EntrepriseRGPD & conformité

Accord de traitement de données (DPA RGPD)

Le DPA (Data Processing Agreement) encadre la sous-traitance de vos données personnelles. Obligatoire dès qu'un prestataire traite des données pour votre compte, il est ici expliqué clause par clause, à jour du RGPD.

Auteur
Rédigé et vérifié par LinealStart
Dernière mise à jour
Mis à jour le 11 juin 2026
Temps de personnalisation
~12 min pour personnaliser
Temps de lecture du guide
15 min de lecture
  • Conforme au droit français
  • PDF et Word à votre nom
  • Sans filigrane

Aperçu du document

Voici à quoi ressemble votre document, rempli avec un exemple. Le vôtre sera rédigé à partir de vos réponses.

ACCORD DE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL

Article 28 du RGPD

Entre les soussignés :

La société Acme SAS, SAS au capital de 10 000,00 €, dont le siège social est situé 10 rue de la République, 75001 Paris, immatriculée au RCS de Paris sous le numéro 123456789, représentée par Camille Lefèvre, en sa qualité de Présidente

ci-après désignée « le Responsable de traitement »,

D'une part,

Et :

La société Bêta SARL, SARL au capital de 5 000,00 €, dont le siège social est situé 42 cours Lafayette, 69003 Lyon, immatriculée au RCS de Lyon sous le numéro 987654321, représentée par Paul Bernard, en sa qualité de Gérant

ci-après désignée « le Sous-traitant ».

D'autre part.

Découvrez la suite en créant votre document

Créer mon document
Infographie : Accord de traitement de données (DPA RGPD) — points clés, durée de personnalisation et nombre de références juridiques
Accord de traitement de données (DPA RGPD) en bref — l'essentiel à retenir

Qu'est-ce qu'un DPA (accord de traitement de données) ?

Le DPA, ou accord de traitement de données à caractère personnel, est le contrat qui encadre la relation entre un responsable de traitement et un sous-traitant lorsque ce dernier traite des données personnelles pour le compte du premier. Il est rendu obligatoire par l'article 28 du Règlement général sur la protection des données (Règlement (UE) 2016/679, dit « RGPD »).

Dès qu'un prestataire manipule des données personnelles selon vos instructions — héberger votre application, gérer votre paie, envoyer vos campagnes d'emailing, assurer un support client — il agit comme votre sous-traitant. Le RGPD vous interdit de lui confier ce traitement sans un acte juridique écrit qui fixe précisément ce qu'il a le droit de faire de ces données, et ce qu'il doit garantir en retour. Cet acte, c'est le DPA.

Le DPA n'est pas un simple paragraphe noyé dans des conditions générales : c'est un cadre contraignant qui détaille l'objet et la durée du traitement, la nature et les finalités, le type de données et de personnes concernées, les obligations de sécurité du sous-traitant, le sort des données en fin de prestation et les conditions d'audit. Il protège les personnes concernées, mais aussi votre propre responsabilité.

DPA, sous-traitant, responsable : le vocabulaire utile

Le responsable de traitement décide des finalités et des moyens du traitement (le « pourquoi » et le « comment »). Le sous-traitant agit pour son compte, sur ses instructions. Le DPA est l'accord qui lie ces deux acteurs ; on parle aussi d'accord de sous-traitance ou de clauses de traitement de données.

À quoi sert un DPA et qui est concerné ?

Le DPA répond à une obligation légale claire : l'article 28 du RGPD impose que toute relation de sous-traitance soit régie par un contrat liant le sous-traitant au responsable de traitement. Sans cet écrit, vous êtes en infraction, indépendamment du sérieux réel du prestataire. Mais au-delà de la conformité, le DPA répartit les rôles, organise la sécurité et trace une frontière nette entre ce que le prestataire peut et ne peut pas faire.

Les parties au DPA

Le responsable de traitement

L'entreprise (ou l'organisme) qui décide pourquoi et comment les données sont traitées. C'est vous, le plus souvent, lorsque vous faites appel à un prestataire pour gérer vos données. Vous restez le premier responsable vis-à-vis des personnes et de la CNIL.

Le sous-traitant

Le prestataire qui traite les données sur vos instructions : hébergeur, éditeur SaaS, agence marketing, plateforme de paie, centre d'appels. Il s'engage à ne traiter les données que pour ce que vous lui demandez, et à les sécuriser.

