Contrat de Sous-Traitance RGPD (DPA) — Modèle Gratuit France | forms-legal.com

Le Contrat de Sous-Traitance RGPD (DPA) est, en droit français, un contrat de sous-traitance de données à caractère personnel encadrant les obligations du sous-traitant envers le responsable de traitement. Il est régi par Règlement UE 2016/679 (RGPD) art. 28.

Le terme « DPA » (Data Processing Agreement) désigne en anglais ce même instrument contractuel devenu obligatoire dans toute relation commerciale impliquant un traitement externalisé de données personnelles. Le sous-traitant, au sens du RGPD, est l'entité — personne physique ou morale, autorité publique, service ou autre organisme — qui traite des données personnelles pour le compte du responsable de traitement. Cette relation triangulaire (personnes concernées → responsable → sous-traitant) crée une chaîne de responsabilités que le DPA formalise et documente.

Contrairement à une idée reçue, le DPA n'est pas une simple formalité administrative. Il constitue une exigence légale absolue : l'article 28 §3 RGPD dispose que « le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique » comportant au minimum sept clauses obligatoires. L'absence de DPA expose le responsable de traitement à une amende administrative pouvant atteindre 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, selon le montant le plus élevé (art. 83 §4 RGPD). En France, la CNIL a infligé des amendes de ce type à des acteurs comme Amazon (32 M€ en 2022), Google (150 M€ en 2022) ou Clearview AI (20 M€ en 2022).

Le DPA précise notamment : l'objet et la durée du traitement ; la nature et la finalité du traitement ; le type de données à caractère personnel ; les catégories de personnes concernées ; les obligations et droits du responsable de traitement. Il impose au sous-traitant de ne traiter les données que sur instruction documentée du responsable, de garantir la confidentialité via des engagements de ses personnels, de mettre en œuvre les mesures de sécurité appropriées au titre de l'article 32 RGPD, de respecter les conditions encadrant le recours à un autre sous-traitant (sous-sous-traitance), d'aider le responsable à répondre aux droits des personnes concernées, et de supprimer ou restituer les données à l'issue du traitement. Les Lignes directrices 07/2020 du Comité Européen de la Protection des Données (CEPD) précisent l'interprétation de chacune de ces obligations.

Le Contrat de Sous-Traitance RGPD (DPA) en France est requis dès qu'un responsable de traitement fait appel à un prestataire externe pour traiter des données à caractère personnel en son nom, quelles que soient la taille des organisations, la nature des données ou le volume des traitements concernés. Cette obligation s'applique sans exception depuis le 25 mai 2018, date d'application directe du RGPD dans l'ensemble de l'Union européenne.

Les situations les plus courantes nécessitant un DPA en France incluent : le recours à un hébergeur cloud (AWS, Microsoft Azure, Google Cloud, OVHcloud) pour stocker des données clients ; l'externalisation de la paie à un cabinet spécialisé (Cegid, Sage, ADP) ; l'utilisation d'une solution SaaS de gestion commerciale (Salesforce, HubSpot, Pipedrive) ; le recours à une agence marketing gérant des campagnes email avec accès aux listes de contacts ; la mise en œuvre d'outils d'analyse web (Google Analytics, Matomo) dans les conditions où ils impliquent un accès aux données personnelles ; l'externalisation du support client à un centre d'appels ; le recours à un prestataire de sécurité informatique ayant accès aux systèmes d'information contenant des données personnelles.

Le DPA est aussi obligatoire pour les sous-traitants établis hors Union européenne traitant des données de résidents européens. Dans ce cas, il doit être complété par un mécanisme de transfert hors UE valide : Clauses Contractuelles Types (CCT) de la Commission européenne adoptées le 4 juin 2021, Binding Corporate Rules (BCR) validées par une autorité de contrôle, ou décision d'adéquation couvrant le pays tiers (par exemple, l'accord EU-US Data Privacy Framework depuis juillet 2023 pour les États-Unis, ou les décisions couvrant le Japon, la Corée du Sud, le Royaume-Uni post-Brexit, etc.).

