{"id":23133,"date":"2026-07-06T10:00:00","date_gmt":"2026-07-06T10:00:00","guid":{"rendered":"https:\/\/atiasavocats.com\/?p=23133"},"modified":"2026-07-06T10:55:17","modified_gmt":"2026-07-06T10:55:17","slug":"dpa-fournisseur-saas-7-clauses-a-renegocier","status":"publish","type":"post","link":"https:\/\/atiasavocats.com\/en\/dpa-fournisseur-saas-7-clauses-a-renegocier\/","title":{"rendered":"DPA standard fournisseur SaaS : 7 clauses \u00e0 ren\u00e9gocier"},"content":{"rendered":"<p class=\"wp-block-paragraph\"><em><br><em>Par\u00a0<\/em><a href=\"https:\/\/www.malt.fr\/profile\/josephdavidatias\" target=\"_blank\" rel=\"noopener\"><em>David Joseph Atias<\/em><\/a><em>, avocat au Barreau de Paris \u00b7\u00a0<\/em><a href=\"https:\/\/www.linkedin.com\/in\/david-joseph-atias-b04a7153\" target=\"_blank\" rel=\"noopener\"><em>LinkedIn<\/em><\/a><em>\u00a0\u00b7 Juillet 2026<\/em><\/em><\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">Le DPA fournisseur SaaS arrive souvent en pi\u00e8ce jointe, pr\u00e9sent\u00e9 comme une simple formalit\u00e9 \u00ab \u00e0 signer \u00bb. C&rsquo;est une erreur. Cet accord de sous-traitance, exig\u00e9 par l&rsquo;article 28 du RGPD, engage la responsabilit\u00e9 du client face \u00e0 la CNIL et aux personnes concern\u00e9es. Or, le DPA standard de l&rsquo;\u00e9diteur est r\u00e9dig\u00e9 pour prot\u00e9ger l&rsquo;\u00e9diteur, pas le client. Transferts hors UE flous, responsabilit\u00e9 plafonn\u00e9e, audit impossible, notification tardive : les d\u00e9s\u00e9quilibres sont nombreux. Cet article identifie les 7 clauses \u00e0 ren\u00e9gocier en priorit\u00e9, leur cadre juridique et les pi\u00e8ges \u00e0 \u00e9viter pour signer un DPA r\u00e9ellement protecteur.<\/p>\n<\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">SOMMAIRE<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><a href=\"#section-1\">Pourquoi le DPA fournisseur SaaS est strat\u00e9gique en 2026<\/a><\/li>\n\n\n\n<li><a href=\"#section-2\">Le cadre juridique applicable<\/a><\/li>\n\n\n\n<li><a href=\"#section-3\">Les 7 clauses \u00e0 ren\u00e9gocier<\/a><\/li>\n\n\n\n<li><a href=\"#section-4\">Tableau de synth\u00e8se des clauses<\/a><\/li>\n\n\n\n<li><a href=\"#section-5\">Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/a><\/li>\n\n\n\n<li><a href=\"#section-6\">Pourquoi faire appel \u00e0 Atias Avocats<\/a><\/li>\n\n\n\n<li><a href=\"#faq\">FAQ \u2014 Questions fr\u00e9quentes<\/a><\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">1. Pourquoi le DPA fournisseur SaaS est strat\u00e9gique en 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le DPA fournisseur SaaS est devenu un document \u00e0 enjeu majeur. Chaque outil SaaS qui traite des donn\u00e9es personnelles en exige un. Trois dynamiques renforcent son importance en 2026.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.1 La multiplication des sous-traitants SaaS<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Une entreprise moyenne utilise entre 80 et 130 outils SaaS. Chacun traite potentiellement des donn\u00e9es personnelles : clients, salari\u00e9s, prospects. Chacun est donc un sous-traitant au sens du RGPD, qui exige un DPA. Cette multiplication cr\u00e9e un risque syst\u00e9mique : un seul maillon faible, un seul DPA d\u00e9s\u00e9quilibr\u00e9, suffit \u00e0 exposer l&rsquo;entreprise. Le DPA n&rsquo;est plus un document isol\u00e9, mais un \u00e9l\u00e9ment d&rsquo;une cha\u00eene \u00e0 s\u00e9curiser.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.2 L&rsquo;irruption de l&rsquo;IA dans les outils SaaS<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">En 2026, les \u00e9diteurs SaaS ajoutent massivement des fonctionnalit\u00e9s d&rsquo;IA. Ces fonctions traitent souvent les donn\u00e9es du client pour entra\u00eener ou alimenter des mod\u00e8les. Cela soul\u00e8ve des questions in\u00e9dites : les donn\u00e9es servent-elles \u00e0 entra\u00eener l&rsquo;IA de l&rsquo;\u00e9diteur ? Le DPA l&rsquo;autorise-t-il ? L&rsquo;AI Act (R\u00e8glement UE 2024\/1689) s&rsquo;applique-t-il ? Le DPA doit d\u00e9sormais encadrer ces usages. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/personal-data\/\"><strong>services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. Le cadre juridique applicable<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le DPA repose sur un socle juridique pr\u00e9cis. Quatre fondements principaux d\u00e9terminent son contenu obligatoire et sa port\u00e9e.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.1 L&rsquo;obligation de l&rsquo;article 28 du RGPD<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;article 28 du R\u00e8glement UE 2016\/679 (RGPD) impose un contrat \u00e9crit entre le responsable de traitement et son sous-traitant. Ce contrat, le DPA, doit pr\u00e9voir un contenu minimal : objet, dur\u00e9e, nature et finalit\u00e9 du traitement, type de donn\u00e9es, obligations des parties. L&rsquo;article 28 paragraphe 3 liste les mentions imp\u00e9ratives. Un DPA qui n&rsquo;en respecte pas le contenu est non conforme, ce qui engage la responsabilit\u00e9 du client responsable de traitement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.2 La s\u00e9curit\u00e9 et la notification (articles 32 \u00e0 34)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;article 32 du RGPD impose des mesures techniques et organisationnelles de s\u00e9curit\u00e9 adapt\u00e9es au risque. L&rsquo;article 33 oblige \u00e0 notifier une violation \u00e0 la CNIL sous 72 heures. Le sous-traitant doit, lui, alerter le responsable de traitement \u00ab dans les meilleurs d\u00e9lais \u00bb (article 33 paragraphe 2). Le DPA doit donc pr\u00e9ciser un d\u00e9lai d&rsquo;alerte court et chiffr\u00e9, faute de quoi le client ne pourra pas respecter son propre d\u00e9lai de 72 heures.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.3 Les transferts hors UE (Schrems II)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Beaucoup d&rsquo;\u00e9diteurs SaaS h\u00e9bergent ou acc\u00e8dent aux donn\u00e9es depuis hors de l&rsquo;Union europ\u00e9enne. L&rsquo;arr\u00eat Schrems II de la CJUE (C-311\/18, 2020) impose, pour ces transferts, des clauses contractuelles types (d\u00e9cision UE 2021\/914) et une analyse d&rsquo;impact des transferts (Transfer Impact Assessment). Le DPA doit identifier pr\u00e9cis\u00e9ment les pays de transfert et les garanties associ\u00e9es. Une clause vague sur ce point est un risque majeur.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. Les 7 clauses \u00e0 ren\u00e9gocier<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Sept clauses concentrent l&rsquo;essentiel du risque dans un DPA standard d&rsquo;\u00e9diteur. Les ren\u00e9gocier en priorit\u00e9 prot\u00e8ge efficacement le client responsable de traitement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.1 La sous-traitance ult\u00e9rieure<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La premi\u00e8re clause encadre les sous-traitants de l&rsquo;\u00e9diteur. Beaucoup de DPA autorisent une sous-traitance ult\u00e9rieure libre, avec une simple information du client. Or, le client doit pouvoir s&rsquo;opposer \u00e0 un nouveau sous-traitant. La clause doit pr\u00e9voir une autorisation pr\u00e9alable ou, a minima, un droit d&rsquo;opposition effectif assorti d&rsquo;un pr\u00e9avis. Il faut aussi exiger la liste \u00e0 jour des sous-traitants et la r\u00e9percussion des obligations du DPA sur eux.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.2 Les transferts hors UE<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La deuxi\u00e8me clause concerne les transferts internationaux. Le DPA standard reste souvent vague : \u00ab le sous-traitant peut transf\u00e9rer les donn\u00e9es \u00bb. C&rsquo;est insuffisant. La clause doit identifier les pays concern\u00e9s, les garanties mobilis\u00e9es (clauses contractuelles types), et l&rsquo;existence d&rsquo;une analyse d&rsquo;impact des transferts. Apr\u00e8s Schrems II, un transfert mal encadr\u00e9 expose directement le client. C&rsquo;est l&rsquo;un des points les plus sensibles de l&rsquo;accord.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.3 Les mesures de s\u00e9curit\u00e9<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La troisi\u00e8me clause porte sur la s\u00e9curit\u00e9 (article 32 du RGPD). Beaucoup de DPA renvoient \u00e0 une annexe vague ou \u00e0 une politique \u00ab susceptible d&rsquo;\u00e9voluer \u00bb. Le client doit exiger des mesures pr\u00e9cises et contraignantes : chiffrement, contr\u00f4le d&rsquo;acc\u00e8s, journalisation, certifications (ISO 27001, SOC 2, HDS pour la sant\u00e9). La clause doit interdire toute d\u00e9gradation unilat\u00e9rale du niveau de s\u00e9curit\u00e9 pendant la dur\u00e9e du contrat.