Concrètement, presque toute entreprise utilisant des outils numériques externalisés est concernée des deux côtés : vous êtes responsable de traitement face à vos fournisseurs, et potentiellement sous-traitant face à vos propres clients si vous traitez leurs données. Le DPA s'inscrit alors dans une chaîne contractuelle où chaque maillon doit être couvert.

Ne confondez pas sous-traitant et responsable conjoint

Si votre prestataire poursuit ses propres finalités sur les données (par exemple, les réutilise pour son compte), il n'est plus un simple sous-traitant : il devient responsable de traitement, parfois conjoint. Le cadre juridique change alors — un DPA classique ne suffit plus.

Quand faut-il signer un DPA ?

La règle est simple : un DPA est nécessaire chaque fois qu'un tiers traite des données personnelles pour votre compte. Voici les situations les plus fréquentes où il s'impose.

  • Vous hébergez votre site, votre application ou votre base de données chez un prestataire (cloud, serveur dédié, SaaS).
  • Vous confiez votre emailing, votre CRM, votre support client ou votre marketing à un outil ou une agence externe.
  • Vous externalisez la paie, la comptabilité, le recrutement ou la gestion des notes de frais.
  • Vous faites appel à un centre d'appels, un service de modération ou un prestataire de back-office.
  • Vous intégrez un sous-traitant qui interviendra sur des données de vos salariés, clients ou prospects.

Le bon moment : avant de transmettre la moindre donnée

Le DPA doit être signé en amont du démarrage du traitement, et non régularisé après coup. Idéalement, il accompagne ou complète le contrat principal de prestation et entre en vigueur à la même date.

Un point souvent négligé : le DPA n'est pas un document figé. Il doit être révisé lorsque le périmètre du traitement évolue (nouvelles finalités, nouvelles catégories de données), lorsque le prestataire change ses sous-traitants ultérieurs, ou lorsqu'un transfert hors Union européenne devient nécessaire. Prévoir un avenant écrit dans ces cas évite de retomber dans la non-conformité.

Les mentions obligatoires de l'article 28

L'article 28, paragraphe 3, du RGPD énumère précisément ce qu'un DPA doit contenir. Ces mentions ne sont pas optionnelles : leur absence rend l'accord incomplet et expose le responsable comme le sous-traitant. Voici les piliers à faire figurer.

Objet, durée, nature et finalités

Le DPA décrit l'objet du traitement, sa durée, sa nature et ses finalités. Une description vague (« gestion des données ») ne tient pas : il faut détailler les opérations réelles confiées au sous-traitant.

Catégories de données et de personnes

Le type de données traitées (identité, coordonnées, données de connexion, contenus…) et les catégories de personnes concernées (clients, salariés, prospects) doivent être annexés avec précision.

Traitement sur instruction documentée

Le sous-traitant ne traite les données que sur instruction écrite du responsable, y compris pour les transferts hors UE. Toute initiative hors instruction l'expose à devenir responsable à part entière.

Confidentialité du personnel

Les personnes autorisées à accéder aux données s'engagent à la confidentialité, par engagement contractuel ou obligation légale appropriée.

Mesures de sécurité (art. 32)

Le DPA impose des mesures techniques et organisationnelles adaptées au risque : chiffrement, contrôle d'accès, journalisation, sauvegardes. Elles sont détaillées dans une annexe dédiée.

Assistance au responsable

Le sous-traitant aide le responsable à répondre aux demandes d'exercice des droits (accès, rectification, effacement, opposition, portabilité, limitation) et à ses obligations de sécurité, de notification et d'analyse d'impact.

Sort des données en fin de prestation

Au terme du contrat, le sous-traitant restitue ou supprime l'ensemble des données, au choix du responsable, et fournit une attestation de destruction.

Audit et mise à disposition d'informations

Le sous-traitant met à disposition du responsable toutes les informations nécessaires pour démontrer sa conformité et se soumet à des audits ou inspections.

Une annexe « traitements » au cœur du dispositif

Plutôt que de diluer ces éléments dans le corps du contrat, le DPA les regroupe dans une annexe structurée (finalités, catégories de données, catégories de personnes, durée). C'est ce tableau qui borne juridiquement l'autorisation donnée au prestataire.

Sécurité et notification des violations

Deux obligations structurent la confiance accordée au sous-traitant : garantir la sécurité des données (article 32) et alerter sans délai en cas de violation (articles 33 et 34). Le DPA doit les organiser concrètement.

