Sous-traitance RGPD dans un SaaS : comment rédiger un DPA conforme

Sous-traitance RGPD dans un SaaS : comment rédiger un DPA conforme

Date de publication : 25 mars 2026 • Cluster : Propriété Intellectuelle et Données

Dans tout modèle SaaS B2B, vous traitez des données personnelles pour le compte de vos clients. Le RGPD impose alors la signature d’un « Data Processing Agreement » (DPA) entre le responsable de traitement (votre client) et vous, sous-traitant. C’est une obligation légale de l’article 28 du RGPD, avec des clauses minimales impératives et des risques élevés en cas d’oubli ou de non‑conformité (amendes pouvant atteindre 20 M€ ou 4 % du CA mondial, art. 83) (EUR‑Lex, RGPD).

1) Avant de rédiger : bien qualifier les rôles et le périmètre

Tout part d’une qualification correcte des rôles. Le client définit les finalités et moyens essentiels: il est responsable de traitement. Le fournisseur SaaS exécute des opérations pour son compte: il est sous‑traitant. Évitez d’assimiler un véritable co‑développement produit à de la sous‑traitance: vous pourriez devenir co‑responsable de traitement. Référez-vous aux lignes directrices de l’EDPB sur les concepts de « responsable » et « sous‑traitant » pour trancher les cas limites (intégrations, analytics avancés, IA, etc.) (EDPB, Guidelines 07/2020).

Vérifiez aussi si des règles nationales s’ajoutent (ex. santé, éducation, secteur public). La Loi Informatique et Libertés continue d’encadrer certains traitements en France (Legifrance, loi n°78‑17).

2) Les clauses obligatoires d’un DPA (article 28 RGPD)

L’article 28(3) impose une série de stipulations minimales que votre DPA doit impérativement reprendre (EUR‑Lex, art. 28 RGPD) et (CNIL, Guide sous‑traitant) :

• Objet et durée du traitement, nature et finalités, type de données, catégories de personnes concernées.
• Obligation de traiter uniquement sur instructions documentées du responsable.
• Confidentialité: engagement de vos personnels et de toute personne autorisée à traiter.
• Sécurité des traitements: mesures techniques et organisationnelles conformes à l’article 32.
• Assistance au responsable pour répondre aux demandes d’exercice de droits et pour les AIPD (analyses d’impact).
• Notification des violations de données: le sous‑traitant informe le responsable « sans retard indu » après en avoir pris connaissance (le délai de 72h vise la notification par le responsable à l’autorité, art. 33 RGPD).
• Sort des données en fin de contrat: suppression ou restitution au choix du responsable, et effacement des copies sauf obligation légale contraire.
• Mise à disposition de toutes informations nécessaires et possibilité d’audits.
• Encadrement des sous‑traitants ultérieurs (autorisation préalable, mêmes obligations « flow‑down »; responsabilité du sous‑traitant initial, art. 28(4)).

La CNIL détaille ces exigences et propose des exemples opérationnels pour les sous‑traitants (CNIL, Guide sous‑traitant) et son site synthétise les obligations clés (CNIL).

3) Spécificités d’un DPA pour un SaaS multi‑tenant

Mesures de sécurité attendues (annexe TOMs, art. 32)

• Chiffrement au repos et en transit, gestion/rotation des clés (BYOK/HYOK si pertinent), isolement logique des tenants.
• Contrôles d’accès forts (MFA, RBAC), journalisation et traçabilité, revue régulière des habilitations.
• Gestion des vulnérabilités, tests d’intrusion réguliers, politique de correctifs, sécurité du pipeline CI/CD.
• Continuité d’activité: sauvegardes chiffrées, PRA/PCA testés, RPO/RTO documentés.
• Confidentialité support: accès temporaires, enregistrements d’accès, cloisonnement des environnements.

Décrivez ces mesures dans une annexe technique versionnée. Prévoyez un mécanisme de mise à jour des TOMs, avec notification et droit d’objection raisonnable.

Sous‑traitants ultérieurs (cloud, e‑mailing, monitoring…)

• Autorisation générale avec droit d’objection, ou autorisation spécifique par sous‑traitant.
• Liste en ligne tenue à jour et notification préalable des changements (ex. 15–30 jours).
• Contrat « flow‑down » imposant les mêmes obligations que le DPA principal; due diligence sécurité & confidentialité.
• Responsabilité: vous restez pleinement responsable vis‑à‑vis du client de l’exécution par vos sous‑traitants (art. 28(4) RGPD).

La CNIL et l’EDPB rappellent ces exigences de gouvernance de la chaîne de sous‑traitance (EDPB) (CNIL).

Transferts hors UE/EEE et accès distants

Hébergement, sauvegardes, support ou télémétrie peuvent impliquer un transfert de données ou un accès depuis un pays tiers. Le DPA doit:

• Identifier les destinations, fondements de transfert (notamment Clauses Contractuelles Types, décision 2021/914) et la logique de minimisation.
• Préciser les mesures complémentaires post‑Schrems II (chiffrement robuste, séparation des rôles, transparence) recommandées par l’EDPB.
• Prévoir la documentation d’une Évaluation d’Impact Transfert (TIA).

Références: Clauses Contractuelles Types 2021/914 (EUR‑Lex) et Recommandations 01/2020 de l’EDPB. Le portail Service‑Public synthétise les obligations RGPD des pros (Service Public Pro). Pour la mise en œuvre opérationnelle des CCT, voyez aussi notre guide interne consacré aux transferts hors UE post‑Schrems II.

