{"id":23054,"date":"2026-06-21T08:00:00","date_gmt":"2026-06-21T08:00:00","guid":{"rendered":"https:\/\/atiasavocats.com\/?p=23054"},"modified":"2026-06-08T09:41:22","modified_gmt":"2026-06-08T09:41:22","slug":"dpa-rgpd-article-28-decrypte-2026","status":"publish","type":"post","link":"https:\/\/atiasavocats.com\/en\/dpa-rgpd-article-28-decrypte-2026\/","title":{"rendered":"DPA : l’article 28 du RGPD d\u00e9crypt\u00e9"},"content":{"rendered":"


Par\u00a0<\/em>David Joseph Atias<\/em><\/a>, avocat au Barreau de Paris \u00b7\u00a0<\/em>LinkedIn<\/em><\/a>\u00a0\u00b7 Juin 2026<\/em><\/em><\/p>\n\n\n\n

\n

Le DPA RGPD est l’instrument contractuel le plus fr\u00e9quemment n\u00e9goci\u00e9 dans l’\u00e9cosyst\u00e8me num\u00e9rique. Impos\u00e9 par l’article 28 du R\u00e8glement UE 2016\/679, il encadre toute relation entre un responsable de traitement et un sous-traitant qui traite des donn\u00e9es personnelles pour son compte. Cet article expose le cadre juridique, les dix mentions obligatoires et l’articulation avec les transferts internationaux et l’AI Act.<\/p>\n<\/blockquote>\n\n\n\n

SOMMAIRE<\/p>\n\n\n\n

    \n
  1. Pourquoi le DPA RGPD est devenu strat\u00e9gique en 2026<\/a><\/li>\n\n\n\n
  2. Le cadre juridique applicable<\/a><\/li>\n\n\n\n
  3. Les 10 mentions obligatoires de l’article 28<\/a><\/li>\n\n\n\n
  4. Tableau de synth\u00e8se et criticit\u00e9<\/a><\/li>\n\n\n\n
  5. Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/a><\/li>\n\n\n\n
  6. Pourquoi faire appel \u00e0 Atias Avocats<\/a><\/li>\n\n\n\n
  7. FAQ \u2014 Questions fr\u00e9quentes<\/a><\/li>\n<\/ol>\n\n\n\n

    1. Pourquoi le DPA RGPD est devenu strat\u00e9gique en 2026<\/h2>\n\n\n\n

    Le DPA RGPD n’est plus un document juridique de complaisance sign\u00e9 une fois pour toutes au d\u00e9but d’une relation commerciale. Il est devenu un v\u00e9ritable outil de gestion des risques. Trois dynamiques expliquent cette transformation en 2026.<\/p>\n\n\n\n

    1.1 La g\u00e9n\u00e9ralisation de la sous-traitance num\u00e9rique<\/h3>\n\n\n\n

    L’externalisation num\u00e9rique explose. H\u00e9bergement cloud, SaaS de gestion, agences marketing, outils RH, CRM, ATS de recrutement, prestataires IA : la quasi-totalit\u00e9 des entreprises sous-traite d\u00e9sormais une partie significative de ses traitements. Chaque relation d\u00e9clenche l’obligation d’un DPA RGPD. Une entreprise moyenne compte aujourd’hui 30 \u00e0 80 sous-traitants RGPD actifs, parfois davantage pour les groupes structur\u00e9s.<\/p>\n\n\n\n

    1.2 Une jurisprudence CNIL particuli\u00e8rement exigeante<\/h3>\n\n\n\n

    La CNIL a multipli\u00e9 les sanctions ciblant le d\u00e9faut ou la faiblesse des DPA. Plusieurs d\u00e9lib\u00e9rations r\u00e9centes ont sanctionn\u00e9 des responsables de traitement pour absence de DPA, DPA incomplet, ou DPA sign\u00e9 tardivement. Le Comit\u00e9 europ\u00e9en de la protection des donn\u00e9es (EDPB) a publi\u00e9 plusieurs lignes directrices clarifiant les attentes. Une r\u00e9daction superficielle ne passe d\u00e9sormais plus le seuil du contr\u00f4le.<\/p>\n\n\n\n