En pratique, le DPA doit être en place avant le début effectif du traitement. Les Lignes directrices CEPD 07/2020 précisent qu'une simple politique de confidentialité accessible en ligne ne suffit pas : un accord bilatéral signé entre les parties est exigé. Les grandes entreprises disposant d'un Délégué à la Protection des Données (DPO) désigné auprès de la CNIL doivent tenir un registre de tous leurs DPA actifs dans le cadre de leurs obligations de documentation (art. 30 RGPD). La CNIL recommande également de revoir périodiquement les DPA existants pour s'assurer de leur conformité aux évolutions réglementaires (notamment après l'invalidation du Privacy Shield en 2020 par l'arrêt Schrems II de la CJUE).

Le Contrat de Sous-Traitance RGPD (DPA) en France doit impérativement contenir les clauses suivantes pour être conforme à l'article 28 RGPD et aux recommandations de la CNIL.

**Identification précise du traitement.** L'annexe de traitement (ou Schedule 1) doit décrire avec précision : l'objet du traitement (ex. « gestion de la relation client via CRM SaaS ») ; les finalités poursuivies (ex. « facturation, suivi des commandes, support client ») ; la nature des opérations (collecte, enregistrement, organisation, structuration, conservation, adaptation, extraction, consultation, utilisation, communication par transmission, diffusion, effacement ou destruction) ; les catégories de données (identité, coordonnées, données transactionnelles, données comportementales — a fortiori si données sensibles au sens de l'art. 9 RGPD : données de santé, biométriques, etc.) ; les catégories de personnes concernées (clients, prospects, salariés, fournisseurs) ; et la durée de conservation.

**Instruction documentée.** Le sous-traitant ne doit traiter les données que sur instruction documentée du responsable. Toute instruction nouvelle doit faire l'objet d'un avenant écrit. Si le sous-traitant estime qu'une instruction viole le RGPD, il doit en informer immédiatement le responsable (art. 28 §3 h).

**Obligation de confidentialité.** Le sous-traitant doit s'assurer que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité. Des clauses de confidentialité individuelles ou des NDA internes sont recommandés.

**Mesures de sécurité (art. 32 RGPD).** Le DPA doit préciser les mesures techniques et organisationnelles mises en œuvre : chiffrement des données en transit (TLS 1.2+) et au repos (AES-256) ; pseudonymisation ; contrôles d'accès (IAM, MFA) ; tests de pénétration ; plan de continuité d'activité (PCA/PRA) ; politique de gestion des incidents. Le CEPD recommande de faire référence aux normes ISO 27001, SOC 2 Type II ou EUCS (European Union Cybersecurity Scheme) le cas échéant.

**Sous-sous-traitance.** Le sous-traitant ne peut recruter un autre sous-traitant qu'avec l'autorisation préalable écrite, générale ou spécifique, du responsable. En cas d'autorisation générale, le sous-traitant doit informer le responsable de tout changement et lui accorder un droit d'opposition. Le sous-sous-traitant est soumis aux mêmes obligations que le sous-traitant principal.

**Assistance au responsable.** Le sous-traitant doit aider le responsable à : répondre aux demandes d'exercice des droits (accès, rectification, effacement, opposition, portabilité — RGPD art. 15 à 22) ; réaliser des analyses d'impact (AIPD/DPIA) et des consultations préalables (art. 35-36) ; notifier les violations de données à la CNIL dans les 72h (art. 33) et aux personnes concernées si le risque est élevé (art. 34).

**Restitution/suppression des données.** À l'expiration du contrat, le sous-traitant doit, au choix du responsable, supprimer toutes les données ou les restituer sous un format portable standard, puis certifier la suppression par écrit.

**Audit et contrôle.** Le responsable doit disposer d'un droit d'audit, exercé directement ou via un auditeur mandaté, avec préavis raisonnable (généralement 30 jours). Le sous-traitant peut proposer des rapports de certification (ISO 27001, SOC 2) en substitution.

formes-legal.com propose un modèle DPA pré-structuré avec toutes ces clauses, adapté aux dernières recommandations du CEPD et de la CNIL, téléchargeable gratuitement et personnalisable selon les besoins spécifiques de chaque relation de sous-traitance.

Le Contrat de Sous-Traitance RGPD (DPA) en France se remplit en plusieurs étapes structurées permettant de s'assurer de l'exhaustivité et de la conformité du document.