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.4 La notification des violations<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La quatri\u00e8me clause fixe le d\u00e9lai d&rsquo;alerte. Le DPA standard pr\u00e9voit souvent une notification \u00ab dans un d\u00e9lai raisonnable \u00bb, ce qui est inexploitable. Le client doit imposer un d\u00e9lai court et chiffr\u00e9, par exemple 24 \u00e0 48 heures, pour pouvoir respecter son propre d\u00e9lai de 72 heures envers la CNIL (article 33 du RGPD). La clause doit aussi pr\u00e9ciser le contenu de l&rsquo;alerte et l&rsquo;assistance de l&rsquo;\u00e9diteur \u00e0 la gestion de l&rsquo;incident.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.5 Le droit d&rsquo;audit<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La cinqui\u00e8me clause organise le contr\u00f4le. L&rsquo;article 28 du RGPD donne au client un droit d&rsquo;audit. Or, beaucoup de DPA le r\u00e9duisent \u00e0 la simple remise d&rsquo;un rapport de certification, sans audit r\u00e9el. Le client doit conserver un droit d&rsquo;audit effectif : audit sur site ou sur pi\u00e8ces, \u00e0 intervalles raisonnables, ou via un tiers ind\u00e9pendant. La clause ne doit pas vider ce droit de sa substance, sous couvert de confidentialit\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.6 La r\u00e9versibilit\u00e9 des donn\u00e9es<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La sixi\u00e8me clause organise la fin du contrat. Le DPA doit pr\u00e9voir la restitution des donn\u00e9es dans un format exploitable, puis leur suppression certifi\u00e9e chez l&rsquo;\u00e9diteur et ses sous-traitants. Beaucoup de DPA restent flous sur le format, le d\u00e9lai et la preuve de suppression. Le client doit exiger des engagements pr\u00e9cis. Cette clause s&rsquo;articule avec la clause de r\u00e9versibilit\u00e9 du contrat SaaS principal, \u00e0 ne pas confondre avec elle.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.7 La responsabilit\u00e9<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La septi\u00e8me clause est la plus disput\u00e9e. Les \u00e9diteurs limitent souvent fortement leur responsabilit\u00e9, parfois \u00e0 quelques mois d&rsquo;abonnement. Or, une violation de donn\u00e9es peut co\u00fbter bien davantage. Le client doit n\u00e9gocier un plafond proportionn\u00e9 au risque, distinct du plafond du contrat commercial, et exclure de tout plafond les manquements graves au RGPD. Une clause limitative abusive peut d&rsquo;ailleurs \u00eatre contest\u00e9e au titre de l&rsquo;article 1170 du Code civil.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Tableau de synth\u00e8se des clauses<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le tableau ci-dessous synth\u00e9tise les 7 clauses \u00e0 ren\u00e9gocier dans un DPA standard, le risque du DPA standard et le niveau de criticit\u00e9.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">Clause<\/th><th class=\"has-text-align-left\" data-align=\"left\">Risque du DPA standard<\/th><th class=\"has-text-align-left\" data-align=\"left\">Criticit\u00e9<\/th><\/tr><\/thead><tbody><tr><td>1. Sous-traitance ult\u00e9rieure<\/td><td>Recours libre, simple information<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><tr><td>2. Transferts hors UE<\/td><td>Clause vague post-Schrems II<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>3. Mesures de s\u00e9curit\u00e9<\/td><td>Annexe vague, \u00e9volutive<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>4. Notification des violations<\/td><td>D\u00e9lai \u00ab raisonnable \u00bb inexploitable<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>5. Droit d&rsquo;audit<\/td><td>R\u00e9duit \u00e0 un rapport<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><tr><td>6. R\u00e9versibilit\u00e9 des donn\u00e9es<\/td><td>Format et suppression flous<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><tr><td>7. Responsabilit\u00e9<\/td><td>Plafond abusivement bas<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">5. Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Au-del\u00e0 des clauses, plusieurs pi\u00e8ges r\u00e9currents fragilisent la position du client. Les identifier permet de signer un DPA r\u00e9ellement protecteur.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.1 Signer le DPA standard sans le lire<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le premier pi\u00e8ge est le r\u00e9flexe de signature automatique. Le DPA arrive en pi\u00e8ce jointe, pr\u00e9sent\u00e9 comme une formalit\u00e9, et il est sign\u00e9 sans analyse. Or, il engage la responsabilit\u00e9 du client face \u00e0 la CNIL. Chaque DPA doit \u00eatre relu avant signature. M\u00eame non n\u00e9gociable, son analyse permet d&rsquo;\u00e9valuer le risque et de documenter une d\u00e9cision \u00e9clair\u00e9e. La signature \u00e0 l&rsquo;aveugle est le risque le plus fr\u00e9quent.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.2 Croire que \u00ab non n\u00e9gociable \u00bb signifie \u00ab \u00e0 accepter \u00bb<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le deuxi\u00e8me pi\u00e8ge est la r\u00e9signation. Quand l&rsquo;\u00e9diteur affirme que son DPA n&rsquo;est pas n\u00e9gociable, beaucoup de clients renoncent. Pourtant, certaines clauses sont presque toujours amendables, surtout pour un contrat \u00e0 enjeu. Et si rien n&rsquo;est n\u00e9gociable, le choix d&rsquo;un autre fournisseur reste possible. Le DPA fait partie du crit\u00e8re de s\u00e9lection. Ne pas n\u00e9gocier doit rester un choix conscient, et non une soumission par d\u00e9faut.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.3 Ignorer l&rsquo;entra\u00eenement de l&rsquo;IA sur ses donn\u00e9es<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le troisi\u00e8me pi\u00e8ge, sp\u00e9cifique \u00e0 2026, concerne l&rsquo;IA. De nombreux \u00e9diteurs utilisent les donn\u00e9es de leurs clients pour entra\u00eener leurs mod\u00e8les d&rsquo;IA. Si le DPA l&rsquo;autorise implicitement, le client perd le contr\u00f4le de ses donn\u00e9es. La clause doit interdire ou strictement encadrer cet usage, et l&rsquo;articuler avec l&rsquo;AI Act (R\u00e8glement UE 2024\/1689). C&rsquo;est un point de vigilance nouveau et essentiel de tout accord de sous-traitance en 2026.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.4 N\u00e9gliger la coh\u00e9rence avec le contrat principal<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le quatri\u00e8me pi\u00e8ge est l&rsquo;incoh\u00e9rence contractuelle. Le DPA et le contrat SaaS principal doivent s&rsquo;articuler sans contradiction. Un plafond de responsabilit\u00e9 dans le contrat principal peut neutraliser celui du DPA. Une clause de r\u00e9versibilit\u00e9 dans l&rsquo;un peut contredire l&rsquo;autre. Il faut lire les deux documents ensemble et v\u00e9rifier leur coh\u00e9rence, notamment sur la responsabilit\u00e9, la dur\u00e9e et le sort des donn\u00e9es.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.5 Oublier de tenir \u00e0 jour le registre et les DPA<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le cinqui\u00e8me pi\u00e8ge est l&rsquo;absence de suivi. Signer un bon DPA ne suffit pas : il faut le tenir \u00e0 jour. Les sous-traitants changent, les versions \u00e9voluent, les fonctions IA s&rsquo;ajoutent. Le registre des traitements (article 30 du RGPD) doit refl\u00e9ter la r\u00e9alit\u00e9. Un DPA fournisseur SaaS sign\u00e9 puis oubli\u00e9 devient vite obsol\u00e8te. Une revue p\u00e9riodique du parc de DPA est indispensable pour rester conforme dans la dur\u00e9e.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">6. Pourquoi faire appel \u00e0 Atias Avocats<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ren\u00e9gocier un DPA fournisseur SaaS exige une combinaison rare de comp\u00e9tences : ma\u00eetrise du RGPD et de l&rsquo;article 28 (contenu obligatoire de l&rsquo;accord de sous-traitance), connaissance des transferts internationaux (arr\u00eat Schrems II, clauses contractuelles types, analyse d&rsquo;impact des transferts), pratique de la n\u00e9gociation contractuelle face aux \u00e9diteurs, et compr\u00e9hension des enjeux de l&rsquo;AI Act lorsque l&rsquo;outil int\u00e8gre de l&rsquo;IA. Cette pluridisciplinarit\u00e9 est pr\u00e9cis\u00e9ment la valeur ajout\u00e9e d&rsquo;un cabinet sp\u00e9cialis\u00e9 en protection des donn\u00e9es et contrats IT.