    1.3 L’articulation impos\u00e9e avec l’AI Act<\/h3>\n\n\n\n

    Depuis l’entr\u00e9e en application du R\u00e8glement UE 2024\/1689 (AI Act), le DPA RGPD doit anticiper les obligations IA. Quand un sous-traitant fournit un syst\u00e8me d’IA \u00e0 haut risque, des clauses sp\u00e9cifiques de gouvernance, de supervision humaine et de notification d’incidents doivent compl\u00e9ter le DPA classique. Cette articulation accro\u00eet la complexit\u00e9 contractuelle mais devient incontournable. Pour aller plus loin, consultez nos services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n

    2. Le cadre juridique applicable<\/h2>\n\n\n\n

    Le DPA s’inscrit dans un cadre juridique pluriel. Cinq corpus principaux se superposent et doivent \u00eatre ma\u00eetris\u00e9s ensemble pour atteindre la conformit\u00e9.<\/p>\n\n\n\n

    2.1 L’article 28 du R\u00e8glement UE 2016\/679<\/h3>\n\n\n\n

    L’article 28 du RGPD constitue le socle. Il impose que le traitement par un sous-traitant soit r\u00e9gi par un contrat ou un autre acte juridique. Le paragraphe 3 \u00e9num\u00e8re limitativement les dix mentions imp\u00e9ratives. Le paragraphe 4 encadre la sous-traitance ult\u00e9rieure (ce qu’on appelle le \u00ab sub-processing \u00bb). Les paragraphes 7 \u00e0 10 pr\u00e9voient l’adoption possible de clauses contractuelles types (CCT) par la Commission europ\u00e9enne.<\/p>\n\n\n\n

    2.2 L’article 32 sur la s\u00e9curit\u00e9<\/h3>\n\n\n\n

    L’article 32 du RGPD impose des mesures techniques et organisationnelles appropri\u00e9es : chiffrement, pseudonymisation, int\u00e9grit\u00e9, disponibilit\u00e9, r\u00e9silience, capacit\u00e9 \u00e0 restaurer rapidement. Le DPA doit d\u00e9crire ces mesures dans une annexe technique souvent appel\u00e9e TOMS (Technical and Organisational Measures). Cette annexe est d\u00e9sormais l’\u00e9l\u00e9ment que les autorit\u00e9s contr\u00f4lent en priorit\u00e9.<\/p>\n\n\n\n

    2.3 Les articles 33 et 34 sur les violations<\/h3>\n\n\n\n

    Les articles 33 et 34 imposent la notification des violations de donn\u00e9es. Le sous-traitant doit informer le responsable de traitement \u00ab dans les meilleurs d\u00e9lais \u00bb (l’EDPB recommande 24 \u00e0 48 heures maximum) afin que ce dernier puisse, \u00e0 son tour, notifier la CNIL dans les 72 heures. Le DPA doit organiser concr\u00e8tement ce signalement : interlocuteur d\u00e9di\u00e9, canal, contenu de la notification, suivi.<\/p>\n\n\n\n

    2.4 Les clauses contractuelles types (CCT) et le DPF<\/h3>\n\n\n\n

    La d\u00e9cision d’ex\u00e9cution UE 2021\/914 du 4 juin 2021 a adopt\u00e9 les clauses contractuelles types modernis\u00e9es. Elles sont obligatoires pour tout transfert hors UE en l’absence de d\u00e9cision d’ad\u00e9quation. Depuis l’arr\u00eat Schrems II (CJUE C-311\/18 du 16 juillet 2020), un TIA (Transfer Impact Assessment, analyse d’impact du transfert) doit \u00eatre document\u00e9. Le DPF (Data Privacy Framework), valide depuis juillet 2023, simplifie les transferts vers les \u00c9tats-Unis pour les organismes certifi\u00e9s. Pour aller plus loin, consultez nos services en mati\u00e8re de contrats commerciaux et IT<\/strong><\/a>.<\/p>\n\n\n\n

    3. Les 10 mentions obligatoires de l’article 28<\/h2>\n\n\n\n

    L’article 28 paragraphe 3 \u00e9num\u00e8re limitativement les dix mentions imp\u00e9ratives. Chacune doit \u00eatre pr\u00e9cise, document\u00e9e et opposable. Voici leur d\u00e9cryptage op\u00e9rationnel.<\/p>\n\n\n\n

