Par Joseph David Atias, avocat au Barreau de Paris · LinkedIn · Mai 2026
Rédiger un DPA conforme au RGPD n’est pas un simple exercice juridique : c’est la pierre angulaire de toute relation de sous-traitance de données. Pourtant, la majorité des DPA en circulation aujourd’hui sont inopposables, incomplets ou structurellement déséquilibrés. L’article 28 du RGPD impose un formalisme précis, et son non-respect expose les deux parties à des sanctions lourdes en cas de contrôle ou d’incident. Cet article détaille la méthode opérationnelle pour rédiger un DPA conforme RGPD en 2026 — structure, neuf clauses indispensables, gestion des transferts hors UE et pièges à éviter.
SOMMAIRE
- Pourquoi le DPA est devenu central en 2026
- Le cadre juridique applicable
- Les 9 clauses indispensables du DPA
- Tableau de synthèse des clauses et risques
- Les pièges à éviter lors de la rédaction
- Pourquoi faire appel à Atias Avocats
- FAQ — Questions fréquentes
1. Pourquoi le DPA est devenu central en 2026
Rédiger un DPA conforme RGPD n’est plus un sujet annexe. C’est un acte fondateur de toute relation de sous-traitance. Trois facteurs imposent de rédiger un DPA conforme RGPD avec une rigueur accrue en 2026.
1.1 La multiplication des sous-traitants
Une entreprise moderne s’appuie sur des dizaines de sous-traitants traitant des données : SaaS, hébergeurs, outils marketing, prestataires RH, plateformes de support. Chacun nécessite un DPA dédié. Cette inflation crée une exposition contractuelle massive et impose de rédiger un DPA conforme RGPD pour chaque relation.
1.2 Une CNIL particulièrement vigilante sur l’article 28
L’article 28 figure parmi les bases systématiquement vérifiées par la CNIL en contrôle. L’absence de DPA, ou un DPA incomplet, constitue un manquement immédiatement constatable et sanctionné. Plusieurs décisions récentes confirment cette ligne : les sanctions ne se limitent plus aux cas spectaculaires de violation, elles touchent désormais les manquements structurels.
1.3 La due diligence comme révélateur
Les investisseurs et acquéreurs auditent désormais systématiquement la qualité des DPA en place. Un portefeuille de DPA absents, génériques ou non négociés peut faire baisser une valorisation. Le DPA n’est plus un document caché en annexe : c’est devenu un actif visible de la conformité. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
2. Le cadre juridique applicable
Rédiger un DPA conforme RGPD suppose de maîtriser un cadre dense, dont l’article 28 du RGPD est le socle. Plusieurs textes complémentaires s’articulent autour de cette base pour rédiger un DPA conforme RGPD opérationnel.
2.1 L’article 28 du RGPD — le socle
L’article 28 du Règlement UE 2016/679 (RGPD) impose un contrat écrit entre responsable de traitement et sous-traitant. Son paragraphe 3 énumère le contenu minimum obligatoire : objet, durée, nature, finalité, types de données, personnes concernées, droits et obligations des parties. Aucune dérogation n’existe selon la taille des entreprises.
2.2 Les clauses contractuelles types de la Commission
La Commission européenne a adopté en juin 2021 des clauses contractuelles types pour les contrats entre responsable de traitement et sous-traitant, ainsi que pour les transferts internationaux. Ces clauses constituent un référentiel utile mais ne dispensent pas d’une adaptation aux spécificités du traitement. Leur usage facilite cependant la mise en conformité documentaire.
2.3 La doctrine CNIL et EDPB
La CNIL a publié un guide de la sous-traitance, complété par les lignes directrices du Comité européen de la protection des données (EDPB) sur la qualification responsable/sous-traitant et sur les transferts. Cette doctrine fixe le standard attendu. La méconnaître expose à un contrôle plus sévère, car la CNIL considère ses publications comme des références opposables.
2.4 Les sanctions encourues
Le manquement à l’article 28 du RGPD est sanctionné par l’article 83, paragraphe 4 : amende administrative pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel. Les deux parties peuvent être sanctionnées indépendamment. Pour aller plus loin, consultez nos services en matière de contrats informatiques.
3. Les 9 clauses indispensables du DPA
Rédiger un DPA conforme RGPD suppose d’intégrer neuf clauses structurantes. Chacune répond à une exigence précise de l’article 28 et conditionne la possibilité de rédiger un DPA conforme RGPD réellement opposable.
3.1 Objet, durée et nature du traitement
La première clause définit le périmètre exact du traitement confié : sa nature (collecte, stockage, analyse), sa finalité, sa durée, le type de données et les catégories de personnes concernées. Cette qualification précise constitue le socle du DPA. Une description vague ou générique vide le contrat de toute portée opérationnelle.
3.2 L’instruction documentée du responsable
Le sous-traitant ne peut traiter les données que sur instruction documentée du responsable. Cette clause encadre strictement les usages autorisés et interdit toute initiative du sous-traitant. Elle protège notamment contre l’usage des données pour entraîner des modèles d’IA, pratique fréquente et juridiquement risquée sans clause expresse.
