Par Joseph David Atias, avocat au Barreau de Paris · LinkedIn · Mai 2026
La situation est plus fréquente qu’on ne l’imagine : un sous-traitant essentiel refuse purement et simplement de signer le Data Processing Agreement que vous lui présentez. Le contrat est en cours, l’activité dépend de ce fournisseur, et l’absence de DPA conforme vous expose à des sanctions CNIL pouvant atteindre 10 millions d’euros. Cette impasse n’est pourtant ni inhabituelle ni juridiquement insurmontable. Cet article détaille les recours dont dispose le responsable de traitement face à un refus DPA et propose une méthodologie progressive pour aboutir, dans tous les cas, à une situation conforme au RGPD.
SOMMAIRE
- Le cadre juridique : pourquoi un DPA est obligatoire
- Qualifier la situation : vrai refus ou négociation légitime ?
- Les 5 recours du responsable de traitement
- Tableau récapitulatif : recours, délais et niveaux d’escalade
- La stratégie de sortie : changer de sous-traitant
- Pourquoi faire appel à Atias Avocats
- FAQ — Questions fréquentes
1. Le cadre juridique : pourquoi un DPA est obligatoire
Comprendre les recours possibles face à un refus DPA suppose d’abord d’avoir une vision claire des obligations juridiques en présence. Le DPA n’est pas une formalité administrative : c’est un acte juridique exigé par le règlement européen, dont l’absence expose le responsable de traitement à des sanctions directes et substantielles.
1.1 L’obligation posée par l’article 28 du RGPD
L’article 28 du RGPD impose une obligation claire : tout traitement effectué pour le compte d’un responsable de traitement doit être régi par un contrat ou un autre acte juridique écrit et juridiquement contraignant. Ce contrat doit comporter des mentions précises : nature et finalité du traitement, type de données traitées, durée, obligations du sous-traitant, sécurité, sous-traitance ultérieure, transferts hors UE, notification des incidents. L’absence de ces mentions rend le DPA non conforme et expose les deux parties à des sanctions.
1.2 La responsabilité directe du responsable de traitement
Une jurisprudence CNIL constante rappelle que la responsabilité du responsable de traitement ne peut être transférée au sous-traitant par voie contractuelle. Le responsable de traitement reste responsable de la conformité globale du traitement, y compris de l’existence d’un DPA opérationnel. Cette règle explique pourquoi les sanctions CNIL pour défaut de DPA visent presque toujours directement le client final — pas le sous-traitant récalcitrant.
1.3 Les sanctions encourues
L’article 83.4 du RGPD prévoit que la violation des obligations relatives à la sous-traitance peut donner lieu à une sanction administrative pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial total de l’exercice précédent — le montant le plus élevé étant retenu. À ces sanctions administratives s’ajoute la responsabilité civile éventuelle envers les personnes concernées en cas d’incident lié au traitement non encadré.
2. Qualifier la situation : vrai refus ou négociation légitime ?
Avant tout déclenchement de recours, il faut qualifier précisément la situation de refus DPA. Le terme générique de refus DPA recouvre en réalité plusieurs configurations très différentes, chacune appelant une réponse adaptée. Cette qualification préalable conditionne l’efficacité de la suite de la démarche.
2.1 Le refus total de tout DPA
Le refus total est la situation la plus simple à qualifier juridiquement, et la plus grave. Le sous-traitant nie l’existence même de l’obligation, refuse tout document écrit, ou propose une simple clause générique dans ses CGU sans engagement précis. Cette posture est juridiquement intenable : aucune négociation n’est possible sur l’existence du DPA, seulement sur son contenu. C’est dans cette configuration que les recours les plus fermes doivent être déployés rapidement.
2.2 Le refus de la version proposée par le client
Beaucoup plus fréquente, cette situation correspond à un sous-traitant qui accepte le principe d’un DPA mais refuse la version proposée par le responsable de traitement. Cette posture peut être légitime si la version imposée excède l’article 28 RGPD : audits trop fréquents, garanties contractuelles disproportionnées, indemnisations exorbitantes, périmètre de responsabilité élargi au-delà du raisonnable. Dans ce cas, il s’agit d’une négociation classique — pas d’un véritable refus.
2.3 Le DPA proposé par le sous-traitant et jugé insuffisant
Symétriquement, le sous-traitant peut proposer son propre modèle de DPA, jugé insuffisant par le responsable de traitement : absence de notification des incidents dans un délai raisonnable, sous-traitance ultérieure non encadrée, transferts internationaux flous, sécurité documentée de manière trop générique. Cette situation appelle une analyse comparative entre les exigences de l’article 28 et le modèle proposé. Elle peut justifier un refus partiel motivé.
2.4 La temporisation déguisée en refus
Enfin, certains sous-traitants pratiquent une temporisation déguisée : promesses répétées de transmission du DPA, demandes d’informations supplémentaires successives, renvois entre services internes, absence de réponse aux relances. Cette posture est juridiquement équivalente à un refus, mais elle est plus difficile à objectiver. Documenter minutieusement chaque échange devient alors essentiel pour préparer une éventuelle action ultérieure.