    3.1 L’objet et la dur\u00e9e du traitement<\/h3>\n\n\n\n

    La premi\u00e8re mention d\u00e9crit l’objet pr\u00e9cis du traitement et sa dur\u00e9e. L’objet identifie l’activit\u00e9 externalis\u00e9e : h\u00e9bergement, gestion de campagnes, paie, analyse statistique, mod\u00e9ration de contenus. La dur\u00e9e fixe le terme : dur\u00e9e du contrat principal, dur\u00e9e des prestations, conservation post-contractuelle. Ces deux \u00e9l\u00e9ments forment la \u00ab cellule de base \u00bb du DPA : sans pr\u00e9cision sur l’objet et la dur\u00e9e, toutes les autres clauses sont fragilis\u00e9es.<\/p>\n\n\n\n

    3.2 La nature et la finalit\u00e9<\/h3>\n\n\n\n

    La deuxi\u00e8me mention d\u00e9crit la nature des op\u00e9rations (collecte, stockage, structuration, transmission, effacement) et leurs finalit\u00e9s (gestion commerciale, ressources humaines, marketing, pr\u00e9vention de la fraude). Cette description doit refl\u00e9ter exactement ce que fait le sous-traitant. Une description trop large expose \u00e0 un d\u00e9passement de finalit\u00e9 ; une description trop restreinte expose \u00e0 un manquement contractuel quand le sous-traitant agit au-del\u00e0 du p\u00e9rim\u00e8tre.<\/p>\n\n\n\n

    3.3 Le type de donn\u00e9es et les cat\u00e9gories de personnes<\/h3>\n\n\n\n

    La troisi\u00e8me mention d\u00e9taille les donn\u00e9es trait\u00e9es (identifiants, contacts, donn\u00e9es de connexion, contenus, donn\u00e9es sensibles le cas \u00e9ch\u00e9ant) et les cat\u00e9gories de personnes (clients, prospects, salari\u00e9s, candidats, partenaires). Cette pr\u00e9cision conditionne la mat\u00e9rialit\u00e9 des mesures de s\u00e9curit\u00e9 : un DPA pour des donn\u00e9es RH non sensibles n’exige pas les m\u00eames mesures qu’un DPA pour des donn\u00e9es de sant\u00e9 ou de paiement.<\/p>\n\n\n\n

    3.4 Les mesures de s\u00e9curit\u00e9 (article 32)<\/h3>\n\n\n\n

    La quatri\u00e8me mention exige l’engagement du sous-traitant \u00e0 mettre en \u0153uvre les mesures techniques et organisationnelles appropri\u00e9es. Le DPA doit comporter une annexe TOMS (Technical and Organisational Measures) d\u00e9taillant les contr\u00f4les : chiffrement au repos et en transit, contr\u00f4le d’acc\u00e8s, journalisation, segmentation r\u00e9seau, plan de continuit\u00e9 (PCA), plan de reprise d’activit\u00e9 (PRA), formation des \u00e9quipes, tests d’intrusion, certifications (ISO 27001, SOC 2).<\/p>\n\n\n\n

    3.5 L’encadrement de la sous-traitance ult\u00e9rieure<\/h3>\n\n\n\n

    La cinqui\u00e8me mention organise la sous-traitance ult\u00e9rieure (\u00ab sub-processing \u00bb). Le sous-traitant ne peut recruter d’autre sous-traitant sans autorisation pr\u00e9alable du responsable de traitement (article 28.2). Cette autorisation peut \u00eatre sp\u00e9cifique ou g\u00e9n\u00e9rale, mais l’EDPB exige qu’une liste actualis\u00e9e des sous-traitants ult\u00e9rieurs soit maintenue et notifi\u00e9e en cas d’\u00e9volution. Toute nouvelle relation d\u00e9clenche un d\u00e9lai d’objection au profit du responsable de traitement (typiquement 30 jours).<\/p>\n\n\n\n