Les mesures techniques et organisationnelles (art. 32)

L'article 32 du RGPD impose des mesures de sécurité adaptées au risque, et vous devez pouvoir en prouver la réalité. Le DPA liste donc des mesures vérifiables plutôt qu'une formule générique. Visez au minimum : chiffrement des données en transit et au repos, contrôle d'accès fondé sur le besoin d'en connaître avec authentification forte, journalisation des accès, sauvegardes chiffrées testées régulièrement, et formation des équipes. En cas de contrôle de la CNIL ou de violation, c'est cette liste qui démontre votre diligence.

La notification d'une violation de données

En tant que responsable de traitement, vous devez notifier une violation à la CNIL dans les 72 heures suivant sa découverte (article 33, paragraphe 1). Or c'est souvent le sous-traitant qui détecte l'incident le premier. Le DPA lui impose donc de vous alerter sans délai injustifié — généralement dans les 24 ou 48 heures — pour vous laisser le temps de qualifier la violation et de notifier vous-même dans le plafond légal.

72 heures : votre plafond, pas votre objectif

Si le délai interne imposé au sous-traitant dépasse 72 heures, vous vous placez mécaniquement en infraction au regard de l'article 33. Fixez-lui un délai plus court (24 ou 48 heures) pour préserver votre marge de notification à la CNIL.

Transferts hors UE et sous-traitance ultérieure

Deux situations appellent une vigilance particulière dans un DPA : les transferts de données en dehors de l'Union européenne, et le recours par votre sous-traitant à ses propres sous-traitants.

Les transferts hors Union européenne

Dès que vos données quittent l'Espace économique européen — serveurs, support ou prestataire situés hors UE — le transfert n'est licite que s'il est encadré par le chapitre V du RGPD. Trois bases principales : une décision d'adéquation de la Commission européenne (le pays offre un niveau de protection équivalent), les Clauses Contractuelles Types adoptées par la décision d'exécution (UE) 2021/914, ou d'autres garanties appropriées. Lorsque vous vous appuyez sur les CCT, des mesures supplémentaires (chiffrement renforcé, pseudonymisation, contrôles d'accès stricts) peuvent être nécessaires après une analyse d'impact des transferts.

Un simple outil de support peut suffire à déclencher l'obligation

Un hébergeur, un service client ou un outil d'analyse basé aux États-Unis ou en Inde constitue un transfert hors UE. Activez l'encadrement dès qu'un acteur de la chaîne est hors UE, même pour une fonction accessoire.

La sous-traitance ultérieure (sous-traitant en cascade)

Votre sous-traitant ne peut recruter ses propres sous-traitants qu'avec votre autorisation, générale ou spécifique (article 28, paragraphes 2 et 4). Si vous donnez une autorisation générale, exigez une liste tenue à jour et un droit de vous opposer à tout changement pour motif raisonnable, dans un délai donné. Si vous refusez, chaque nouveau sous-traitant ultérieur devra recevoir votre accord écrit préalable au cas par cas. Dans tous les cas, votre sous-traitant principal reste pleinement responsable envers vous des manquements de ses propres prestataires.

Comment rédiger votre DPA, étape par étape

Notre assistant vous guide question après question pour produire un DPA complet et conforme à l'article 28. Voici les informations à préparer :

  1. 1Identifiez les parties : le responsable de traitement (vous) et le sous-traitant, avec leurs coordonnées et représentants légaux.
  2. 2Décrivez précisément le périmètre du traitement : les opérations réelles confiées (héberger, stocker, supporter…), le périmètre applicatif et le volume ou la fréquence.
  3. 3Listez les finalités du traitement, les catégories de données traitées et les catégories de personnes concernées.
  4. 4Fixez la durée du traitement, généralement alignée sur le contrat principal avec un délai pour la restitution ou la destruction.
  5. 5Détaillez les mesures techniques et organisationnelles de sécurité (chiffrement, contrôle d'accès, journalisation, sauvegardes, formation).
  6. 6Déterminez le délai de notification d'une violation imposé au sous-traitant (24 ou 48 heures de préférence, jamais plus de 72 heures).
  7. 7Précisez si des transferts hors UE sont prévus et le pays concerné, et si la sous-traitance ultérieure est autorisée.
  8. 8Indiquez le lieu, la date de signature et le tribunal compétent, puis faites signer les deux parties.

Un document à votre nom

Vous obtenez un PDF (et un format Word éditable) sans filigrane ni mention de la plateforme, conservé dans votre coffre-fort, prêt à être annexé au contrat principal et signé par les deux parties.

Les erreurs à éviter

Décrire le traitement de façon trop vague

Une mention floue comme « traitement des données clients » ne respecte pas l'article 28. Décrivez les opérations réelles, le périmètre et le volume : c'est ce qui borne juridiquement les droits du prestataire.