3. Les 5 recours du responsable de traitement
Une fois la situation de refus DPA qualifiée, cinq recours principaux s’offrent au responsable de traitement. Ils peuvent être déployés successivement, dans une logique d’escalade progressive, ou simultanément selon la gravité de la situation.
3.1 La relance formelle motivée
Le premier recours face à un refus DPA consiste en une relance écrite formelle, datée et signée, rappelant le cadre juridique applicable (article 28 RGPD), précisant la version du DPA souhaitée et fixant un délai raisonnable (typiquement 15 à 30 jours). Cette relance, souvent négligée, joue un double rôle : elle peut débloquer la situation et constitue surtout une preuve écrite indispensable pour la suite.
3.2 La mise en demeure
Si la relance reste sans effet, la mise en demeure constitue le deuxième recours classique face à un refus DPA. Adressée par lettre recommandée avec accusé de réception, elle vise à constater officiellement l’inexécution contractuelle et à fixer un dernier délai avant l’engagement d’actions plus fermes. La mise en demeure doit explicitement viser l’article 28 RGPD, rappeler les sanctions encourues, et annoncer les conséquences en cas de persistance du refus (saisine CNIL, résiliation, contentieux).
3.3 La saisine du DPO ou de la direction du sous-traitant
Saisir directement le délégué à la protection des données (DPO) du sous-traitant, ou à défaut sa direction générale, contourne fréquemment les blocages opérationnels. Le DPO du sous-traitant a une obligation déontologique d’alerter sa propre direction sur les non-conformités RGPD. Cette saisine, souvent oubliée, débloque concrètement de nombreuses situations en quelques semaines, sans aucun coût juridique.
3.4 La saisine de la CNIL
En dernier recours préalable au contentieux, la saisine de la CNIL est possible. Le responsable de traitement peut signaler le manquement du sous-traitant, en mobilisant les éléments documentaires constitués lors des étapes précédentes. Cette démarche présente un double intérêt : elle déclenche éventuellement un contrôle direct de la CNIL sur le sous-traitant, et elle démontre la bonne foi du responsable de traitement en cas de contrôle ultérieur le concernant.
3.5 L’action en justice
L’action en justice peut prendre plusieurs formes : action en exécution forcée du contrat (article 1221 du Code civil), résolution judiciaire pour inexécution (article 1227), demande de dommages-intérêts si un préjudice peut être démontré. Le tribunal compétent dépend du contrat — souvent le tribunal de commerce pour les relations B2B. Cette voie est la plus coûteuse et la plus longue, mais elle reste indispensable lorsque toutes les autres ont échoué et que le sous-traitant occupe une position stratégique difficile à remplacer.
4. Tableau récapitulatif : recours, délais et niveaux d’escalade
Le tableau suivant présente une vue synthétique des cinq recours face à un refus DPA, avec leur délai indicatif, leur coût et leur taux de succès observé en pratique sur les missions traitées par Atias Avocats.
| Recours | Délai | Coût indicatif | Efficacité |
|---|---|---|---|
| Relance formelle motivée | 15-30 jours | Interne | 🟢 30-50 % |
| Mise en demeure LRAR | 15-30 jours | 500-1 500 € HT | 🟢 50-70 % |
| Saisine DPO / direction | 15-45 jours | Interne ou faible | 🟢 60-80 % |
| Saisine CNIL | 3-12 mois | 800-2 500 € HT | 🟡 Indirect |
| Action en justice | 6-18 mois | 3 000-15 000 € HT | 🟢 Élevée à terme |
Note : les taux d’efficacité sont issus d’observations terrain. La combinaison séquentielle relance + mise en demeure + saisine DPO obtient un taux de résolution amiable proche de 85 % dans les missions accompagnées par un avocat spécialisé.
5. La stratégie de sortie : changer de sous-traitant
Lorsque toutes les voies de recours échouent et que le refus DPA persiste, la sortie du contrat principal reste la solution juridiquement la plus sûre pour le responsable de traitement. Cette stratégie de sortie doit toutefois être préparée avec soin pour éviter d’aggraver la situation opérationnelle.
5.1 Le choix juridique de la sortie
Plusieurs fondements juridiques permettent la résiliation : inexécution contractuelle de l’obligation tacite ou expresse de conformité RGPD, manquement aux obligations légales par renvoi de la loi à l’article 28 RGPD, déséquilibre significatif si le contrat principal organise un transfert de risque indu vers le client. Le choix du fondement détermine les modalités de la sortie : préavis, indemnisation éventuelle, restitution des données.
5.2 La préparation opérationnelle de la migration
Avant tout déclenchement de la résiliation, identifier un fournisseur alternatif conforme et préparer la migration technique des données. Cette anticipation conditionne directement la maîtrise du calendrier — un responsable de traitement contraint de basculer en urgence se retrouve en position de faiblesse et risque des incidents de conformité pendant la transition.