    3.6 L’assistance pour les droits des personnes<\/h3>\n\n\n\n

    La sixi\u00e8me mention impose au sous-traitant d’aider le responsable de traitement \u00e0 r\u00e9pondre aux demandes des personnes concern\u00e9es (acc\u00e8s, rectification, effacement, opposition, portabilit\u00e9). Le DPA doit organiser concr\u00e8tement cette assistance : d\u00e9lais (typiquement 5 \u00e0 10 jours), canal, contenu, modalit\u00e9s techniques. Une assistance vague et non chiffr\u00e9e fragilise gravement la capacit\u00e9 du responsable \u00e0 respecter le d\u00e9lai d’un mois impos\u00e9 par l’article 12 RGPD.<\/p>\n\n\n\n

    3.7 La notification des violations<\/h3>\n\n\n\n

    La septi\u00e8me mention organise la notification des violations de donn\u00e9es (articles 33 et 34). Le DPA doit imposer au sous-traitant un d\u00e9lai maximal de signalement (g\u00e9n\u00e9ralement 24 \u00e0 48 heures), d\u00e9finir le contenu minimal de la notification, identifier le canal et le point de contact, et organiser la coop\u00e9ration en cas d’enqu\u00eate. Cette mention est d\u00e9sormais l’une des plus contr\u00f4l\u00e9es : la CNIL v\u00e9rifie syst\u00e9matiquement sa pr\u00e9cision.<\/p>\n\n\n\n

    3.8 L’AIPD et la coop\u00e9ration aux contr\u00f4les<\/h3>\n\n\n\n

    La huiti\u00e8me mention impose au sous-traitant d’aider le responsable de traitement \u00e0 conduire les analyses d’impact relatives \u00e0 la protection des donn\u00e9es (AIPD) pr\u00e9vues \u00e0 l’article 35 RGPD, et \u00e0 consulter l’autorit\u00e9 de contr\u00f4le si n\u00e9cessaire (article 36). Cette assistance est d\u00e9sormais essentielle pour les traitements IA, o\u00f9 l’AIPD se cumule souvent avec la FRIA (Fundamental Rights Impact Assessment) de l’AI Act.<\/p>\n\n\n\n

    3.9 Le sort des donn\u00e9es en fin de contrat<\/h3>\n\n\n\n

    La neuvi\u00e8me mention organise le sort des donn\u00e9es \u00e0 l’expiration du contrat. Le DPA doit pr\u00e9voir, au choix du responsable de traitement, la restitution compl\u00e8te des donn\u00e9es ou leur suppression, et la suppression de toutes les copies existantes (sauf obligation l\u00e9gale de conservation). Une attestation \u00e9crite de suppression doit \u00eatre d\u00e9livr\u00e9e. Cette mention conditionne la r\u00e9versibilit\u00e9 contractuelle et l’absence de \u00ab zombie data \u00bb.<\/p>\n\n\n\n

    3.10 La mise \u00e0 disposition d’informations et le droit d’audit<\/h3>\n\n\n\n

    La dixi\u00e8me mention impose au sous-traitant de mettre \u00e0 disposition toutes les informations n\u00e9cessaires \u00e0 d\u00e9montrer le respect des obligations de l’article 28, et d’accepter des audits. Le DPA doit organiser concr\u00e8tement ce droit d’audit : p\u00e9rim\u00e8tre, fr\u00e9quence (annuelle ou ad hoc), pr\u00e9avis, conduite par le responsable ou un tiers mandat\u00e9, prise en charge financi\u00e8re. Sans clause d’audit op\u00e9rationnelle, le contr\u00f4le reste th\u00e9orique.<\/p>\n\n\n\n

    4. Tableau de synth\u00e8se et criticit\u00e9<\/h2>\n\n\n\n

    Le tableau ci-dessous synth\u00e9tise les dix mentions obligatoires, leur fondement et leur niveau de criticit\u00e9 op\u00e9rationnelle dans la r\u00e9daction d’un DPA RGPD.<\/p>\n\n\n\n

