gapup.hub
AccueilNotre promesse
Démos
Offres
← Retour au blog
RGPD & souveraineté

DPA RGPD : le contrat de sous-traitance (article 28) + modèle

Tout prestataire qui traite des données personnelles pour vous exige un DPA (article 28 RGPD). Les 9 clauses obligatoires, le piège des transferts hors UE, et la checklist pour mettre vos sous-traitants en conformité.

Équipe Gapup·29 mai 2026·7 min de lecture

Dès qu'un prestataire traite des données personnelles pour votre compte — un SaaS, un hébergeur, un outil de paie, un service client externalisé — le RGPD vous impose un contrat précis : le DPA (Data Processing Agreement), ou accord de traitement, prévu par l'article 28. Sans lui, vous êtes en infraction, même si le prestataire est irréprochable. Voici ce qu'il doit contenir, et comment ne pas y passer des semaines.

C'est quoi un DPA, et pourquoi il est obligatoire

Le RGPD distingue le responsable de traitement (vous, qui décidez pourquoi et comment les données sont traitées) et le sous-traitant (le prestataire qui les traite pour vous). L'article 28 exige qu'un contrat écrit encadre cette relation. Ce n'est pas optionnel : l'absence de DPA est une non-conformité directe, sanctionnable indépendamment de toute fuite de données.

Quand en avez-vous besoin ? (Plus souvent que vous ne le pensez)

Pratiquement chaque outil externe qui touche des données de vos clients, prospects ou salariés :

  • Hébergement cloud (AWS, OVH, Scaleway…).
  • CRM, emailing, support client.
  • Paie, RH, comptabilité externalisée.
  • Outils d'IA qui reçoivent des données personnelles.
  • Analytics, tracking.

Chacun de ces prestataires est un sous-traitant. Chacun nécessite un DPA — et si eux-mêmes font appel à d'autres (sous-traitants ultérieurs), la chaîne doit être couverte.

Les clauses obligatoires de l'article 28(3)

Un DPA valable doit décrire et imposer :

1. L'objet, la durée, la nature et la finalité du traitement, le type de données et les catégories de personnes concernées. 2. Traitement sur instructions documentées uniquement du responsable. 3. Confidentialité : engagement des personnes autorisées à traiter les données. 4. Sécurité : mesures techniques et organisationnelles appropriées (article 32). 5. Sous-traitance ultérieure : autorisation préalable + répercussion des mêmes obligations aux sous-traitants ultérieurs. 6. Assistance au responsable pour répondre aux droits des personnes (accès, effacement, portabilité…). 7. Assistance sur la sécurité, les notifications de violation (72 h) et les analyses d'impact (DPIA). 8. Sort des données en fin de contrat : suppression ou restitution, au choix du responsable. 9. Audits : mise à disposition des informations et possibilité de contrôle.

Un DPA qui omet l'une de ces clauses n'est pas conforme.

Le piège des transferts hors UE

Si votre sous-traitant (ou son propre sous-traitant) traite ou stocke des données hors de l'Espace économique européen, le DPA ne suffit pas : il faut un mécanisme de transfert valable — le plus souvent les Clauses Contractuelles Types (CCT / SCC) de la Commission, accompagnées d'une analyse de risque (Transfer Impact Assessment). C'est l'angle mort le plus fréquent chez les PME qui utilisent des outils américains.

La checklist DPA pour une PME

1. Cartographiez vos sous-traitants : listez tous les prestataires qui touchent des données personnelles. 2. Vérifiez le DPA de chacun : la plupart des grands SaaS en proposent un — récupérez-le et contrôlez les 9 clauses ci-dessus. 3. Identifiez les transferts hors UE et exigez les CCT le cas échéant. 4. Tenez un registre des sous-traitants et des sous-traitants ultérieurs. 5. Pour vos propres clients (si vous êtes vous-même sous-traitant), préparez un DPA standard prêt à signer — c'est un argument commercial autant qu'une obligation.

Ne réinventez pas le contrat

Rédiger un DPA conforme de zéro, c'est plusieurs heures d'avocat. La plupart des PME ont besoin de deux ou trois modèles solides — un en tant que responsable, un en tant que sous-traitant — plus la checklist de contrôle des DPA reçus.

---

Gagnez du temps avec des modèles prêts à signer

Notre Pack DPA RGPD réunit des modèles de contrat de sous-traitance conformes à l'article 28 (versions responsable et sous-traitant), la checklist de contrôle des 9 clauses, le registre des sous-traitants et un guide des transferts hors UE (CCT) — éditables, prêts à adapter à votre activité.

👉 [Découvrir le Pack DPA RGPD (€99)](https://agentgap.gumroad.com/l/gdpr-dpa-pack)

Cet article est fourni à titre informatif et ne constitue pas un conseil juridique.

#RGPD#DPA#sous-traitance#article 28#conformité
Discovery Scanner · Gratuit

Tu veux le ROI chiffré sur ton entreprise ?

Au lieu de lire un article de plus, fais le scan gratuit pour voir où l'IA peut récupérer du temps/euros/risques chez toi.

Pas de carte · 1 scan/domaine/sem · suppression auto J+30

Prêt à passer au pratique ?

130+ expertises C-suite déjà productisées. Active en 2 minutes, résilie n'importe quand.

Voir les tiers →

Restez informé

Services
  • Accueil
  • Démos
  • Offres
  • Bonus Early Bird
  • Waitlist
Ressources
  • Contact & support
  • Email support
Mentions légales
  • CGU
  • CGV
  • Mentions légales
  • Confidentialité & cookies
Entreprise
  • À propos de Gapup Hub
  • Partenariats
  • Presse
© 2026 Gapup Hub — la plateforme IA tout-en-un pour ton entreprise. Opéré par Saga AI Services.