Skip to content
Modèles calendar_today Mis à jour: 7 avril 2026 schedule 5 min de lecture

Modele : Contrat de Sous-traitance (DPA)

Un contrat de sous-traitance est obligatoire avec chaque partie qui traite des donnees personnelles pour votre compte. Utilisez ce modele comme base, adaptez-le a votre situation et signez-le avec vos sous-traitants.

summarize Points clés
  • check_circle Vous avez besoin d'un contrat de sous-traitance avec chaque partie qui traite des donnees personnelles pour votre compte
  • check_circle Pensez a votre comptable, outil d'e-mail, stockage cloud, prestataire de paie et hebergeur web
  • check_circle Sans contrat de sous-traitance, vous risquez une amende jusqu'a 10 millions d'euros ou 2% du chiffre d'affaires annuel
  • check_circle De nombreux grands sous-traitants (Google, Microsoft, Mailchimp) proposent des DPA standard que vous pouvez accepter en ligne

Quand avez-vous besoin d’un contrat de sous-traitance ?

Des que vous faites traiter des donnees personnelles par une partie externe, vous etes tenu de conclure un contrat de sous-traitance (egalement appele DPA - Data Processing Agreement). Ce n’est pas optionnel - c’est une exigence legale de l’Article 28 du RGPD.

Sous-traitants courants pour les PME

  • Comptable - a acces aux donnees clients et employes
  • Marketing par e-mail (Mailchimp, ActiveCampaign, Sendinblue) - stocke les adresses e-mail et les donnees comportementales
  • Stockage cloud (Google Workspace, Microsoft 365, Dropbox) - stocke des fichiers pouvant contenir des donnees personnelles
  • Hebergeur web - traite les adresses IP et parfois les donnees de formulaires
  • Systeme CRM (HubSpot, Salesforce, Teamleader) - contient les donnees clients
  • Prestataire de paie / secretariat social - traite les donnees du personnel

Le modele

Contrat de sous-traitance - modele de base
CONTRAT DE SOUS-TRAITANCE Entre : [Nom de l'organisation], etablie a [adresse], ci-apres "Responsable du traitement" Et : [Nom du sous-traitant], etabli a [adresse], ci-apres "Sous-traitant" 1. OBJET ET DUREE Ce contrat regit le traitement des donnees personnelles par le Sous-traitant pour le compte du Responsable du traitement. Le contrat prend effet le [date] et s'applique pour la duree de la collaboration. 2. NATURE ET FINALITE DU TRAITEMENT Le Sous-traitant traite les donnees personnelles exclusivement aux fins de : [decrire la finalite, par ex. "la tenue de la comptabilite", "l'envoi de newsletters", "l'hebergement du site web"]. 3. TYPE DE DONNEES PERSONNELLES Les categories de donnees personnelles suivantes sont traitees : [par ex. nom, adresse e-mail, adresse, numero de telephone, donnees de paiement]. 4. CATEGORIES DE PERSONNES CONCERNEES Les donnees personnelles concernent les categories de personnes suivantes : [par ex. clients, employes, visiteurs du site web, fournisseurs]. 5. OBLIGATIONS DU SOUS-TRAITANT Le Sous-traitant : a) Traite les donnees personnelles uniquement sur la base d'instructions ecrites du Responsable du traitement b) Garantit que les personnes autorisees a traiter les donnees sont liees par la confidentialite c) Prend les mesures techniques et organisationnelles appropriees pour assurer la securite du traitement d) N'engage pas d'autre sous-traitant (sous-traitant ulterieur) sans autorisation ecrite prealable du Responsable du traitement e) Assiste dans le traitement des demandes des personnes concernees (acces, rectification, effacement) f) Informe le Responsable du traitement sans delai (dans les 24 heures) d'une violation de donnees g) Supprime ou restitue toutes les donnees personnelles a la fin du service, sauf si la conservation est legalement requise h) Met a disposition toutes les informations necessaires pour demontrer la conformite et coopere aux audits 6. SOUS-TRAITANTS ULTERIEURS Le Sous-traitant utilise les sous-traitants ulterieurs suivants : [liste avec nom, localisation et finalite]. Les modifications sont signalees prealablement par ecrit au Responsable du traitement. 7. TRANSFERTS HORS EEE [Si applicable :] Le Sous-traitant transfere des donnees personnelles a des parties hors de l'Espace Economique Europeen. Des garanties appropriees sont en place conformement aux [Clauses Contractuelles Types / decision d'adequation / autre mecanisme]. [Si non applicable :] Le Sous-traitant traite toutes les donnees personnelles exclusivement au sein de l'Espace Economique Europeen. 8. MESURES DE SECURITE Le Sous-traitant prend au minimum les mesures de securite suivantes : - Chiffrement des donnees lors du stockage et du transport - Controle d'acces et authentification (2FA) - Sauvegardes regulieres - Journalisation des acces aux donnees personnelles 9. DUREE ET RESILIATION Ce contrat s'applique pour la duree du service sous-jacent. A la resiliation, le Sous-traitant supprime toutes les donnees personnelles dans les [nombre] jours, sauf obligations legales de conservation. Signe a [lieu] le [date] : Responsable du traitement : ________________________ Nom : Fonction : Sous-traitant : ________________________ Nom : Fonction :

Comment utiliser ce modele

  1. Remplissez vos coordonnees et celles du sous-traitant
  2. Soyez specifique sur la finalite, le type de donnees et les categories de personnes concernees
  3. Inventoriez les sous-traitants ulterieurs - demandez a votre sous-traitant quels tiers il engage
  4. Verifiez les transferts - votre sous-traitant traite-t-il des donnees hors de l’UE ?
  5. Faites signer les deux parties et conservez une copie

Sous-traitants qui ont deja un DPA standard

  • Google Workspace - DPA disponible via la Console d’administration
  • Microsoft 365 - DPA integre aux conditions de service
  • Mailchimp - DPA disponible sur leur site web
  • HubSpot - DPA disponible via les parametres du compte

Conservez toujours une copie du DPA signe ou accepte.

auto_awesome Savez-vous avec quels sous-traitants vous travaillez ?

GDPRWise scanne votre site web et detecte automatiquement quels tiers ont acces aux donnees personnelles que vous traitez.

GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.