    Mention<\/th>Fondement<\/th>Criticit\u00e9<\/th><\/tr><\/thead>
    1. Objet et dur\u00e9e<\/td>Art. 28.3<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    2. Nature et finalit\u00e9s<\/td>Art. 28.3<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    3. Donn\u00e9es et personnes concern\u00e9es<\/td>Art. 28.3<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    4. Mesures de s\u00e9curit\u00e9 (TOMS)<\/td>Art. 28.3.c + 32<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    5. Sous-traitance ult\u00e9rieure<\/td>Art. 28.2 + 28.4<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    6. Assistance droits des personnes<\/td>Art. 28.3.e<\/td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr>
    7. Notification des violations<\/td>Art. 28.3.f + 33-34<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    8. AIPD et coop\u00e9ration contr\u00f4les<\/td>Art. 28.3.f + 35-36<\/td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr>
    9. Sort des donn\u00e9es en fin de contrat<\/td>Art. 28.3.g<\/td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr>
    10. Informations et droit d’audit<\/td>Art. 28.3.h<\/td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    5. Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/h2>\n\n\n\n

    Au-del\u00e0 du cadre th\u00e9orique, plusieurs pi\u00e8ges r\u00e9currents fragilisent les DPA. Les identifier permet d’\u00e9viter les contestations les plus fr\u00e9quentes lors des contr\u00f4les.<\/p>\n\n\n\n

    5.1 Signer le DPA standard du fournisseur sans n\u00e9gociation<\/h3>\n\n\n\n

    Le premier pi\u00e8ge est l’acceptation passive du DPA du fournisseur. La plupart des \u00e9diteurs SaaS imposent leur propre mod\u00e8le, souvent d\u00e9s\u00e9quilibr\u00e9 au profit du sous-traitant : limitation drastique de responsabilit\u00e9, exclusion du droit d’audit physique, liste de sous-traitants ult\u00e9rieurs tr\u00e8s large, mesures de s\u00e9curit\u00e9 vagues. Une n\u00e9gociation active permet de r\u00e9\u00e9quilibrer le DPA, particuli\u00e8rement sur les indemnisations, les TOMS et les p\u00e9nalit\u00e9s.<\/p>\n\n\n\n

    5.2 Confondre DPA et accord de confidentialit\u00e9<\/h3>\n\n\n\n

    Le deuxi\u00e8me pi\u00e8ge est la confusion. Beaucoup d’entreprises pensent qu’un NDA (non-disclosure agreement) ou un avenant confidentialit\u00e9 tient lieu de DPA. C’est faux. Un NDA traite du secret des affaires, pas du traitement des donn\u00e9es personnelles. Les dix mentions de l’article 28 doivent \u00eatre express\u00e9ment couvertes dans un acte juridique d\u00e9di\u00e9. Un sous-traitant signataire d’un NDA seul reste en infraction au RGPD.<\/p>\n\n\n\n

    5.3 N\u00e9gliger les transferts hors UE<\/h3>\n\n\n\n

    Le troisi\u00e8me pi\u00e8ge concerne les transferts. Un DPA conforme \u00e0 l’article 28 ne suffit pas si les donn\u00e9es sont transf\u00e9r\u00e9es hors UE. Il faut, en plus, des clauses contractuelles types (d\u00e9cision UE 2021\/914), un Transfer Impact Assessment (TIA) post-Schrems II, et parfois des mesures suppl\u00e9mentaires (chiffrement renforc\u00e9, pseudonymisation, s\u00e9gr\u00e9gation). Le d\u00e9faut de ces compl\u00e9ments expose \u00e0 des sanctions imm\u00e9diates, particuli\u00e8rement pour les sous-traitants am\u00e9ricains non certifi\u00e9s DPF.<\/p>\n\n\n\n

    5.4 Sous-estimer la liste des sous-traitants ult\u00e9rieurs<\/h3>\n\n\n\n

    Le quatri\u00e8me pi\u00e8ge est la liste des sous-traitants ult\u00e9rieurs. Un sous-traitant SaaS recourt typiquement \u00e0 10 ou 20 sous-traitants ult\u00e9rieurs (h\u00e9bergement, monitoring, support, anti-fraude, messagerie). Cette liste doit \u00eatre annex\u00e9e au DPA, tenue \u00e0 jour et notifi\u00e9e \u00e0 chaque \u00e9volution. Une liste obsol\u00e8te ou incompl\u00e8te est sanctionn\u00e9e. Le responsable de traitement doit conserver un droit d’objection clair.<\/p>\n\n\n\n

