Contrat de sous-traitance RGPD (DPA)

Modele Data Processing Agreement (DPA) conforme Art. 28 RGPD 2026. Clauses obligatoires Art. 28.3, securite Art. 32, transferts hors UE Art. 46, violation Art. 33 sous 24h, droits Art. 15-22. Pret a personnaliser.

Ce modèle de Data Processing Agreement (DPA) est conforme à l'article 28 du RGPD et intègre les 8 clauses obligatoires que tout contrat de sous-traitance en matière de données personnelles doit comporter. Il s'adresse aux responsables de traitement qui confient à un prestataire (hébergeur, SaaS, agence, prestataire de paie, etc.) le traitement de données personnelles, et inversement aux sous-traitants qui souhaitent proposer un DPA conforme à leurs clients. Niveau de complexité : intermédiaire — la complexité tient à la description précise du traitement et à l'identification des sous-traitants ultérieurs.

Vérifié Me Sandy Lacroix

Word + PDF personnalisable

Téléchargement immédiat

Paiement Stripe sécurisé · Facture PDF · Mise à jour à vie

Contenu du modèle

Tout ce qu'un cabinet vous facturerait.
Pour 9.99€.

Un modèle prêt à publier, vérifié par avocate, articles de loi cités, jurisprudence à jour, conformité 2026 intégrée.

Document principal

Modèle juridique complet, articles de loi intégrés

Document Word personnalisable + PDF prêt à signer. Chaque clause sourcée Légifrance, vérifiée par Me Lacroix, mise à jour à chaque évolution législative.

Avoir signé ou être sur le point de signer un contrat de prestation impliquant le traitement de données personnelles
Avoir cartographié les traitements concernés (registre Art. 30 du Responsable)
Avoir identifié les éventuels sous-traitants ultérieurs du prestataire (hébergeur cloud, prestataires techniques)
Avoir vérifié les lieux de traitement (UE vs hors UE) et les garanties applicables aux transferts
Disposer des coordonnées du DPO du Sous-traitant (s'il en a désigné un)

Validation juridique

Vérifié par avocate inscrite

Maître Sandy Lacroix, Barreau de Tulle depuis 2011, valide chaque modèle et signe une attestation de conformité.

Format

Word + PDF, prêt à signer

Document Word personnalisable et PDF auto-rempli depuis votre profil. Archive ZIP avec LISEZ-MOI inclus.

MAJ légales

À vie, sans surcoût

Re-téléchargez la dernière version à chaque réforme.

Conformité 2026

Réformes intégrées

Ord. 2026-2, DSA, EAA, RGPD déjà inclus.

Paiement

Stripe + 3DS2

Paiement sécurisé, facture PDF automatique.

Comparatif

Pourquoi pas un modèle gratuit ou un avocat ?

Le bon réflexe dépend de votre situation. Trois options, trois rapports qualité-prix.

Modèle gratuit en ligne

0 €

Modèle générique, non-vérifié

Aucune vérification avocat
Lois souvent dépassées
Pas de MAJ légales
Risque clauses abusives
Téléchargement immédiat

DossierJuridique.fr

9.99€ TTC

Vérifié avocate · MAJ à vie

Validé Me Lacroix
Réformes 2026 intégrées
MAJ légales à vie gratuite
Word + PDF + auto-remplissage
Garantie remboursement 14 j

Avocat traditionnel

250–800 €

Sur-mesure, délai 1–3 semaines

Conseil personnalisé
Rédaction sur-mesure
Délai 1 à 3 semaines
Refacturé à chaque MAJ
Pertinent si litige complexe

Conformément à la loi 71-1130 art. 54, nos modèles ne constituent pas une consultation juridique. Pour une situation complexe, consultez un avocat.

Guide d'utilisation

Comment utiliser ce modèle, étape par étape

Confirmation par email
Après paiement, vous recevez un email avec votre facture et un lien direct vers votre compte.
Accès depuis « Mes templates achetés »
Votre modèle apparaît en tête de liste dans votre espace personnel, accessible à tout moment.
Deux modes au choix
Téléchargement DOCX brut (Word vide à remplir) ou PDF personnalisé via formulaire wizard.
Personnalisation rapide
Le wizard pré-remplit automatiquement les champs depuis votre profil DossierJuridique (raison sociale, SIRET, capital, adresse…).
Archive ZIP finalisée
Archive contenant votre document final accompagné d'un LISEZ-MOI avec disclaimers et normes légales applicables.

6 champs à personnaliser dans Contrat de sous-traitance RGPD (DPA)

Raison sociale du Responsable

Auto-rempli depuis votre profil entreprise. C'est l'entité qui détermine les finalités et les moyens du traitement (Art. 4.7 RGPD). Vérifiez l'orthographe exacte telle qu'inscrite au RCS.

Exemple : ACME SAS (pas 'Acme' ni 'Acme société par actions simplifiée')

Erreurs courantes :

Confondre nom commercial et raison sociale
Omettre la forme juridique

Nature des opérations

Décrivez précisément les opérations que le Sous-traitant effectuera : collecte, stockage, hébergement, transmission, consultation, modification, suppression, analyse, archivage. Cette description conditionne l'étendue de la mission et la responsabilité.

Exemple : Hébergement de la base de données clients sur serveurs cloud, sauvegarde quotidienne chiffrée, mise à disposition via API REST sécurisée HTTPS/TLS 1.3

Erreurs courantes :

Description trop vague ('traitement de données')
Oubli d'opérations critiques (sauvegardes, logs, archivage)

Catégories de données

Listez précisément les catégories de données traitées : identité, contact, transaction, navigation, géolocalisation, etc. Si des données sensibles (Art. 9) ou pénales (Art. 10) sont concernées, cochez la case « données sensibles » pour activer les mesures renforcées.

Exemple : Identité (nom, prénom, date de naissance), contact (email, téléphone, adresse postale), historique commercial (commandes, factures), données de connexion (logs, adresse IP)

Erreurs courantes :

Oublier les données techniques (IP, cookies, logs)
Ne pas distinguer données sensibles vs données ordinaires

Lieux de traitement

Indiquez tous les pays où les données seront physiquement traitées (datacenters, bureaux du Sous-traitant et de ses sous-traitants ultérieurs). Cette information est critique : tout traitement hors UE déclenche l'obligation d'encadrement Art. 44-49 et d'analyse d'impact des transferts (TIA) post-Schrems II.

Exemple : Datacenters principaux à Paris (France) et Francfort (Allemagne). Support technique opéré depuis Lisbonne (Portugal). Aucun transfert hors UE.

Erreurs courantes :

Omettre les pays du support technique
Ignorer les sous-traitants ultérieurs hors UE (ex. : sous-traitant cloud avec datacenter aux USA)

Délai de notification d'une violation

Le Sous-traitant doit notifier le Responsable au plus tôt pour permettre à ce dernier de respecter le délai de 72 heures pour notifier la CNIL (Art. 33.1 RGPD). Pratique recommandée : 24 heures, voire 48 heures maximum. Au-delà, le Responsable risque de ne pas pouvoir respecter ses propres obligations.

Exemple : 24 heures (recommandé pour traitements à risque élevé)

Erreurs courantes :

Fixer un délai > 72h (incompatible avec l'obligation du Responsable)
Ne pas définir le contenu minimum de la notification

Données sensibles (Art. 9) ou pénales (Art. 10)

Cochez OUI si le traitement porte sur des données de santé, biométriques, génétiques, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, orientation sexuelle, ou condamnations pénales. Cela active des mesures de sécurité renforcées et peut imposer une AIPD obligatoire (Art. 35.3).

Exemple : OUI pour un prestataire de téléconsultation médicale, NON pour un prestataire CRM standard

Erreurs courantes :

Sous-estimer le caractère sensible (ex. : photos d'identité = biométrie potentielle)
Oublier les inférences sensibles (ex. : abonnement à un magazine LGBT+)

Délais & envoi

Tout pour réussir l'envoi de votre dossier

2 délais à respecter sous peine d'irrecevabilité

72 heures pour notifier une violation à la CNIL (Art. 33.1 RGPD) (Art. 33.1 RGPD) — point de départ : Prise de connaissance de la violation par le Responsable
1 mois pour répondre à une demande d'exercice de droits (prorogeable de 2 mois si complexité) (Art. 12.3 RGPD) — point de départ : Réception de la demande par le Responsable

Continuer

Vos questions, nos réponses

Quand le DPA Art. 28 RGPD est-il obligatoire ?

Un contrat de sous-traitance écrit (DPA) est obligatoire dès qu'un sous-traitant traite des données personnelles pour le compte d'un responsable (Art. 28.3 RGPD). Sont concernés : hébergeurs cloud (AWS, OVH, Azure, GCP), prestataires SaaS (CRM, emailing, ticketing, RH), agences marketing, prestataires paie, prestataires de développement, services analytics, centres d'appel. La forme écrite (électronique acceptée — Art. 28.9) est une condition de validité. Sans DPA conforme, le responsable engage sa responsabilité (Art. 24) et le sous-traitant peut être requalifié responsable conjoint (Art. 26).

Quelles sont les 8 clauses obligatoires d'un DPA selon l'Art. 28.3 RGPD ?

L'Art. 28.3 RGPD impose 8 clauses obligatoires : (a) traitement sur instructions documentées du responsable, (b) confidentialité du personnel, (c) mesures de sécurité Art. 32, (d) recours à sous-traitants ultérieurs sous autorisation écrite préalable, (e) assistance pour droits des personnes Art. 12-22, (f) assistance pour notification violations Art. 33-34 et AIPD Art. 35-36, (g) suppression ou restitution des données en fin de contrat, (h) audit et information du responsable. L'omission d'une seule clause rend le DPA non-conforme et expose à sanction CNIL (Art. 83.4.a : jusqu'à 10 millions d'euros ou 2 % du CA mondial).

Que se passe-t-il en cas de transfert hors UE par le sous-traitant ?

Tout transfert hors UE doit être encadré par : décision d'adéquation de la Commission européenne (Art. 45 — pays comme Japon, Royaume-Uni, Canada partiel, Corée du Sud), OU clauses contractuelles types (CCT) version Décision (UE) 2021/914 du 4 juin 2021 (Art. 46.2.c), OU règles d'entreprise contraignantes BCR (Art. 47). Depuis l'arrêt Schrems II (CJUE 16/07/2020, C-311/18), une analyse d'impact des transferts (TIA — Transfer Impact Assessment) documentée est exigée, et des mesures supplémentaires (chiffrement de bout en bout, pseudonymisation) doivent compléter les CCT lorsque la protection effective dans le pays de destination est insuffisante. Sans encadrement valide, le transfert est illicite.

Le sous-traitant peut-il déléguer à un autre sous-traitant ?

Oui mais sous conditions strictes (Art. 28.2 et 28.4 RGPD) : autorisation écrite préalable du responsable (spécifique ou générale avec information préalable de tout changement permettant au responsable d'émettre des objections), répercussion exacte de toutes les obligations RGPD au sous-traitant ultérieur via un DPA équivalent. Le sous-traitant initial reste pleinement responsable envers le responsable du respect des obligations par le sous-traitant ultérieur (Art. 28.4 in fine). En pratique : tenir une liste à jour des sous-traitants ultérieurs autorisés annexée au DPA (Annexe 2 de notre modèle).

Quelle sanction en cas d'absence ou de DPA non-conforme ?

L'Art. 83.4.a RGPD sanctionne le manquement aux obligations du responsable et du sous-traitant Art. 28 par une amende administrative jusqu'à 10 millions d'euros OU 2 % du chiffre d'affaires mondial annuel (le montant le plus élevé étant retenu). Risque additionnel : action en responsabilité civile (Art. 82) par les personnes concernées pour le préjudice subi. La CNIL a sanctionné plusieurs entreprises pour DPA absents ou lacunaires en 2023-2024 (manquement fréquent dans les contrôles). Le DPA est l'un des premiers documents demandés lors d'un contrôle CNIL, avec le registre Art. 30.

Le DPA peut-il être signé électroniquement ?

Oui. L'article 28.9 du RGPD dispose expressément que le contrat de sous-traitance peut être conclu « sous forme électronique ». Une signature électronique avancée ou qualifiée (au sens du règlement eIDAS 910/2014) est recommandée pour les contrats sensibles, mais une simple signature électronique simple (DocuSign, Yousign en mode standard) est juridiquement valide pour un DPA. Conservez la preuve technique de signature (certificat, hash, audit trail) pendant toute la durée du traitement plus 5 ans.

Un DPA peut-il être intégré directement dans le contrat principal ou doit-il être séparé ?

Les deux options sont valides juridiquement. La pratique recommandée est de rédiger le DPA comme un document séparé annexé au contrat principal, pour deux raisons : (1) lisibilité — les clauses RGPD sont nombreuses et techniques, leur séparation facilite la lecture et la mise à jour ; (2) modularité — en cas de modification d'une clause RGPD (nouveau sous-traitant ultérieur, changement de lieu de traitement), seul l'avenant au DPA est à signer, sans toucher au contrat commercial principal. La CNIL recommande la séparation dans ses lignes directrices sur la sous-traitance.

Comment auditer mon sous-traitant en pratique ?

L'Art. 28.3.h impose au sous-traitant de permettre les audits du responsable. En pratique trois niveaux : (1) audit documentaire — le sous-traitant fournit politique de sécurité, certifications (ISO 27001, SecNumCloud, HDS pour la santé), rapports SOC 2, registre des sous-traitants ultérieurs ; (2) audit questionnaire — questionnaire de sécurité détaillé (souvent 100-200 questions) que le sous-traitant remplit annuellement ; (3) audit sur site — visite physique des datacenters et bureaux, généralement réalisée par un auditeur indépendant mandaté par le responsable. Préavis recommandé : 15 jours. Hors cas d'urgence (violation de données, demande CNIL) où l'audit peut être immédiat.

Téléchargez votre modèle maintenant

9.99€ TTC, paiement Stripe sécurisé, archive ZIP livrée immédiatement par email. Vérifiée par avocate, prête à publier.

Satisfait ou remboursé 14 joursSans condition (Art. L.221-18 C. conso)
MAJ légales à vieRe-téléchargeable à chaque réforme
Support 7 j/7Réponse sous 24 h
Paiement Stripe + 3DS2Données bancaires jamais stockées

Contrat de sous-traitance RGPD (DPA)