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Atias Avocats accompagne DPO, DSI, directions juridiques, directions achats, fondateurs et grands groupes sur l&rsquo;ensemble du sujet : revue d&rsquo;un DPA standard avec note de recommandations, ren\u00e9gociation compl\u00e8te face \u00e0 l&rsquo;\u00e9diteur, r\u00e9daction d&rsquo;un DPA sur mesure \u00e0 imposer \u00e0 ses propres sous-traitants, audit du parc de DPA et de la cha\u00eene de sous-traitance, mise en conformit\u00e9 Schrems II et AI Act, d\u00e9fense en cas de contr\u00f4le CNIL. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/personal-data\/\"><strong>services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusion<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le DPA fournisseur SaaS n&rsquo;est jamais une simple formalit\u00e9. C&rsquo;est un contrat qui engage la responsabilit\u00e9 du client responsable de traitement, dans un document r\u00e9dig\u00e9 par et pour l&rsquo;\u00e9diteur. Les sept clauses pr\u00e9sent\u00e9es ici \u2014 sous-traitance ult\u00e9rieure, transferts hors UE, s\u00e9curit\u00e9, notification, audit, r\u00e9versibilit\u00e9, responsabilit\u00e9 \u2014 combin\u00e9es \u00e0 la vigilance sur les cinq pi\u00e8ges classiques, offrent un r\u00e9f\u00e9rentiel directement utilisable par DPO, DSI et directions juridiques pour r\u00e9\u00e9quilibrer la relation.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;investissement requis pour s\u00e9curiser ce document est sans commune mesure avec le co\u00fbt d&rsquo;un contr\u00f4le CNIL ou d&rsquo;une violation de donn\u00e9es mal couverte. \u00c0 l&rsquo;heure des contr\u00f4les renforc\u00e9s et de l&rsquo;IA g\u00e9n\u00e9rative, signer un DPA sans le relire est un risque que peu d&rsquo;entreprises peuvent se permettre. Le r\u00e9flexe \u00e0 adopter est clair : ne jamais signer \u00e0 l&rsquo;aveugle, identifier les 7 clauses \u00e0 risque, n\u00e9gocier ce qui peut l&rsquo;\u00eatre, v\u00e9rifier la coh\u00e9rence avec le contrat principal, et tenir le tout \u00e0 jour. C&rsquo;est pr\u00e9cis\u00e9ment cette rigueur qui transforme un DPA subi en protection r\u00e9elle.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">FAQ \u2014 Questions fr\u00e9quentes<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Qu&rsquo;est-ce qu&rsquo;un DPA fournisseur SaaS ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Un DPA fournisseur SaaS (Data Processing Agreement, ou accord de sous-traitance) est le contrat exig\u00e9 par l&rsquo;article 28 du RGPD lorsqu&rsquo;un \u00e9diteur SaaS traite des donn\u00e9es personnelles pour le compte de son client. Le client est responsable de traitement, l&rsquo;\u00e9diteur est sous-traitant. Le DPA encadre les conditions du traitement : finalit\u00e9s, dur\u00e9e, mesures de s\u00e9curit\u00e9, sous-traitance ult\u00e9rieure, transferts hors UE, notification des violations, sort des donn\u00e9es en fin de contrat. En pratique, l&rsquo;\u00e9diteur impose presque toujours son propre DPA standard, r\u00e9dig\u00e9 pour le prot\u00e9ger lui. Or, ce document engage la responsabilit\u00e9 du client en cas de manquement. Le DPA fournisseur SaaS n&rsquo;est donc jamais \u00e0 signer sans relecture : plusieurs clauses m\u00e9ritent une ren\u00e9gociation pour r\u00e9\u00e9quilibrer la protection au profit du client responsable de traitement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Le DPA standard d&rsquo;un \u00e9diteur est-il n\u00e9gociable ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Oui, m\u00eame si les \u00e9diteurs pr\u00e9sentent souvent leur DPA comme non n\u00e9gociable. La marge de man\u0153uvre d\u00e9pend du rapport de force, mais elle existe presque toujours. Pour un grand compte ou un contrat \u00e0 fort enjeu, la ren\u00e9gociation est attendue et obtenue. Pour une PME face \u00e0 un \u00e9diteur dominant, certaines clauses restent fig\u00e9es, mais d&rsquo;autres peuvent \u00eatre amend\u00e9es : encadrement des transferts hors UE, d\u00e9lai