5.3 La continuité de la conformité pendant la transition
Pendant la phase de transition, le traitement de données chez le sous-traitant récalcitrant continue. Cette période doit être documentée précisément (durée, mesures de mitigation, étapes de la migration) pour démontrer la bonne foi du responsable de traitement en cas de contrôle CNIL ultérieur. Une documentation rigoureuse réduit significativement le risque de sanction.
6. Pourquoi faire appel à Atias Avocats
Faire face à un refus DPA exige une combinaison de compétences rares : maîtrise fine du RGPD et de la doctrine CNIL, expérience contentieuse, capacité à articuler stratégie juridique et continuité opérationnelle. Une réponse mal calibrée — trop molle ou trop ferme — peut soit retarder la résolution, soit déclencher une rupture commerciale dommageable.
Atias Avocats accompagne entreprises, startups et grands comptes dans la gestion des refus DPA et plus largement des contentieux RGPD avec leurs sous-traitants : audit de la situation, qualification juridique, rédaction des mises en demeure, saisine CNIL, contentieux civils, accompagnement des stratégies de sortie. Pour aller plus loin, consultez nos services en matière de protection des données personnelles et de contrats informatiques.
Conclusion
Un refus DPA n’est jamais une fatalité. Le responsable de traitement dispose d’un arsenal de recours progressifs — de la relance amiable à l’action en justice — qui aboutissent dans la grande majorité des cas à une résolution conforme au RGPD. La clé est de qualifier précisément la situation, de documenter chaque étape, et de déployer les recours dans le bon ordre.
Au-delà de la résolution du cas particulier, ces situations doivent inciter à renforcer les pratiques contractuelles préventives : exiger un DPA conforme dès la phase de négociation initiale, ne jamais démarrer un traitement avant signature, et intégrer une clause de résiliation expresse en cas de non-conformité RGPD. Ces bonnes pratiques évitent la quasi-totalité des situations de blocage ultérieures — pour un coût juridique sans commune mesure avec celui d’une procédure de recours engagée a posteriori.
FAQ — Questions fréquentes
Un sous-traitant peut-il refuser de signer un DPA conforme à l’article 28 RGPD ?
Juridiquement, le sous-traitant ne peut pas refuser de conclure un acte juridique encadrant le traitement, dès lors qu’il traite effectivement des données personnelles pour le compte d’un responsable de traitement. L’article 28 du RGPD impose l’existence d’un contrat écrit entre les deux parties. Toutefois, le sous-traitant peut légitimement refuser une version particulière proposée par le client si elle excède le périmètre fixé par le règlement. La distinction entre refus du DPA et négociation du contenu est essentielle pour qualifier la situation.
Quelles sanctions risque le responsable de traitement en cas d’absence de DPA ?
L’absence de DPA conforme expose le responsable de traitement à des sanctions CNIL substantielles, pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial (article 83.4 RGPD). Plusieurs sanctions récentes ont visé directement le responsable de traitement pour défaut de DPA opérationnel avec ses sous-traitants. La responsabilité ne peut être transférée au sous-traitant : c’est le responsable de traitement qui doit prouver qu’il a mis en place un encadrement contractuel conforme.
Combien de temps faut-il pour obtenir la signature d’un DPA récalcitrant ?
La phase amiable (relance, mise en demeure) prend généralement 4 à 8 semaines. Si une saisine de la CNIL ou un contentieux civil devient nécessaire, le délai global peut atteindre 6 à 18 mois. C’est pourquoi anticiper la signature du DPA en amont de la mise en service est crucial : exiger un DPA conforme dès la phase de négociation contractuelle évite la quasi-totalité des situations de blocage ultérieures.
Faut-il résilier le contrat principal en cas de refus définitif de DPA ?
C’est généralement la décision la plus prudente sur le plan RGPD. Continuer à utiliser un sous-traitant sans DPA conforme expose à des sanctions CNIL et à une responsabilité civile en cas d’incident. Toutefois, la résiliation doit être préparée avec soin : analyse des conditions de sortie du contrat principal, évaluation des coûts de migration, identification d’un fournisseur alternatif conforme. Un avocat spécialisé peut articuler la stratégie de sortie avec la stratégie RGPD.
Le refus partiel de certaines clauses du DPA est-il assimilé à un refus ?
Non, pas nécessairement. Le sous-traitant peut légitimement contester certaines clauses qui excèdent les obligations de l’article 28 RGPD : audits trop fréquents, garanties contractuelles disproportionnées, indemnisations exorbitantes. L’analyse doit distinguer ce qui est obligatoire au sens du RGPD (et donc non négociable) de ce qui est négociable contractuellement. Cette qualification est centrale pour déterminer si l’on est face à une négociation légitime ou à un véritable refus de DPA.
Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris
Atias Avocats — Droit du numérique, RGPD, Contrats IT, Intelligence artificielle
