Se connecter
  1. 1 - Résumé de l'article
    1. 2 - Qu’est-ce qu’un DPA (Data Processing Agreement) ?
      1. 3 - Quand le DPA est-il obligatoire ?
        1. 4 - Quelles clauses un DPA doit-il contenir pour couvrir l’article 28 ?
          1. 5 - Comment signer et maintenir un DPA dans le temps ?
            1. 6 - FAQ

              DPA (Data Processing Agreement) : Obligations, clause et modèle 2026

              RGPDFebruary 11, 2026

              Le Data Processing Agreement (DPA) est un contrat obligatoire dans le cadre du RGPD, qui lie le responsable de traitement et le sous-traitant lorsque que des données personnelles son traitées.

              Résumé de l'article

              • Le DPA est un contrat obligatoire pour encadrer la sous-traitance (article 28 du RGPD).

              • Il décrit le traitement (finalités, durée), les catégories de données et de personnes concernées, et la répartition des responsabilités.

              • Il doit détailler des mesures techniques et organisationnelles (accès, chiffrement, traçabilité, gestion d’incidents) proportionnées aux risques.

              • En cas de violation de données, le responsable notifie l’autorité « si possible, 72 h au plus tard », tandis que le sous-traitant alerte le responsable « dans les meilleurs délais ».

              • Le DPA doit aussi encadrer les sous-traitants ultérieurs, l’audit, et les transferts hors UE/EEE. 

              Qu’est-ce qu’un DPA (Data Processing Agreement) ?

              Un DPA est un accord écrit qui fixe comment un sous-traitant traite des données à caractère personnel pour le compte d’un client (le responsable de traitement).

              Concrètement, il précise les règles du jeu : ce que le sous-traitant peut faire, ce qu’il ne peut pas faire, quelles garanties il apporte en matière de protection et de sécurité, et comment il assiste le responsable en cas de demande d’une personne concernée ou une violation de données.

              Quand le DPA est-il obligatoire ?

              Un DPA est obligatoire dès qu’un prestataire traite des données personnelles pour le compte d’un responsable de traitement, dans le cadre d’une prestation ou de services (hébergement, emailing, CRM, support, paie, analytics, etc.).

              Conseil Witik

              avant de négocier le contrat, commencez par qualifier le rôle de chaque acteur (responsable / sous-traitant / responsables conjoints). Une qualification claire évite de « forcer » un DPA inadapté, ou d’oublier des obligations essentielles.

              Quelles clauses un DPA doit-il contenir pour couvrir l’article 28 ?

              Les traitements concernés : Types de données, finalités, et durée de conservation

              Un DPA doit préciser les détails des traitements de données personnelles effectués par le sous-traitant pour le compte du responsable de traitement. Cela inclut :

              Ces précisions garantissent que les traitements respectent le principe de minimisation des données, un pilier fondamental de la protection des données.

              Obligations du sous-traitant : Confidentialité, sécurité et assistance en cas de violation 

              Le DPA doit clairement énoncer les obligations du sous-traitant, notamment :

              • Maintenir la confidentialité des données personnelles.

              • Mettre en œuvre des mesures techniques et organisationnelles pour garantir la sécurité des données, comme le chiffrement ou la pseudonymisation.

              • Informer rapidement le responsable de traitement en cas de violation, conformément aux clauses contractuelles du RGPD.

              Ces obligations permettent de renforcer la sécurité des données client et de s’assurer que le sous-traitant agit en conformité avec le cadre réglementaire.

              Mesures techniques et organisationnelles : Garanties pour protéger les données

              Le DPA doit inclure une description des mesures de sécurité adoptées pour protéger les données à caractère personnel. Parmi ces mesures, on trouve :

              • Les contrôles d’accès aux données.

              • Les audits réguliers pour évaluer la conformité des traitements.

              • La gestion des incidents, avec des procédures claires en cas de transfert de données non autorisé.

              Ces clauses rassurent le responsable de traitement quant à la capacité du sous-traitant à prévenir tout risque lié à une violation des données.

              Transfert des données : Clause sur les transferts hors de l’UE

              Tout transfert de données personnelles hors de l’Espace Économique Européen (EEE) doit être encadré par des clauses contractuelles types ou des garanties équivalentes. Par exemple :

              • Utilisation de clauses contractuelles types validées par la Commission européenne.

