Sous-traitant RGPD et contrat DPA : guide pratique 2026

Dès que vous utilisez Mailchimp, AWS, Stripe, Calendly ou un freelance qui accède aux données de vos clients, vous engagez un sous-traitant RGPD. Et avec lui, des obligations contractuelles précises. Pourtant la grande majorité des freelances et PME françaises n'a aucun DPA (Data Processing Agreement) signé avec ses prestataires. Ce guide explique exactement ce qu'il faut faire.

Qu'est-ce qu'un sous-traitant au sens du RGPD

Selon l'article 4 du RGPD, un sous-traitant est "la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable de traitement".

Concrètement, dès qu'un tiers accède à vos données personnelles pour exécuter une mission pour vous, il est sous-traitant. Sans aucune exception liée à la taille ou au lieu d'établissement.

Exemples typiques de sous-traitants

• Hébergeurs web : OVH, Vercel, Netlify, AWS, Scaleway
• Outils email : Mailchimp, Brevo (ex-Sendinblue), Mailjet, Resend
• CRM et outils commerciaux : HubSpot, Pipedrive, Salesforce
• Outils de paiement : Stripe, PayPal, Mollie
• Outils analytics : Google Analytics, Plausible, Matomo Cloud
• Outils de visio et calendrier : Calendly, Cal.com, Zoom, Meet
• Freelances : développeur, designer, rédacteur qui accède à vos données clients
• Cabinets externalisés : comptable, avocat (sauf cas particuliers), centre d'appels
• Services cloud : Notion, Google Workspace, Microsoft 365, Dropbox

Ce qui n'est PAS un sous-traitant

• Un fournisseur qui n'accède pas à des données personnelles (papeterie, électricité)
• Un destinataire à qui vous transmettez des données pour son propre compte (administration fiscale, autorité judiciaire)
• Un partenaire qui est lui-même responsable de traitement (votre cabinet d'avocats pour ses propres dossiers)

L'obligation contractuelle : le DPA

L'article 28 du RGPD impose un contrat écrit entre responsable de traitement et sous-traitant. Ce contrat est appelé DPA (Data Processing Agreement) ou Accord de Sous-Traitance.

Sans DPA signé avec un sous-traitant qui accède à des données personnelles, vous êtes en infraction. L'amende encourue est de 10 millions d'euros ou 2% du chiffre d'affaires mondial.

Contenu minimum d'un DPA (article 28.3 RGPD)

Un DPA conforme doit préciser au minimum :

1. L'objet et la durée du traitement
2. La nature et la finalité du traitement
3. Le type de données personnelles traitées
4. Les catégories de personnes concernées
5. Les obligations et droits du responsable de traitement
6. Les instructions documentées du responsable au sous-traitant
7. L'engagement de confidentialité des personnes habilitées à traiter les données
8. Les mesures de sécurité mises en œuvre (article 32)
9. Les conditions de recours à un sous-traitant ultérieur (sub-processor)
10. L'assistance au responsable pour répondre aux demandes des personnes
11. L'aide à la conformité (notifications de violations, AIPD, audits)
12. Le sort des données à la fin du contrat (restitution ou suppression)
13. Les audits et inspections possibles

Récupérer les DPA de vos prestataires

Bonne nouvelle : la majorité des grands prestataires SaaS publient leur DPA en ligne. Vous n'avez généralement qu'à le télécharger, le compléter avec votre raison sociale et le signer.

Liens directs vers les DPA des outils courants

• Stripe : stripe.com/legal/dpa
• Mailchimp : disponible dans Account > Settings > Data
• Brevo : brevo.com/legal/termsofuse/dpa
• HubSpot : legal.hubspot.com/dpa
• Google Workspace : cloud.google.com/terms/data-processing-addendum
• AWS : signature via le AWS Artifact Console
• OVH : DPA intégré aux conditions de service
• Vercel : vercel.com/legal/dpa
• Notion : notion.so/Data-Processing-Addendum
• Slack : slack.com/trust/data-management/dpa

Pour les outils plus petits ou les freelances : il faut souvent leur envoyer votre propre modèle. La CNIL en propose un gratuit sur son site, ou utilisez un générateur DPA.

Sous-traitants ultérieurs (sub-processors)

Vos sous-traitants peuvent eux-mêmes faire appel à d'autres sous-traitants. Exemple : Mailchimp utilise AWS pour héberger les données.