3.3 La confidentialité et l’engagement du personnel
Le sous-traitant doit garantir que son personnel autorisé à accéder aux données est soumis à une obligation de confidentialité. Cette clause inclut généralement la formation, la signature d’engagements individuels et la limitation des accès au strict nécessaire. C’est la première ligne de défense humaine de la sécurité des données.
3.4 Les mesures de sécurité (article 32)
Le sous-traitant doit mettre en œuvre des mesures techniques et organisationnelles appropriées (article 32 du RGPD) : chiffrement, contrôle d’accès, journalisation, sauvegardes, continuité d’activité, résilience. La clause doit décrire ces mesures de façon suffisamment précise pour démontrer leur effectivité en cas de contrôle.
3.5 L’encadrement des sous-traitants ultérieurs
Le recours à un sous-traitant ultérieur (sous-traitant du sous-traitant) suppose une autorisation préalable du responsable. La clause doit choisir entre autorisation spécifique (cas par cas) ou autorisation générale avec information préalable et droit d’opposition. Le DPA doit également imposer la répercussion des obligations RGPD sur les sous-traitants ultérieurs.
3.6 L’assistance pour les droits des personnes
Le sous-traitant doit aider le responsable à répondre aux demandes d’exercice des droits (accès, rectification, effacement, portabilité, opposition). La clause précise les modalités, les délais et les coûts éventuels de cette assistance. Sans cette articulation, le responsable ne peut respecter ses propres délais légaux d’un mois.
3.7 La notification des violations de données
Le sous-traitant doit notifier toute violation de données au responsable sans délai injustifié. Cette clause est critique car le responsable dispose lui-même de 72 heures pour notifier la CNIL (article 33). Un délai contractuel trop long entre sous-traitant et responsable rend cette obligation impossible à respecter.
3.8 Le sort des données en fin de contrat
À la fin du contrat, le sous-traitant doit, au choix du responsable, supprimer ou restituer l’ensemble des données. La clause précise les formats de restitution, les délais et l’attestation de suppression. L’absence de cette clause crée une dépendance permanente et fragilise toute stratégie de réversibilité.
3.9 L’audit et la mise à disposition d’éléments
Le sous-traitant doit mettre à la disposition du responsable les informations nécessaires pour démontrer la conformité, et autoriser des audits. La clause définit la fréquence, les modalités, la prise en charge des coûts et la confidentialité des audits. Une clause d’audit dépourvue de modalités concrètes est juridiquement faible.
4. Tableau de synthèse des clauses et risques
Le tableau ci-dessous synthétise les neuf clauses, le risque qu’elles couvrent et leur niveau de criticité en cas d’omission ou de rédaction défaillante.
| Clause | Risque couvert | Criticité |
|---|---|---|
| Objet, durée, nature | DPA jugé inopposable | 🔴 Critique |
| Instruction documentée | Détournement de finalité | 🔴 Critique |
| Confidentialité du personnel | Fuite humaine de données | 🟠 Élevée |
| Mesures de sécurité (art. 32) | Violation et sanctions | 🔴 Critique |
| Sous-traitants ultérieurs | Perte de maîtrise de la chaîne | 🔴 Critique |
| Assistance droits des personnes | Plainte CNIL et délai dépassé | 🟠 Élevée |
| Notification violations | Délai 72 h dépassé (art. 33) | 🔴 Critique |
| Sort des données en fin de contrat | Dépendance et conservation illicite | 🟠 Élevée |
| Audit et démonstration | Conformité indémontrable | 🟠 Élevée |
5. Les pièges à éviter lors de la rédaction
Au-delà des clauses obligatoires, plusieurs pièges récurrents empêchent de rédiger un DPA conforme RGPD réellement protecteur. Les identifier permet d’éviter les erreurs les plus coûteuses lorsqu’on cherche à rédiger un DPA conforme RGPD.
5.1 Confondre DPA et CGV
Le premier piège est de considérer que les CGV du fournisseur valent DPA. C’est rarement le cas. Les CGV n’intègrent presque jamais toutes les clauses obligatoires de l’article 28. Le DPA doit être un document distinct, ou une annexe explicitement référencée, signée par les deux parties.
5.2 Accepter une autorisation générale trop large
Les DPA standards prévoient souvent une autorisation générale pour les sous-traitants ultérieurs, avec une simple information par e-mail. Cette clause prive le responsable de tout contrôle effectif sur sa chaîne. Une autorisation encadrée, avec préavis raisonnable et droit d’opposition motivé, doit être systématiquement négociée.
5.3 Ignorer les transferts hors UE
Beaucoup de DPA n’identifient pas explicitement les transferts hors UE ni leur encadrement. Or, l’arrêt Schrems II de la CJUE (16 juillet 2020) impose une analyse d’impact des transferts. Le DPA doit lister les pays de destination, les mécanismes (décision d’adéquation, clauses contractuelles types, Data Privacy Framework) et les garanties complémentaires.
