sont des clauses spécifiques aux transferts internationaux (article 46), à signer en complément du DPA pour les sous-traitants extérieurs à l’UE/EEE et pays adéquats.
Le DPA doit-il être signé avant le début du traitement ?
Oui. L’article 28 §3 impose le contrat préalable au traitement. Une signature tardive expose le responsable à une sanction et complique la gestion d’une éventuelle violation survenue avant la signature.
Combien de DPA une PME doit-elle gérer ?
Une PME B2B typique gère entre 15 et 50 DPA actifs : fournisseurs cloud (3-5), CRM, paie, RH, marketing, support, analytics, comptabilité, hébergement, etc. Au-delà de 30 sous-traitants, l’automatisation devient nécessaire pour suivre les renouvellements, les nouveaux sous-traitants ultérieurs, et les modifications des mesures de sécurité.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo
