Modèle DPA RGPD : guide complet pour rédiger un contrat de sous-traitance conforme (article 28)

Comment rédiger un DPA conforme à l'article 28 du RGPD ? Quelles clauses sont obligatoires ? Qui doit le rédiger ? Guide complet avec structure type et erreurs à éviter.

Qu’est-ce qu’un modèle DPA RGPD ?

Un modèle DPA (Data Processing Agreement) est un contrat type qui encadre la relation entre un responsable de traitement et son sous-traitant, conformément à l’article 28 du RGPD. Sans ce document signé, les deux parties s’exposent à des sanctions directes de la CNIL — et à une responsabilité solidaire en cas de violation de données.

Depuis mai 2018, le DPA n’est plus une option. C’est une obligation légale systématique dès qu’une entreprise confie le traitement de données personnelles à un prestataire externe : hébergeur, CRM SaaS, agence email, sous-traitant comptable, prestataire RH, etc.

Les 9 mentions obligatoires d’un DPA conforme à l’article 28

L’article 28 du RGPD définit précisément ce que doit contenir tout contrat de sous-traitance de données. Voici les clauses indispensables, sans lesquelles votre DPA sera considéré comme non conforme :

1. L’objet et la durée du traitement

Le DPA doit préciser la nature exacte du service fourni (hébergement, traitement de paie, envoi d’emails marketing…), la durée de la prestation et, par extension, la durée du traitement des données.

2. La nature et la finalité du traitement

Que fait concrètement le sous-traitant avec les données ? Stockage, analyse, transmission, enrichissement ? Et dans quel but précis ? Ces éléments doivent être explicitement listés — toute utilisation non prévue constitue une violation.

3. Le type de données et les catégories de personnes concernées

Nommez précisément les données traitées (nom, email, données bancaires, données de santé…) et les personnes concernées (clients, prospects, salariés, mineurs…). Si des catégories particulières de données sont impliquées (santé, origines ethniques, opinions politiques), des protections renforcées s’appliquent.

4. L’interdiction de traiter à d’autres fins

Le sous-traitant ne peut utiliser les données que pour les finalités définies dans le contrat, sur instruction documentée du responsable. Cette clause protège le responsable de traitement contre tout usage détourné par le prestataire.

5. Les mesures de sécurité

Le DPA doit lister ou référencer les mesures techniques et organisationnelles mises en place par le sous-traitant : chiffrement, contrôle des accès, journalisation, procédures de sauvegarde, formation du personnel. Ces mesures doivent être proportionnées au niveau de risque des données traitées.

6. La gestion des sous-traitants ultérieurs

Si le sous-traitant fait appel à d’autres prestataires (sous-traitants de niveau 2), le DPA doit prévoir : la liste de ces sous-traitants ou le mécanisme d’autorisation, l’obligation de leur imposer les mêmes garanties, et le droit du responsable de s’y opposer.

7. L’assistance aux droits des personnes

Le sous-traitant doit aider le responsable à répondre aux demandes d’exercice de droits (accès, rectification, effacement, portabilité, opposition). Le DPA doit préciser les modalités et délais de cette assistance.

8. La notification des violations de données

En cas de violation, le sous-traitant doit notifier le responsable dans les meilleurs délais. Le DPA doit définir le canal de notification, les informations à fournir et le délai cible (recommandation : 24-48h pour permettre la notification CNIL dans les 72h).

9. La restitution ou destruction des données en fin de contrat

À l’expiration du contrat, le DPA doit préciser si les données sont restituées au responsable ou détruites, dans quel format, sous quel délai, et comment cette opération est attestée.

Structure type d’un modèle DPA RGPD

Un DPA bien structuré comprend généralement les sections suivantes :

  1. Préambule et définitions — identification des parties, définitions RGPD clés
  2. Objet du contrat — description de la prestation et du traitement
  3. Durée — date d’entrée en vigueur et conditions de fin
  4. Instructions de traitement — périmètre des données et des personnes concernées
  5. Obligations du sous-traitant — les 9 points de l’article 28
  6. Sous-traitants ultérieurs — liste ou mécanisme d’autorisation
  7. Transferts hors UE — mécanismes applicables si transfert vers un pays tiers
  8. Audit et documentation — droits d’audit du responsable, registre du sous-traitant
  9. Annexes — liste des mesures de sécurité, liste des sous-traitants ultérieurs, description technique du traitement

DPA : qui doit le rédiger, le responsable ou le sous-traitant ?

C’est au responsable de traitement qu’incombe l’obligation d’encadrer la relation par un DPA — il doit « recourir uniquement à des sous-traitants qui présentent des garanties suffisantes » (art. 28.1) et formaliser cette relation par contrat.

En pratique, c’est souvent le sous-traitant qui propose son propre DPA, notamment dans le secteur SaaS. Les grandes plateformes (AWS, Google Cloud, Salesforce, Hubspot…) imposent leurs DPA standards, accessibles en ligne. Dans le cadre d’une prestation sur mesure, la négociation du DPA est bilatérale.

Règle d’or : si votre prestataire ne vous propose pas de DPA et refuse d’en signer un, c’est un signal d’alerte majeur sur sa maturité RGPD — et votre propre conformité est en jeu.

