Par David Joseph Atias, avocat au Barreau de Paris · LinkedIn · Juin 2026
Le DPA RGPD est l’instrument contractuel le plus fréquemment négocié dans l’écosystème numérique. Imposé par l’article 28 du Règlement UE 2016/679, il encadre toute relation entre un responsable de traitement et un sous-traitant qui traite des données personnelles pour son compte. Cet article expose le cadre juridique, les dix mentions obligatoires et l’articulation avec les transferts internationaux et l’AI Act.
SOMMAIRE
- Pourquoi le DPA RGPD est devenu stratégique en 2026
- Le cadre juridique applicable
- Les 10 mentions obligatoires de l’article 28
- Tableau de synthèse et criticité
- Les 5 pièges à éviter
- Pourquoi faire appel à Atias Avocats
- FAQ — Questions fréquentes
1. Pourquoi le DPA RGPD est devenu stratégique en 2026
Le DPA RGPD n’est plus un document juridique de complaisance signé une fois pour toutes au début d’une relation commerciale. Il est devenu un véritable outil de gestion des risques. Trois dynamiques expliquent cette transformation en 2026.
1.1 La généralisation de la sous-traitance numérique
L’externalisation numérique explose. Hébergement cloud, SaaS de gestion, agences marketing, outils RH, CRM, ATS de recrutement, prestataires IA : la quasi-totalité des entreprises sous-traite désormais une partie significative de ses traitements. Chaque relation déclenche l’obligation d’un DPA RGPD. Une entreprise moyenne compte aujourd’hui 30 à 80 sous-traitants RGPD actifs, parfois davantage pour les groupes structurés.
1.2 Une jurisprudence CNIL particulièrement exigeante
La CNIL a multiplié les sanctions ciblant le défaut ou la faiblesse des DPA. Plusieurs délibérations récentes ont sanctionné des responsables de traitement pour absence de DPA, DPA incomplet, ou DPA signé tardivement. Le Comité européen de la protection des données (EDPB) a publié plusieurs lignes directrices clarifiant les attentes. Une rédaction superficielle ne passe désormais plus le seuil du contrôle.
1.3 L’articulation imposée avec l’AI Act
Depuis l’entrée en application du Règlement UE 2024/1689 (AI Act), le DPA RGPD doit anticiper les obligations IA. Quand un sous-traitant fournit un système d’IA à haut risque, des clauses spécifiques de gouvernance, de supervision humaine et de notification d’incidents doivent compléter le DPA classique. Cette articulation accroît la complexité contractuelle mais devient incontournable. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
2. Le cadre juridique applicable
Le DPA s’inscrit dans un cadre juridique pluriel. Cinq corpus principaux se superposent et doivent être maîtrisés ensemble pour atteindre la conformité.
2.1 L’article 28 du Règlement UE 2016/679
L’article 28 du RGPD constitue le socle. Il impose que le traitement par un sous-traitant soit régi par un contrat ou un autre acte juridique. Le paragraphe 3 énumère limitativement les dix mentions impératives. Le paragraphe 4 encadre la sous-traitance ultérieure (ce qu’on appelle le « sub-processing »). Les paragraphes 7 à 10 prévoient l’adoption possible de clauses contractuelles types (CCT) par la Commission européenne.
2.2 L’article 32 sur la sécurité
L’article 32 du RGPD impose des mesures techniques et organisationnelles appropriées : chiffrement, pseudonymisation, intégrité, disponibilité, résilience, capacité à restaurer rapidement. Le DPA doit décrire ces mesures dans une annexe technique souvent appelée TOMS (Technical and Organisational Measures). Cette annexe est désormais l’élément que les autorités contrôlent en priorité.
2.3 Les articles 33 et 34 sur les violations
Les articles 33 et 34 imposent la notification des violations de données. Le sous-traitant doit informer le responsable de traitement « dans les meilleurs délais » (l’EDPB recommande 24 à 48 heures maximum) afin que ce dernier puisse, à son tour, notifier la CNIL dans les 72 heures. Le DPA doit organiser concrètement ce signalement : interlocuteur dédié, canal, contenu de la notification, suivi.
2.4 Les clauses contractuelles types (CCT) et le DPF
La décision d’exécution UE 2021/914 du 4 juin 2021 a adopté les clauses contractuelles types modernisées. Elles sont obligatoires pour tout transfert hors UE en l’absence de décision d’adéquation. Depuis l’arrêt Schrems II (CJUE C-311/18 du 16 juillet 2020), un TIA (Transfer Impact Assessment, analyse d’impact du transfert) doit être documenté. Le DPF (Data Privacy Framework), valide depuis juillet 2023, simplifie les transferts vers les États-Unis pour les organismes certifiés. Pour aller plus loin, consultez nos services en matière de contrats commerciaux et IT.