Le RGPD exige :

• Autorisation préalable générale ou spécifique du responsable de traitement
• Information préalable en cas de changement de sub-processor (délai typiquement de 30 jours)
• Droit d'opposition : vous pouvez refuser un nouveau sub-processor (avec conséquence : résiliation du contrat)
• Mêmes obligations que le sous-traitant principal

La plupart des DPA incluent une liste de sub-processors mise à jour régulièrement. Vérifiez cette liste chez vos prestataires critiques : un changement peut impliquer un transfert vers les USA, donc des clauses contractuelles types à activer.

Cas particulier : transferts hors UE

Quand un sous-traitant est établi hors UE ou utilise des sub-processors hors UE, vous devez sécuriser le transfert par :

• Décision d'adéquation : la Commission européenne reconnaît certains pays comme offrant un niveau de protection équivalent (UK, Suisse, Japon, Corée du Sud, EU-US Data Privacy Framework depuis 2023)
• Clauses contractuelles types (CCT) : intégrées au DPA pour les autres pays
• BCR (Binding Corporate Rules) : pour les groupes multinationaux
• Garanties supplémentaires post-Schrems II : chiffrement, pseudonymisation, contrôles d'accès renforcés

Pour les services US (AWS, Google, Microsoft), vérifiez si le prestataire est certifié EU-US Data Privacy Framework. Si oui, le transfert est sécurisé sans CCT supplémentaires.

DPA et freelances : la zone grise

Si vous êtes freelance et que vous accédez aux données clients d'une PME, vous êtes sous-traitant et devez signer un DPA avec votre client. Beaucoup l'ignorent.

À l'inverse, si vous êtes une PME et que vous faites appel à un freelance qui accède aux données de vos clients, vous devez exiger qu'il signe un DPA. Un modèle simple suffit, mais l'absence totale est sanctionnable.

Le freelance qui ne signe pas de DPA et accède à des données clients fait courir un risque à ses clients PME. C'est un point différenciant majeur pour les freelances qui veulent monter en gamme.

Outils pour gérer vos DPA

Pour une dizaine de prestataires, un dossier partagé avec les DPA signés suffit. Au-delà, plusieurs solutions :

• Outil RGPD complet : ConformeRGPD intègre la liste des sous-traitants à votre registre des traitements automatiquement
• OneTrust, Didomi : pour les grandes entreprises (5 000 euros/an et plus)
• Tableau Notion ou Airtable : maquette gratuite mais à maintenir manuellement

Checklist : votre conformité sous-traitance

• [ ] Liste exhaustive de tous vos sous-traitants (incluant freelances, SaaS, hébergeurs)
• [ ] DPA signé avec chaque sous-traitant
• [ ] Liste des sub-processors connue pour chaque sous-traitant critique
• [ ] Notifications de changement de sub-processor activées
• [ ] CCT en place pour les transferts hors UE (hors pays adéquats)
• [ ] Mesures de sécurité documentées dans les DPA
• [ ] Procédure de gestion des violations de données coordonnée
• [ ] Procédure de restitution/suppression des données à la fin de contrat
• [ ] Mise à jour annuelle de la liste et des DPA

Quand auditer vos sous-traitants

L'article 28 RGPD vous donne un droit d'audit sur vos sous-traitants. Vous pouvez vérifier qu'ils respectent leurs engagements.

En pratique, pour les outils SaaS majeurs, l'audit est remplacé par des certifications (ISO 27001, SOC 2 Type II) que le prestataire publie. Vérifiez la présence de ces certifications dans la documentation de sécurité du prestataire.

Pour vos freelances et petits prestataires, un questionnaire de sécurité simple suffit en général (15 à 20 questions sur l'hébergement, le chiffrement, l'accès aux données).

Conclusion

Le DPA n'est pas une formalité juridique annexe : c'est l'épine dorsale contractuelle de votre conformité RGPD. Sans DPA avec vos sous-traitants, toute votre démarche RGPD repose sur du vide juridique.

Bonne nouvelle : 80% du travail consiste à récupérer les DPA pré-rédigés de vos prestataires SaaS, à les centraliser et à les signer. Le 20% restant concerne vos freelances et petits prestataires, pour qui un modèle simple suffit.