5.4 Plafonner la responsabilité de façon dérisoire
Les DPA standards comportent souvent des plafonds de responsabilité très bas, sans rapport avec les sanctions RGPD potentielles. Un plafond limité à quelques mois de redevance face à un risque de 20 millions d’euros est juridiquement fragile et économiquement déséquilibré. Une articulation cohérente avec les sanctions encourues doit être négociée.
5.5 Négliger les modalités d’audit
Une clause d’audit non opérationnelle vide la conformité de toute possibilité de contrôle. Il faut négocier des modalités précises : fréquence, préavis, tiers indépendant accepté, prise en charge des coûts. Sans cela, le droit d’audit reste théorique et inutilisable en pratique.
6. Pourquoi faire appel à Atias Avocats
Rédiger un DPA conforme RGPD exige une combinaison rare de compétences : maîtrise fine de l’article 28 et de la doctrine CNIL/EDPB, expertise des contrats IT et de la sous-traitance, connaissance des transferts internationaux post-Schrems II et du Data Privacy Framework, pratique de la négociation avec des éditeurs SaaS dominants. Cette pluridisciplinarité est précisément la valeur ajoutée d’un cabinet spécialisé en droit du numérique avec une pratique active du RGPD et des contrats IT.
Atias Avocats accompagne entreprises, startups et grands comptes sur l’ensemble du sujet : rédaction de DPA sur mesure, audit et négociation des DPA proposés par les fournisseurs, articulation avec les clauses contractuelles types et le Data Privacy Framework, mise en place d’un référentiel DPA et d’un processus de signature centralisé, accompagnement en cas de contrôle CNIL ou d’incident impliquant un sous-traitant. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
Conclusion
Rédiger un DPA conforme RGPD ne se résume pas à apposer une signature sur un modèle générique. C’est un acte juridique structurant qui définit la répartition des responsabilités, encadre les flux de données et conditionne la résilience de l’organisation en cas de contrôle ou de violation. Les neuf clauses indispensables présentées dans cet article, combinées à la vigilance sur les pièges classiques, offrent une grille opérationnelle pour transformer une obligation formelle en protection réelle.
Pour les DPO, directions juridiques et fondateurs, le réflexe doit être clair : auditer ses DPA en place, négocier ceux que l’on signe, et standardiser ceux que l’on impose à ses propres sous-traitants. C’est précisément dans cette discipline contractuelle que se construit une conformité RGPD opérationnelle et démontrable.
FAQ — Questions fréquentes
Qu’est-ce qu’un DPA et est-il obligatoire ?
Le DPA (Data Processing Agreement, ou accord de traitement des données) est le contrat de sous-traitance imposé par l’article 28 du RGPD entre un responsable de traitement et un sous-traitant. Il est strictement obligatoire dès qu’une entreprise confie le traitement de données personnelles à un prestataire, quelle que soit la taille des parties. L’absence de DPA constitue un manquement grave au RGPD et expose les deux parties à des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel. La simple acceptation des CGV d’un fournisseur ne remplace jamais un DPA dédié, sauf si ces CGV intègrent toutes les clauses obligatoires de l’article 28.
Quelles sont les clauses obligatoires d’un DPA selon l’article 28 ?
L’article 28, paragraphe 3 du RGPD énumère huit éléments que tout DPA doit contenir : l’objet et la durée du traitement, sa nature et sa finalité, le type de données et les catégories de personnes concernées, les obligations et droits du responsable de traitement, l’instruction documentée, la confidentialité du personnel, les mesures de sécurité (article 32), l’autorisation préalable pour les sous-traitants ultérieurs, l’assistance pour les droits des personnes, l’assistance en cas de violation, la suppression ou restitution des données en fin de contrat, et la mise à disposition d’éléments d’audit. Un DPA qui omet l’un de ces éléments est inopposable.
Le DPA standard de mon fournisseur SaaS est-il suffisant ?
Rarement. Les DPA standards des grands fournisseurs SaaS sont rédigés dans leur intérêt et comportent souvent des clauses problématiques : autorisation générale très large pour les sous-traitants ultérieurs, plafonds de responsabilité dérisoires, droits d’audit limités, transferts hors UE insuffisamment encadrés. Avant signature, un audit du DPA proposé est indispensable, et la négociation d’amendements est presque toujours possible, même face à un grand éditeur. Accepter sans relire revient à transférer un risque non maîtrisé à votre entreprise, qui reste responsable au sens du RGPD.
Comment traiter les transferts hors UE dans un DPA ?
Les transferts hors UE doivent faire l’objet d’un encadrement spécifique dans le DPA, conformément au chapitre V du RGPD. Trois mécanismes principaux sont possibles : la décision d’adéquation de la Commission européenne (pays tiers reconnu adéquat), le Data Privacy Framework pour les États-Unis sous conditions, ou les clauses contractuelles types (CCT) adoptées par la Commission. L’arrêt Schrems II de la CJUE (16 juillet 2020) impose en outre une analyse d’impact des transferts pour évaluer les garanties effectives. Le DPA doit lister précisément les pays de destination, les mécanismes utilisés et les garanties complémentaires.
Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris
Atias Avocats — Droit du numérique, RGPD, Contrats IT, Sous-traitance