              • Mise en place de Binding Corporate Rules (BCR) pour les grands groupes internationaux.

              Ces dispositions garantissent la conformité RGPD même dans des territoires comme le Royaume-Uni, qui nécessite un encadrement spécifique depuis le Brexit.

              Gestion des violations de données : Procédure et délais de notification

              Un bon DPA détaille les actions à entreprendre en cas de violation des données personnelles, notamment :

              • Les délais de notification (généralement dans les 72 heures).

              • Les informations à fournir, comme la nature de la violation, l’impact estimé et les mesures prises pour la contenir.

              Cela garantit une réponse rapide et coordonnée pour protéger les droits des clients et minimiser les dommages potentiels.

              Sous-traitance ultérieure : Conditions pour sous-traiter à des tiers

              Le DPA doit inclure une clause précisant les conditions dans lesquelles le sous-traitant peut déléguer des traitements à des sous-traitants ultérieurs. Ces conditions incluent :

              • L’obligation d’informer et d’obtenir l’accord du responsable de traitement.

              • Le respect des mêmes obligations contractuelles par le sous-traitant ultérieur. 

              Cela permet de préserver la chaîne de conformité RGPD tout au long des processus de traitement des données.

              Audit et contrôle : Droits du responsable de traitement

              Le responsable de traitement doit disposer d’un droit d’audit pour vérifier que le sous-traitant respecte bien les obligations définies dans le DPA. Ces audits peuvent inclure :

              • L’examen des procédures de sécurité des données.

              • L’évaluation des mesures techniques mises en place.

              • La vérification de la conformité RGPD des sous-traitants ultérieurs.

              Un DPA efficace est donc un document complet, détaillant toutes les clauses essentielles pour garantir la protection des données personnelles dans un cadre contractuel clair et sécurisé.

              Un modèle de DPA pour vous guider.

              Pas le temps de tout rédiger de zéro ou besoin d’un coup de pouce ? Découvrez cette trame prête à être adaptée pour formaliser vos engagements RGPD et renforcer la confiance de vos clients.

              Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

              Comment signer et maintenir un DPA dans le temps ?

              Un DPA n’est pas un document à classer : il doit vivre avec le service (fonctionnalités, sous-traitants, lieux d’hébergement, mesures de sécurité, rétention).

              Mettez en place un minimum de gouvernance :

              • un propriétaire côté client (juridique, DPO, GRC),

              • une gestion des versions (DPA + annexes),

              • un circuit de validation lors des changements,

              • une revue périodique des clauses sensibles (sécurité, transferts, sous-traitance).

              Conseil Witik

              Centralisez le DPA, ses annexes, les contacts, et les preuves dans un même espace. Une gestion documentaire simple (version, propriétaire, date de revue) fait gagner du temps et réduit les oublis.

              FAQ

              DPA et contrat de service : quelle différence ?

              Le contrat de service encadre le commercial (prix, SLA, responsabilités générales). Le DPA encadre spécifiquement le traitement de données personnelles : finalités, sécurité, sous-traitance, audits, incidents.

              Peut-on s’appuyer sur des clauses contractuelles types pour le DPA ?

              Oui. La CNIL explique que le contrat prévu par l’article 28 peut être fondé totalement ou partiellement sur des clauses contractuelles types publiées notamment par la Commission européenne.

              Qui notifie l’autorité de contrôle en cas de violation ?

              En principe, c’est le responsable du traitement qui notifie l’autorité compétente, « si possible, 72 h au plus tard ». Le sous-traitant, lui, notifie le responsable « dans les meilleurs délais » après en avoir pris connaissance.

              Faut-il un DPA pour un outil SaaS ?

              Oui dès lors que l’éditeur SaaS traite des données personnelles pour votre compte (hébergement, support, maintenance, analytics liés au service). Le DPA précise alors le périmètre, les mesures de sécurité et les sous-traitants.

              Un sous-traitant peut-il réutiliser les données pour son propre compte ?

              En principe non : le sous-traitant traite sur instruction documentée du responsable. S’il réutilise les données de sa propre initiative, il peut changer de qualification et devenir responsable pour ce nouveau traitement.

              Benjamin BarattaWitik - Expert RGPD & CSM
              Inscrivez-vous à notre newsletter pour ne rien louper de l'actualité.

              Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

              • All rights reserved ©Witik 2026