Fixer un délai de notification supérieur à 72 heures

En laissant au sous-traitant plus de 72 heures pour vous alerter, vous rendez impossible votre propre notification à la CNIL dans les temps. Imposez 24 ou 48 heures.

Oublier d'encadrer les transferts hors UE

Un prestataire ou un outil situé hors de l'Union sans CCT 2021/914 ni décision d'adéquation rend le transfert illicite, même si le service fonctionne très bien.

Laisser la sous-traitance ultérieure sans contrôle

Autoriser largement le recours à d'autres sous-traitants sans liste à jour ni droit d'opposition vous fait perdre la maîtrise de la chaîne de traitement.

Se contenter de mesures de sécurité génériques

« Mesures appropriées » ne suffit pas. L'article 32 exige des mesures concrètes et démontrables : listez-en au moins trois, vérifiables.

Régulariser le DPA après coup

Transmettre des données avant de signer le DPA vous place en infraction pendant tout l'intervalle. Signez en amont, à la même date que le contrat principal.

DPA, clauses contractuelles types et politique de confidentialité

Plusieurs documents gravitent autour de la conformité RGPD. Ils ne se substituent pas les uns aux autres : voici comment les distinguer.

DocumentObjetEntre qui ?Base RGPD
DPA (accord de traitement)Encadrer la sous-traitance de donnéesResponsable ↔ sous-traitantArticle 28
CCT 2021/914Encadrer un transfert hors UEExportateur ↔ importateur de donnéesChapitre V ; décision (UE) 2021/914
Politique de confidentialitéInformer les personnes sur leurs donnéesEntreprise → personnes concernéesArticles 13 et 14
Accord de responsables conjointsRépartir les rôles entre co-responsablesResponsable ↔ responsableArticle 26
Tableau comparatif — Objet · Entre qui ? · Base RGPD

Ils se complètent

Un même projet peut réclamer un DPA (sous-traitance), des CCT (si le sous-traitant est hors UE) et une politique de confidentialité (pour informer vos utilisateurs). Le DPA encadre la relation interne ; la politique de confidentialité s'adresse au public.

Effets, responsabilité et durée de l'accord

Une fois signé, le DPA produit des effets juridiques précis pour les deux parties. Le sous-traitant est tenu de respecter scrupuleusement les instructions du responsable et ne peut traiter les données pour d'autres finalités. Chaque partie répond des dommages causés par un traitement contraire au RGPD, dans les conditions de l'article 82.

La responsabilité respective

Le responsable de traitement reste le premier interlocuteur des personnes concernées et de la CNIL. Mais le sous-traitant qui sort de son cadre — par exemple en déterminant lui-même les finalités du traitement — est considéré comme responsable de traitement pour ce traitement (article 28, paragraphe 10), avec les obligations et la responsabilité qui en découlent. Le DPA prévoit généralement que le sous-traitant atteste d'une assurance responsabilité civile professionnelle couvrant les conséquences pécuniaires des dommages liés au traitement.

La fin du DPA

Le DPA prend fin avec le contrat principal de prestation. À cette échéance, le sous-traitant doit, au choix du responsable, restituer l'ensemble des données ou les supprimer, ainsi que les copies existantes, et fournir une attestation de destruction signée — sauf si le droit de l'Union ou national exige une conservation. Cette étape de restitution ou de suppression conditionne la sortie propre de la relation et limite les risques résiduels.

Conservez la preuve de la conformité

Le DPA signé, l'annexe des traitements et l'attestation de destruction font partie des éléments de votre dossier de conformité, mobilisables en cas de contrôle de la CNIL. Conservez-les avec votre registre des activités de traitement.

Questions fréquentes

Oui. L'article 28 du RGPD impose qu'une relation de sous-traitance soit régie par un contrat ou un autre acte juridique liant le sous-traitant au responsable de traitement. Sans cet écrit, vous êtes en infraction, indépendamment du sérieux du prestataire, et vous vous exposez aux sanctions de la CNIL.

Ce guide est fourni à titre d'information et reflète l'état du droit français applicable. Pour une situation complexe ou à fort enjeu, nous vous recommandons de faire relire votre document par un professionnel du droit.

Explorez tout le thème : Données, propriété intellectuelle & confidentialité

Protégez vos secrets, vos créations et les données personnelles : confidentialité, cession de droits et RGPD.

Votre document, prêt en quelques minutes

Répondez à quelques questions, téléchargez un PDF (et un Word) à votre nom et conservez-le dans votre coffre-fort.