de notification des violations, droit d&rsquo;audit, sort des donn\u00e9es. M\u00eame quand le DPA fournisseur SaaS n&rsquo;est pas modifiable, son analyse reste indispensable : elle permet d&rsquo;\u00e9valuer le risque r\u00e9siduel, de documenter la d\u00e9cision et, le cas \u00e9ch\u00e9ant, de choisir un autre fournisseur. Ne pas n\u00e9gocier est un choix, mais il doit \u00eatre \u00e9clair\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Quelles sont les clauses les plus risqu\u00e9es d&rsquo;un DPA SaaS ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Sept clauses concentrent l&rsquo;essentiel du risque pour le client. La sous-traitance ult\u00e9rieure (l&rsquo;\u00e9diteur peut-il recourir librement \u00e0 d&rsquo;autres sous-traitants ?). Les transferts hors UE (vers quels pays, sous quelles garanties apr\u00e8s l&rsquo;arr\u00eat Schrems II ?). Les mesures de s\u00e9curit\u00e9 (sont-elles pr\u00e9cises et contraignantes, conformes \u00e0 l&rsquo;article 32 du RGPD ?). La notification des violations (sous quel d\u00e9lai l&rsquo;\u00e9diteur pr\u00e9vient-il le client ?). Le droit d&rsquo;audit (le client peut-il v\u00e9rifier la conformit\u00e9 ?). La r\u00e9versibilit\u00e9 (r\u00e9cup\u00e9ration et suppression des donn\u00e9es en fin de contrat). La responsabilit\u00e9 (l&rsquo;\u00e9diteur limite-t-il abusivement la sienne ?). Ces sept clauses sont le c\u0153ur de la ren\u00e9gociation d&rsquo;un DPA fournisseur SaaS, car elles d\u00e9terminent l&rsquo;exposition r\u00e9elle du client responsable de traitement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Qui est responsable en cas de fuite de donn\u00e9es chez l&rsquo;\u00e9diteur ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Les deux parties peuvent \u00eatre responsables, mais \u00e0 des titres diff\u00e9rents. Le client, en tant que responsable de traitement, reste responsable vis-\u00e0-vis des personnes concern\u00e9es et de la CNIL : il a choisi le sous-traitant et doit s&rsquo;assurer de ses garanties (article 28 du RGPD). L&rsquo;\u00e9diteur, sous-traitant, est responsable s&rsquo;il a manqu\u00e9 \u00e0 ses obligations propres ou agi hors instructions (article 82 du RGPD). En pratique, beaucoup de DPA limitent fortement la responsabilit\u00e9 de l&rsquo;\u00e9diteur, laissant le client supporter le risque. C&rsquo;est pourquoi la clause de responsabilit\u00e9 du DPA fournisseur SaaS doit \u00eatre ren\u00e9goci\u00e9e. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><br>Contact : <a href=\"mailto:david@atiasavocats.com\">david@atiasavocats.com<\/a> | LinkedIn: <a href=\"https:\/\/www.linkedin.com\/in\/david-joseph-atias-b04a7153\" target=\"_blank\" rel=\"noopener\"><em>David Joseph Atias<\/em><\/a> | <a href=\"https:\/\/atiasavocats.com\/en\/\">https:\/\/www.atiasavocats.com<\/a> | 42 rue de la Clef, 75005 Paris<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Atias Avocats \u2014 RGPD, DPA, Sous-traitance, Contrats SaaS<\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Par\u00a0David Joseph Atias, avocat au Barreau de Paris \u00b7\u00a0LinkedIn\u00a0\u00b7 Juillet 2026 Le DPA fournisseur SaaS arrive souvent en pi\u00e8ce jointe, pr\u00e9sent\u00e9 comme une simple formalit\u00e9 \u00ab \u00e0 signer \u00bb. C&rsquo;est&hellip;<\/p>","protected":false},"author":1,"featured_media":23134,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[186],"tags":[],"class_list":["post-23133","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-legal-services"],"_links":{"self":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23133","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/comments?post=23133"}],"version-history":[{"count":1,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23133\/revisions"}],"predecessor-version":[{"id":23135,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23133\/revisions\/23135"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media\/23134"}],"wp:attachment":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media?parent=23133"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/categories?post=23133"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/tags?post=23133"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}