**Étape 1 — Identifier les parties avec précision.** Renseigner les coordonnées complètes du Responsable de traitement (nom ou raison sociale, forme juridique, numéro SIREN, adresse du siège, coordonnées du DPO s'il existe) et du Sous-traitant (mêmes informations). Si le sous-traitant est établi hors UE, préciser son représentant UE désigné en vertu de l'article 27 RGPD.

**Étape 2 — Compléter l'annexe de traitement (Schedule 1).** C'est la partie la plus technique et la plus importante. Décrire avec précision : l'objet du traitement (sans généralité excessive — éviter « gestion des données clients » et préférer « traitement des données des abonnés à la newsletter pour l'envoi de communications commerciales mensuelles ») ; les catégories de données (attention particulière aux données sensibles art. 9 RGPD qui requièrent une justification de base légale spécifique) ; les catégories de personnes concernées ; les finalités (strictement nécessaires, ni trop larges ni trop étroites) ; la durée de conservation (alignée sur la politique de rétention du responsable).

**Étape 3 — Renseigner les mesures de sécurité (Schedule 2).** Détailler les mesures techniques et organisationnelles réellement mises en œuvre par le sous-traitant. Eviter les formulations vagues (« mesures appropriées »). Mentionner les certifications éventuelles (ISO 27001, HDS pour les données de santé, SecNumCloud pour l'hébergement souverain labellisé ANSSI).

**Étape 4 — Lister les sous-sous-traitants autorisés (Schedule 3).** Si le sous-traitant fait appel à des tiers (hébergeurs, CDN, solutions de monitoring), les identifier nominativement avec leur pays d'établissement et le traitement qu'ils effectuent. Pour les prestataires établis hors UE, mentionner le mécanisme de transfert applicable (CCT 2021, BCR, décision d'adéquation, dérogations art. 49 RGPD).

**Étape 5 — Préciser le droit d'audit.** Définir les modalités pratiques : délai de préavis (30 jours recommandé), fréquence maximale (ex. une fois par an en dehors d'un incident), documents accessibles, possibilité de substituer un rapport d'audit certifié tiers, coûts à la charge de qui.

**Étape 6 — Définir les procédures de notification des violations.** Le DPA doit préciser le délai maximal de notification du sous-traitant vers le responsable (généralement 24 à 48h en pratique, pour permettre au responsable de respecter son délai de 72h vers la CNIL). Définir le contenu minimal de la notification (nature de la violation, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises ou envisagées).

**Étape 7 — Signature et conservation.** Le DPA doit être signé par un représentant habilité de chaque partie. La signature électronique qualifiée (eIDAS niveau 3) ou avancée est admise. Conserver une copie dans le registre des activités de traitement (art. 30 RGPD) et dans le dossier contractuel. La CNIL recommande de réviser le DPA à chaque renouvellement de contrat principal et en cas d'évolution significative des traitements.

Le Contrat de Sous-Traitance RGPD (DPA) en France s'inscrit dans un cadre réglementaire multicouche qu'il convient de maîtriser pour assurer une conformité complète.

**RGPD art. 28 — La base légale du DPA.** L'article 28 §3 RGPD liste les huit clauses minimales obligatoires. Ces exigences sont d'ordre public : aucune clause contractuelle ne peut y déroger au détriment des droits des personnes concernées. Le Comité Européen de la Protection des Données (CEPD), organe indépendant regroupant les autorités de contrôle des 27 États membres, a publié des Lignes directrices 07/2020 (révisées en 2021) précisant l'interprétation de chaque obligation.

**Loi Informatique et Libertés n°78-17 du 6 janvier 1978.** Modifiée à plusieurs reprises (notamment par les lois n°2018-493 et n°2019-222), cette loi confère à la CNIL ses pouvoirs de contrôle, d'investigation et de sanction. La CNIL peut prononcer des mises en demeure, des avertissements, des injonctions et des amendes administratives. Les formations restreinte et délibérante de la CNIL suivent une procédure contradictoire (délai de réponse, audition). Les décisions de sanction sont publiées sur le site de la CNIL (principe de publicité des décisions).

**Sanctions applicables.** L'article 83 §4 RGPD prévoit des amendes allant jusqu'à 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial pour les violations des obligations de l'article 28. L'article 83 §5 RGPD prévoit des amendes allant jusqu'à 20 000 000 € ou 4 % du CA mondial pour les violations des principes fondamentaux (licéité, minimisation, finalité). Les sanctions pénales sont également possibles : l'article 226-16 du Code pénal punit de 5 ans d'emprisonnement et 300 000 € d'amende le traitement illicite de données personnelles.