4) Modalités d’audit pragmatiques et opposables

• Droit d’audit sur préavis raisonnable (ex. 15–30 jours), sans perturbation excessive ni accès au code source hors nécessité.
• Combinaison d’audits sur site, audits distants et revues documentaires (ISO/IEC 27001, SOC 2 Type II, rapports de tests d’intrusion).
• Confidentialité des informations d’audit, zones sensibles caviardées, prise en charge des coûts selon déclencheur.
• Plan de remédiation et délais de correction proportionnés à la criticité.

5) Sort des données en fin de contrat

Prévoyez un processus documenté: restitution dans un format structuré, suppression sécurisée après un délai de grâce (ex. 30–60 jours), purge des sauvegardes à l’expiration de leur cycle, et attestation d’effacement. Base légale: art. 28(3)(g) et art. 32 RGPD (EUR‑Lex). La CNIL détaille les bonnes pratiques d’effacement et d’archivage (CNIL).

6) Trame commentée de DPA pour un SaaS

Rubriques indispensables

1. Définitions et hiérarchie contractuelle (DPA prime sur les CGV en cas de conflit).
2. Description détaillée du traitement (finalités, données, personnes, durée, localisation).
3. Instructions documentées et canal de notification des incidents.
4. Confidentialité et engagements du personnel.
5. Mesures de sécurité (annexe TOMs) et gestion des modifications.
6. Assistance RGPD: droits des personnes, AIPD, registres.
7. Sous‑traitants ultérieurs: autorisation, liste, droit d’objection, flow‑down, responsabilité.
8. Transferts hors UE: CCT, TIA, mesures complémentaires et transparence.
9. Audits: étendue, fréquence, modalités, coût, confidentialité.
10. Restitution/suppression en fin de contrat, délais sauvegardes, attestation.
11. Coopération avec l’autorité de contrôle et notification « sans retard indu » (art. 33(2)).
12. Responsabilité, limitation et indemnisation (alignées avec le contrat SaaS principal).

Bon réflexe: alignez votre DPA avec vos clauses essentielles du contrat SaaS et vos CGV SaaS conformes pour éviter les contradictions.

7) Erreurs fréquentes à éviter

• Confondre le délai « sans retard indu » du sous‑traitant avec les 72 h du responsable à l’autorité.
• Oublier les accès support/maintenance comme transferts potentiels.
• Ne pas prévoir la mise à jour dynamique de la liste des sous‑traitants.
• Annexe sécurité trop vague (imprécise pour des audits et assurances cyber).
• Audits illimités et non encadrés, ingérables pour une startup.

8) Méthode express pour produire un DPA conforme

1. Cartographiez vos traitements et données: tenez un registre à jour (voir notre template de registre des traitements).
2. Listez tous vos sous‑traitants ultérieurs et leurs localisations, évaluez les transferts.
3. Rédigez la description du traitement et vos instructions internes (runbooks incidents, canaux d’escalade).
4. Établissez l’annexe TOMs: chiffrement, accès, sauvegardes, tests, plans PRA/PCA.
5. Intégrez les CCT si nécessaire et réalisez une TIA pour chaque flux hors UE (guide CCT post‑Schrems II).
6. Formalisez vos modalités d’audit et votre calendrier de rapports sécurité.
7. Prévoyez la procédure de fin de contrat (export, purge, attestation).
8. Alignez votre DPA avec votre politique de confidentialité et, pour un panorama global, notre guide DPA complet.

9) Points de négociation avec vos clients grands comptes

• Audits: privilégier l’appui sur certifications/rapports tiers, avec audits sur site en dernier recours.
• Notification incidents: engagement d’information initiale rapide (ex. 24–48 h) puis rapports itératifs.
• Objection sous‑traitants: préciser un seuil de gravité et un plan d’atténuation avant toute résiliation.
• Limitation de responsabilité: cohérente avec le contrat SaaS, hors violations intentionnelles ou manquement grave à l’art. 32.
• Transferts: cartographie transparente des destinations et calendrier de sortie si évolution réglementaire majeure.

10) Modèle de formulations utiles

Le Sous‑traitant notifie au Responsable, sans retard indu après en avoir pris connaissance, toute violation de données personnelles, en communiquant au moins la nature de l’incident, les catégories et volumes de données potentiellement affectés, les mesures prises ou proposées pour y remédier et en atténuer les effets.

Le Responsable dispose d’un droit d’objection motivé aux changements de Sous‑traitants ultérieurs, notifiés au moins 30 jours à l’avance. En cas d’objection raisonnable, les Parties coopèrent de bonne foi pour trouver une solution; à défaut, le Responsable peut résilier la partie affectée du service sans pénalité.

Sanctions et autorités

Le non‑respect des exigences du DPA et de l’article 28 peut entraîner des contrôles et sanctions. Référez‑vous au texte du RGPD (EUR‑Lex) et aux recommandations pratiques de la CNIL (CNIL). Pour un panorama pédagogique, des synthèses professionnelles existent également (FrenchWeb) et (Witik).

FAQ rapide

• Le DPA est‑il toujours obligatoire ? Oui, dès qu’un prestataire traite des données pour le compte d’un client, art. 28 RGPD (EUR‑Lex).
• Faut‑il un DPA spécifique pour chaque client ? Vous pouvez proposer un DPA type annexé à vos CGV/contrat SaaS, adapté au service et aux options du client.
• Le délai de 72 h s’applique‑t‑il au sous‑traitant ? Non. Le sous‑traitant notifie « sans retard indu » au responsable; les 72 h visent la notification du responsable à l’autorité, art. 33 RGPD.
• Comment encadrer les transferts hors UE ? Utilisez les CCT 2021/914 et des mesures complémentaires, après une TIA (EUR‑Lex) (EDPB).
• Peut‑on limiter les audits ? Oui, en prévoyant un mécanisme proportionné (certifications, rapports, audits sur préavis) sans vider le droit d’audit de sa substance.