    5.5 Ignorer les obligations AI Act 2026<\/h3>\n\n\n\n

    Le cinqui\u00e8me pi\u00e8ge, sp\u00e9cifique \u00e0 2026, concerne l’AI Act. Si le sous-traitant fournit un syst\u00e8me d’IA \u00e0 haut risque ou un GPAI, le DPA doit anticiper les obligations du R\u00e8glement UE 2024\/1689 : transmission de la documentation technique (annexes XI et XII), garanties de supervision humaine (article 14), notification d’incidents graves, articulation FRIA \/ AIPD. Un DPA muet sur l’AI Act expose \u00e0 un cumul de manquements \u00e0 compter du 2 ao\u00fbt 2026.<\/p>\n\n\n\n

    6. Pourquoi faire appel \u00e0 Atias Avocats<\/h2>\n\n\n\n

    R\u00e9diger ou n\u00e9gocier un DPA \u00e0 la hauteur des enjeux exige une combinaison rare de comp\u00e9tences : ma\u00eetrise approfondie du RGPD (articles 28, 32, 33, 34, 35, 36 et 83), expertise des contrats IT et SaaS (r\u00e9versibilit\u00e9, SLA, limitation de responsabilit\u00e9), pratique des transferts internationaux (CCT, TIA, DPF, BCR), articulation avec l’AI Act lorsque le sous-traitant fournit un syst\u00e8me IA. Cette pluridisciplinarit\u00e9 est pr\u00e9cis\u00e9ment la valeur ajout\u00e9e d’un cabinet sp\u00e9cialis\u00e9 en droit du num\u00e9rique.<\/p>\n\n\n\n

    Atias Avocats accompagne responsables de traitement, sous-traitants, \u00e9diteurs SaaS, h\u00e9bergeurs cloud, agences marketing, prestataires d’infog\u00e9rance, scale-ups IA et grands groupes sur l’ensemble du sujet : r\u00e9daction de DPA sur mesure, audit du portefeuille de DPA existants, n\u00e9gociation avec un grand compte ou un fournisseur dominant, mise en place de CCT et TIA pour les transferts hors UE, articulation DPA \/ AI Act, d\u00e9fense en cas de contr\u00f4le CNIL, contentieux de la responsabilit\u00e9 en cas de fuite de donn\u00e9es. Pour aller plus loin, consultez nos services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n

    Conclusion<\/h2>\n\n\n\n

    Le DPA RGPD est l’un des contrats les plus mal trait\u00e9s de l’\u00e9cosyst\u00e8me num\u00e9rique. Sign\u00e9 \u00e0 la h\u00e2te, souvent sur le mod\u00e8le du fournisseur, rarement audit\u00e9 ensuite : voil\u00e0 le portrait habituel. Pourtant, c’est pr\u00e9cis\u00e9ment ce document qui d\u00e9cide de la responsabilit\u00e9 juridique en cas de fuite de donn\u00e9es, de la solidit\u00e9 face \u00e0 un contr\u00f4le CNIL, de la capacit\u00e9 \u00e0 servir une demande de droits et de la fluidit\u00e9 d’une r\u00e9versibilit\u00e9 contractuelle. Les dix mentions pr\u00e9sent\u00e9es ici, combin\u00e9es \u00e0 la vigilance sur les cinq pi\u00e8ges classiques, offrent un r\u00e9f\u00e9rentiel directement utilisable par DPO, juristes, DSI et fondateurs.<\/p>\n\n\n\n

    Pour les responsables de traitement, le r\u00e9flexe doit \u00eatre clair : auditer le portefeuille existant, n\u00e9gocier les DPA strat\u00e9giques, int\u00e9grer les transferts hors UE, anticiper l’AI Act. C’est cette discipline qui transforme un document de complaisance en v\u00e9ritable bouclier juridique.<\/p>\n\n\n\n

    FAQ \u2014 Questions fr\u00e9quentes<\/h2>\n\n\n\n

    Qu’est-ce qu’un DPA RGPD ?<\/h3>\n\n\n\n

    Un DPA (Data Processing Agreement, ou accord de sous-traitance en fran\u00e7ais) est le contrat ou l’avenant juridique exig\u00e9 par l’article 28 du R\u00e8glement UE 2016\/679 (RGPD) entre un responsable de traitement et un sous-traitant qui traite des donn\u00e9es personnelles pour son compte. Sans DPA conforme, toute relation de sous-traitance impliquant des donn\u00e9es personnelles est en infraction au RGPD. Cela vaut pour les h\u00e9bergeurs cloud, les \u00e9diteurs SaaS, les agences marketing, les prestataires d’infog\u00e9rance, les CRM externes, les prestataires de paie, et plus g\u00e9n\u00e9ralement tout fournisseur qui traite des donn\u00e9es pour le compte du client. Le DPA RGPD doit comporter dix mentions obligatoires \u00e9num\u00e9r\u00e9es limitativement \u00e0 l’article 28 paragraphe 3.<\/p>\n\n\n\n