**Transferts hors UE.** L'arrêt Schrems II de la Cour de Justice de l'UE (CJUE C-311/18 du 16 juillet 2020) a invalidé le Privacy Shield et renforcé les obligations de vérification de l'effectivité des CCT. Depuis, les Clauses Contractuelles Types adoptées par la Commission le 4 juin 2021 (décision 2021/914/UE) constituent le mécanisme le plus utilisé pour les transferts vers des pays tiers non adéquats. Pour les États-Unis, l'accord EU-US Data Privacy Framework (juillet 2023) permet les transferts vers les entreprises certifiées, mais sa pérennité reste incertaine (risque Schrems III). Le Règlement (UE) 2022/2554 (DORA) impose des obligations complémentaires dans le secteur financier pour les contrats avec les prestataires de services TIC.

**DPO et registre des activités.** Les responsables de traitement et sous-traitants soumis à l'obligation de désigner un DPO (art. 37 RGPD : organismes publics, traitements à grande échelle, traitements à risque élevé) doivent communiquer les coordonnées du DPO à la CNIL. Le DPO supervise la conformité du DPA et conseille sur les AIPD. Le registre des activités de traitement (art. 30 RGPD) doit référencer tous les DPA actifs avec leurs sous-traitants.

Le Contrat de Sous-Traitance RGPD (DPA) en France est souvent mal rédigé ou incomplet. Voici les erreurs les plus fréquentes constatées par la CNIL lors de ses contrôles.

**Erreur n°1 — DPA absent ou signé après le début du traitement.** L'obligation de signer le DPA avant tout traitement est absolue (art. 28 §1 RGPD). Un DPA signé a posteriori ne régularise pas rétroactivement une violation. La CNIL a sanctionné des organismes pour traitement sans DPA même lorsque le prestataire était réputé de confiance.

**Erreur n°2 — Utiliser les CGU/CGV ou la politique de confidentialité comme substitut au DPA.** Les conditions générales d'utilisation publiées unilatéralement sur le site du sous-traitant ne constituent pas un DPA valide. Le CEPD exige un accord bilatéral contraignant. Les clauses RGPD intégrées dans un contrat commercial existant sont admises à condition qu'elles contiennent toutes les mentions obligatoires.

**Erreur n°3 — Absence ou imprécision de l'annexe de traitement.** Des formulations génériques comme « traitement des données conformément au RGPD » ou « données nécessaires à la prestation » ne satisfont pas l'exigence de l'article 28 §3. La CNIL exige une description concrète et spécifique.

**Erreur n°4 — Omettre les sous-sous-traitants.** De nombreux DPA ne listent pas les sous-traitants ultérieurs (hébergeurs, CDN, outils tiers intégrés). Or, le sous-traitant est solidairement responsable des manquements de ses sous-traitants devant le responsable de traitement. La liste des sous-sous-traitants doit être mise à jour à chaque changement, avec notification préalable au responsable.

**Erreur n°5 — Oublier le mécanisme de transfert hors UE.** Si le sous-traitant fait appel à des ressources hébergées hors EEE (États-Unis, Inde, etc.), le DPA doit prévoir le mécanisme de transfert applicable (CCT 2021 + évaluation TIA — Transfer Impact Assessment — pour les pays sans décision d'adéquation). Utiliser d'anciens modèles de CCT (2010) invalides depuis décembre 2022 est une erreur courante.

**Erreur n°6 — Délai de notification des violations trop long.** Prévoir 72h pour notifier le responsable (identique au délai CNIL) ne laisse aucune marge. La pratique recommande 24 à 48h entre sous-traitant et responsable, pour que ce dernier puisse préparer sa propre notification à la CNIL dans les 72h.

**Erreur n°7 — Ne pas mettre à jour le DPA après des évolutions contractuelles.** Toute extension de périmètre (nouvelles catégories de données, nouvelles finalités, nouveaux sous-sous-traitants) doit faire l'objet d'un avenant au DPA. Un DPA statique sur contrat dynamique devient rapidement non conforme.