3. Les 10 mentions obligatoires de l’article 28
L’article 28 paragraphe 3 énumère limitativement les dix mentions impératives. Chacune doit être précise, documentée et opposable. Voici leur décryptage opérationnel.
3.1 L’objet et la durée du traitement
La première mention décrit l’objet précis du traitement et sa durée. L’objet identifie l’activité externalisée : hébergement, gestion de campagnes, paie, analyse statistique, modération de contenus. La durée fixe le terme : durée du contrat principal, durée des prestations, conservation post-contractuelle. Ces deux éléments forment la « cellule de base » du DPA : sans précision sur l’objet et la durée, toutes les autres clauses sont fragilisées.
3.2 La nature et la finalité
La deuxième mention décrit la nature des opérations (collecte, stockage, structuration, transmission, effacement) et leurs finalités (gestion commerciale, ressources humaines, marketing, prévention de la fraude). Cette description doit refléter exactement ce que fait le sous-traitant. Une description trop large expose à un dépassement de finalité ; une description trop restreinte expose à un manquement contractuel quand le sous-traitant agit au-delà du périmètre.
3.3 Le type de données et les catégories de personnes
La troisième mention détaille les données traitées (identifiants, contacts, données de connexion, contenus, données sensibles le cas échéant) et les catégories de personnes (clients, prospects, salariés, candidats, partenaires). Cette précision conditionne la matérialité des mesures de sécurité : un DPA pour des données RH non sensibles n’exige pas les mêmes mesures qu’un DPA pour des données de santé ou de paiement.
3.4 Les mesures de sécurité (article 32)
La quatrième mention exige l’engagement du sous-traitant à mettre en œuvre les mesures techniques et organisationnelles appropriées. Le DPA doit comporter une annexe TOMS (Technical and Organisational Measures) détaillant les contrôles : chiffrement au repos et en transit, contrôle d’accès, journalisation, segmentation réseau, plan de continuité (PCA), plan de reprise d’activité (PRA), formation des équipes, tests d’intrusion, certifications (ISO 27001, SOC 2).
3.5 L’encadrement de la sous-traitance ultérieure
La cinquième mention organise la sous-traitance ultérieure (« sub-processing »). Le sous-traitant ne peut recruter d’autre sous-traitant sans autorisation préalable du responsable de traitement (article 28.2). Cette autorisation peut être spécifique ou générale, mais l’EDPB exige qu’une liste actualisée des sous-traitants ultérieurs soit maintenue et notifiée en cas d’évolution. Toute nouvelle relation déclenche un délai d’objection au profit du responsable de traitement (typiquement 30 jours).
3.6 L’assistance pour les droits des personnes
La sixième mention impose au sous-traitant d’aider le responsable de traitement à répondre aux demandes des personnes concernées (accès, rectification, effacement, opposition, portabilité). Le DPA doit organiser concrètement cette assistance : délais (typiquement 5 à 10 jours), canal, contenu, modalités techniques. Une assistance vague et non chiffrée fragilise gravement la capacité du responsable à respecter le délai d’un mois imposé par l’article 12 RGPD.
3.7 La notification des violations
La septième mention organise la notification des violations de données (articles 33 et 34). Le DPA doit imposer au sous-traitant un délai maximal de signalement (généralement 24 à 48 heures), définir le contenu minimal de la notification, identifier le canal et le point de contact, et organiser la coopération en cas d’enquête. Cette mention est désormais l’une des plus contrôlées : la CNIL vérifie systématiquement sa précision.
3.8 L’AIPD et la coopération aux contrôles
La huitième mention impose au sous-traitant d’aider le responsable de traitement à conduire les analyses d’impact relatives à la protection des données (AIPD) prévues à l’article 35 RGPD, et à consulter l’autorité de contrôle si nécessaire (article 36). Cette assistance est désormais essentielle pour les traitements IA, où l’AIPD se cumule souvent avec la FRIA (Fundamental Rights Impact Assessment) de l’AI Act.
3.9 Le sort des données en fin de contrat
La neuvième mention organise le sort des données à l’expiration du contrat. Le DPA doit prévoir, au choix du responsable de traitement, la restitution complète des données ou leur suppression, et la suppression de toutes les copies existantes (sauf obligation légale de conservation). Une attestation écrite de suppression doit être délivrée. Cette mention conditionne la réversibilité contractuelle et l’absence de « zombie data ».