    Quelles sont les 10 mentions obligatoires d’un DPA ?<\/h3>\n\n\n\n

    L’article 28 paragraphe 3 du RGPD \u00e9num\u00e8re dix mentions imp\u00e9ratives. (1) L’objet du traitement ; (2) la dur\u00e9e du traitement ; (3) la nature et les finalit\u00e9s du traitement ; (4) le type de donn\u00e9es et les cat\u00e9gories de personnes concern\u00e9es ; (5) les mesures de s\u00e9curit\u00e9 (article 32) ; (6) l’encadrement de la sous-traitance ult\u00e9rieure (article 28.2 et 28.4) ; (7) l’assistance pour les droits des personnes ; (8) la notification des violations de donn\u00e9es (articles 33 et 34) ; (9) le sort des donn\u00e9es en fin de contrat (suppression ou restitution) ; (10) la mise \u00e0 disposition d’informations et le droit d’audit. Ces mentions doivent \u00eatre pr\u00e9cises, v\u00e9rifiables et opposables. Un DPA RGPD g\u00e9n\u00e9rique ou impr\u00e9cis ne satisfait pas l’article 28.<\/p>\n\n\n\n

    Comment articuler DPA et clauses contractuelles types (CCT) ?<\/h3>\n\n\n\n

    Le DPA RGPD couvre la relation responsable de traitement \/ sous-traitant \u00e0 l’int\u00e9rieur de l’Union europ\u00e9enne. Quand le sous-traitant est \u00e9tabli hors UE, le DPA doit \u00eatre compl\u00e9t\u00e9 par les clauses contractuelles types (CCT) adopt\u00e9es par la Commission europ\u00e9enne (d\u00e9cision UE 2021\/914 du 4 juin 2021). Les CCT couvrent quatre modules selon les configurations (responsable\/responsable, responsable\/sous-traitant, sous-traitant\/sous-traitant, sous-traitant\/responsable). Depuis l’arr\u00eat CJUE Schrems II (C-311\/18 du 16 juillet 2020), un Transfer Impact Assessment (TIA) doit \u00eatre conduit pour \u00e9valuer le niveau de protection du pays tiers et des mesures suppl\u00e9mentaires peuvent \u00eatre n\u00e9cessaires. Le DPF (Data Privacy Framework) UE-US, valide depuis juillet 2023, simplifie ces transferts vers les organismes certifi\u00e9s am\u00e9ricains.<\/p>\n\n\n\n


    Contact :     david@atiasavocats.com<\/a> | LinkedIn: David Joseph Atias<\/em><\/a> | https:\/\/www.atiasavocats.com<\/a> | 42 rue de la Clef, 75005 Paris<\/p>\n\n\n\n

    Atias Avocats \u2014 RGPD, Contrats IT, AI Act, Conformit\u00e9 num\u00e9rique<\/em><\/p>","protected":false},"excerpt":{"rendered":"

    Par\u00a0David Joseph Atias, avocat au Barreau de Paris \u00b7\u00a0LinkedIn\u00a0\u00b7 Juin 2026 Le DPA RGPD est l’instrument contractuel le plus fr\u00e9quemment n\u00e9goci\u00e9 dans l’\u00e9cosyst\u00e8me num\u00e9rique. Impos\u00e9 par l’article 28 du R\u00e8glement…<\/p>","protected":false},"author":1,"featured_media":23055,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-23054","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23054","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/comments?post=23054"}],"version-history":[{"count":1,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23054\/revisions"}],"predecessor-version":[{"id":23056,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23054\/revisions\/23056"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media\/23055"}],"wp:attachment":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media?parent=23054"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/categories?post=23054"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/tags?post=23054"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}