Les erreurs les plus fréquentes dans les DPA

DPA trop vague sur la nature des données

Un DPA qui mentionne simplement « données clients » sans préciser leur nature (email, téléphone, données bancaires, historique d’achat…) n’est pas conforme. La CNIL attend une description précise et actualisée.

Liste de sous-traitants ultérieurs absente ou non mise à jour

Beaucoup de DPA omettent de lister les sous-traitants de niveau 2 (hébergeur, outil d’analytics, CDN…). Or cette liste doit être exhaustive et mise à jour dès qu’un nouveau prestataire est ajouté, avec information préalable du responsable de traitement.

Mesures de sécurité non détaillées

Mentionner « mesures de sécurité appropriées » sans les détailler est insuffisant. Listez-les en annexe : chiffrement AES-256, authentification multi-facteurs, tests de pénétration annuels, SLA de réponse aux incidents, etc.

Absence de clause sur les transferts hors UE

Si votre sous-traitant héberge des données sur des serveurs américains ou utilise des services tiers situés hors UE (Mailchimp, Stripe, Intercom…), la clause de transfert est indispensable. Elle doit référencer le mécanisme utilisé : clauses contractuelles types (CCT) de la Commission européenne, décision d’adéquation, règles d’entreprise contraignantes (BCR).

DPA et clauses contractuelles types (CCT) : quelle différence ?

Les clauses contractuelles types (CCT) sont des modèles adoptés par la Commission européenne pour encadrer les transferts de données vers des pays tiers. Elles ne remplacent pas le DPA — elles le complètent.

  • Le DPA encadre la relation sous-traitant / responsable au sein de l’UE
  • Les CCT encadrent le transfert des données vers un pays hors UE
  • Si votre sous-traitant est établi hors UE, vous avez besoin des deux

Les CCT de 2021 (Commission européenne, juin 2021) sont actuellement les seules versions valides — les anciennes versions ne sont plus acceptées depuis décembre 2022.

Comment auditer vos DPA existants ?

Si votre entreprise a déjà des contrats en place avec des sous-traitants, voici une méthode rapide pour évaluer leur conformité :

  1. Inventoriez tous vos sous-traitants — partez de votre registre des traitements ou de vos factures récurrentes
  2. Vérifiez l’existence d’un DPA pour chacun — contrat signé, conditions générales avec clause DPA, ou DPA accessible en ligne
  3. Vérifiez la présence des 9 mentions obligatoires — utilisez notre checklist article 28
  4. Identifiez les sous-traitants sans DPA — priorité absolue : les prestataires qui accèdent à des données sensibles ou à volume élevé
  5. Mettez à jour ou renégociez — proposez un modèle DPA ou demandez au prestataire de mettre à jour le sien

FAQ — Modèle DPA RGPD

Un DPA peut-il être intégré dans les CGV ou CGU ?

Oui, à condition que les clauses de l’article 28 y figurent explicitement et que les parties aient bien accepté ces conditions. C’est courant dans les SaaS B2B. Attention : un simple renvoi aux « conditions de confidentialité » sans détail n’est pas suffisant.

Faut-il un DPA pour chaque prestataire ?

Oui, dès lors qu’un prestataire traite des données personnelles pour votre compte. Cela inclut votre hébergeur web, votre outil de newsletter, votre CRM, votre logiciel de paie, votre comptable en ligne, votre prestataire de support client…

Quelle est la durée de validité d’un DPA ?

Un DPA est valable pour la durée de la prestation. Il doit être mis à jour dès que la nature des traitements change significativement, ou dès qu’un nouveau sous-traitant de niveau 2 est intégré. Il est conseillé de procéder à une revue annuelle de tous vos DPA.

Un DPA signé électroniquement est-il valide ?

Oui. La signature électronique (simple, avancée ou qualifiée) est juridiquement valide pour un DPA. Des outils comme DocuSign, Yousign ou HelloSign sont couramment utilisés pour formaliser et archiver ces accords.

Étiquettes

Publications similaires

Tendance actuelle

Sous-traitant RGPD : obligations, responsabilités et conformité (guide complet)
Modèle DPA RGPD : guide complet pour rédiger un contrat de sous-traitance conforme (article 28)
DPO externe : missions, tarifs 2025 et guide pour bien choisir votre délégué à la protection des données
découvrez les informations essentielles et les actualités autour du terme dpa. explorez nos ressources pour mieux comprendre son importance et ses applications.
Dpa : comprendre les enjeux et les applications en 2026

Propulsé par
Les cookies nécessaires activent des fonctionnalités essentielles du site comme les connexions sécurisées et les ajustements des préférences de consentement. Ils ne stockent pas de données personnelles.
Aucun
Les cookies fonctionnels supportent des fonctionnalités comme le partage de contenu sur les réseaux sociaux, la collecte de retours, et l’activation d’outils tiers.
Aucun
Les cookies analytiques suivent les interactions des visiteurs, fournissant des informations sur des métriques comme le nombre de visiteurs, le taux de rebond et les sources de trafic.
Aucun
Les cookies publicitaires diffusent des annonces personnalisées basées sur vos visites précédentes et analysent l’efficacité des campagnes publicitaires.
Aucun
Propulsé par