3.10 La mise à disposition d’informations et le droit d’audit
La dixième mention impose au sous-traitant de mettre à disposition toutes les informations nécessaires à démontrer le respect des obligations de l’article 28, et d’accepter des audits. Le DPA doit organiser concrètement ce droit d’audit : périmètre, fréquence (annuelle ou ad hoc), préavis, conduite par le responsable ou un tiers mandaté, prise en charge financière. Sans clause d’audit opérationnelle, le contrôle reste théorique.
4. Tableau de synthèse et criticité
Le tableau ci-dessous synthétise les dix mentions obligatoires, leur fondement et leur niveau de criticité opérationnelle dans la rédaction d’un DPA RGPD.
| Mention | Fondement | Criticité |
|---|---|---|
| 1. Objet et durée | Art. 28.3 | 🔴 Critique |
| 2. Nature et finalités | Art. 28.3 | 🔴 Critique |
| 3. Données et personnes concernées | Art. 28.3 | 🔴 Critique |
| 4. Mesures de sécurité (TOMS) | Art. 28.3.c + 32 | 🔴 Critique |
| 5. Sous-traitance ultérieure | Art. 28.2 + 28.4 | 🔴 Critique |
| 6. Assistance droits des personnes | Art. 28.3.e | 🟠 Élevée |
| 7. Notification des violations | Art. 28.3.f + 33-34 | 🔴 Critique |
| 8. AIPD et coopération contrôles | Art. 28.3.f + 35-36 | 🟠 Élevée |
| 9. Sort des données en fin de contrat | Art. 28.3.g | 🟠 Élevée |
| 10. Informations et droit d’audit | Art. 28.3.h | 🟠 Élevée |
5. Les 5 pièges à éviter
Au-delà du cadre théorique, plusieurs pièges récurrents fragilisent les DPA. Les identifier permet d’éviter les contestations les plus fréquentes lors des contrôles.
5.1 Signer le DPA standard du fournisseur sans négociation
Le premier piège est l’acceptation passive du DPA du fournisseur. La plupart des éditeurs SaaS imposent leur propre modèle, souvent déséquilibré au profit du sous-traitant : limitation drastique de responsabilité, exclusion du droit d’audit physique, liste de sous-traitants ultérieurs très large, mesures de sécurité vagues. Une négociation active permet de rééquilibrer le DPA, particulièrement sur les indemnisations, les TOMS et les pénalités.
5.2 Confondre DPA et accord de confidentialité
Le deuxième piège est la confusion. Beaucoup d’entreprises pensent qu’un NDA (non-disclosure agreement) ou un avenant confidentialité tient lieu de DPA. C’est faux. Un NDA traite du secret des affaires, pas du traitement des données personnelles. Les dix mentions de l’article 28 doivent être expressément couvertes dans un acte juridique dédié. Un sous-traitant signataire d’un NDA seul reste en infraction au RGPD.
5.3 Négliger les transferts hors UE
Le troisième piège concerne les transferts. Un DPA conforme à l’article 28 ne suffit pas si les données sont transférées hors UE. Il faut, en plus, des clauses contractuelles types (décision UE 2021/914), un Transfer Impact Assessment (TIA) post-Schrems II, et parfois des mesures supplémentaires (chiffrement renforcé, pseudonymisation, ségrégation). Le défaut de ces compléments expose à des sanctions immédiates, particulièrement pour les sous-traitants américains non certifiés DPF.
5.4 Sous-estimer la liste des sous-traitants ultérieurs
Le quatrième piège est la liste des sous-traitants ultérieurs. Un sous-traitant SaaS recourt typiquement à 10 ou 20 sous-traitants ultérieurs (hébergement, monitoring, support, anti-fraude, messagerie). Cette liste doit être annexée au DPA, tenue à jour et notifiée à chaque évolution. Une liste obsolète ou incomplète est sanctionnée. Le responsable de traitement doit conserver un droit d’objection clair.
5.5 Ignorer les obligations AI Act 2026
Le cinquième piège, spécifique à 2026, concerne l’AI Act. Si le sous-traitant fournit un système d’IA à haut risque ou un GPAI, le DPA doit anticiper les obligations du Règlement UE 2024/1689 : transmission de la documentation technique (annexes XI et XII), garanties de supervision humaine (article 14), notification d’incidents graves, articulation FRIA / AIPD. Un DPA muet sur l’AI Act expose à un cumul de manquements à compter du 2 août 2026.
6. Pourquoi faire appel à Atias Avocats
Rédiger ou négocier un DPA à la hauteur des enjeux exige une combinaison rare de compétences : maîtrise approfondie du RGPD (articles 28, 32, 33, 34, 35, 36 et 83), expertise des contrats IT et SaaS (réversibilité, SLA, limitation de responsabilité), pratique des transferts internationaux (CCT, TIA, DPF, BCR), articulation avec l’AI Act lorsque le sous-traitant fournit un système IA. Cette pluridisciplinarité est précisément la valeur ajoutée d’un cabinet spécialisé en droit du numérique.
Atias Avocats accompagne responsables de traitement, sous-traitants, éditeurs SaaS, hébergeurs cloud, agences marketing, prestataires d’infogérance, scale-ups IA et grands groupes sur l’ensemble du sujet : rédaction de DPA sur mesure, audit du portefeuille de DPA existants, négociation avec un grand compte ou un fournisseur dominant, mise en place de CCT et TIA pour les transferts hors UE, articulation DPA / AI Act, défense en cas de contrôle CNIL, contentieux de la responsabilité en cas de fuite de données. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
Conclusion
Le DPA RGPD est l’un des contrats les plus mal traités de l’écosystème numérique. Signé à la hâte, souvent sur le modèle du fournisseur, rarement audité ensuite : voilà le portrait habituel. Pourtant, c’est précisément ce document qui décide de la responsabilité juridique en cas de fuite de données, de la solidité face à un contrôle CNIL, de la capacité à servir une demande de droits et de la fluidité d’une réversibilité contractuelle. Les dix mentions présentées ici, combinées à la vigilance sur les cinq pièges classiques, offrent un référentiel directement utilisable par DPO, juristes, DSI et fondateurs.
Pour les responsables de traitement, le réflexe doit être clair : auditer le portefeuille existant, négocier les DPA stratégiques, intégrer les transferts hors UE, anticiper l’AI Act. C’est cette discipline qui transforme un document de complaisance en véritable bouclier juridique.
FAQ — Questions fréquentes
Qu’est-ce qu’un DPA RGPD ?
Un DPA (Data Processing Agreement, ou accord de sous-traitance en français) est le contrat ou l’avenant juridique exigé par l’article 28 du Règlement UE 2016/679 (RGPD) entre un responsable de traitement et un sous-traitant qui traite des données personnelles pour son compte. Sans DPA conforme, toute relation de sous-traitance impliquant des données personnelles est en infraction au RGPD. Cela vaut pour les hébergeurs cloud, les éditeurs SaaS, les agences marketing, les prestataires d’infogérance, les CRM externes, les prestataires de paie, et plus généralement tout fournisseur qui traite des données pour le compte du client. Le DPA RGPD doit comporter dix mentions obligatoires énumérées limitativement à l’article 28 paragraphe 3.
Quelles sont les 10 mentions obligatoires d’un DPA ?
L’article 28 paragraphe 3 du RGPD énumère dix mentions impératives. (1) L’objet du traitement ; (2) la durée du traitement ; (3) la nature et les finalités du traitement ; (4) le type de données et les catégories de personnes concernées ; (5) les mesures de sécurité (article 32) ; (6) l’encadrement de la sous-traitance ultérieure (article 28.2 et 28.4) ; (7) l’assistance pour les droits des personnes ; (8) la notification des violations de données (articles 33 et 34) ; (9) le sort des données en fin de contrat (suppression ou restitution) ; (10) la mise à disposition d’informations et le droit d’audit. Ces mentions doivent être précises, vérifiables et opposables. Un DPA RGPD générique ou imprécis ne satisfait pas l’article 28.
Comment articuler DPA et clauses contractuelles types (CCT) ?
Le DPA RGPD couvre la relation responsable de traitement / sous-traitant à l’intérieur de l’Union européenne. Quand le sous-traitant est établi hors UE, le DPA doit être complété par les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision UE 2021/914 du 4 juin 2021). Les CCT couvrent quatre modules selon les configurations (responsable/responsable, responsable/sous-traitant, sous-traitant/sous-traitant, sous-traitant/responsable). Depuis l’arrêt CJUE Schrems II (C-311/18 du 16 juillet 2020), un Transfer Impact Assessment (TIA) doit être conduit pour évaluer le niveau de protection du pays tiers et des mesures supplémentaires peuvent être nécessaires. Le DPF (Data Privacy Framework) UE-US, valide depuis juillet 2023, simplifie ces transferts vers les organismes certifiés américains.
Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris
Atias Avocats — RGPD, Contrats IT, AI Act, Conformité numérique
