Accord de sous-traitance RGPD (DPA)

Modèle d'accord conforme à l'article 28 du RGPD, annexé à toute lettre de mission impliquant un traitement de données personnelles. Draft v0 · à valider avocat

Note pour les prospects : ce document est le modèle qui est annexé à votre lettre de mission lorsque vous signez un retainer Gautier Agency. Il est négociable au cas par cas selon vos exigences spécifiques. Demandez la version Word éditable à contact@gautieragency.fr.

⚠️ À faire valider par un avocat avant signature avec un premier client. Ce DPA reprend la structure recommandée par la CNIL et complète les CGV. Champs [À COMPLÉTER] à remplir au cas par cas.

Art. 1. Définitions

Les termes utilisés dans le présent accord ont la signification qui leur est donnée par le Règlement (UE) 2016/679 (« RGPD ») et la loi n° 78-17 du 6 janvier 1978 modifiée. Notamment :

« Responsable de traitement » : le Client (cabinet d'expertise comptable, cabinet d'avocats, étude notariale, etc.)
« Sous-traitant » : Gautier Agency, SASU [À COMPLÉTER]
« Sous-traitant ultérieur » : tout prestataire technique mandaté par Gautier Agency dans l'exécution de sa mission (cf. annexe 2)
« Personne concernée » : toute personne physique dont les données personnelles sont traitées (notamment : clients finaux du Client, salariés du Client, prospects du Client)
« Données » : toute donnée à caractère personnel transmise par le Client à Gautier Agency dans le cadre de l'exécution des Prestations

Art. 2. Objet du traitement

Gautier Agency traite les Données pour le compte exclusif du Client, dans le cadre de l'exécution des Prestations définies en lettre de mission, et conformément aux instructions documentées du Client.

L'objet, la nature, la finalité, la durée du traitement, les types de Données traitées et les catégories de personnes concernées sont précisés en Annexe 1 de chaque lettre de mission.

Art. 3. Obligations du Sous-traitant (Art. 28.3 RGPD)

Gautier Agency s'engage à :

3.1 Traiter les Données conformément aux instructions documentées du Responsable

Toute instruction non documentée par écrit du Client n'est pas opposable. Si une instruction du Client constitue selon Gautier Agency une violation du RGPD ou d'une autre disposition de l'Union ou nationale, Gautier Agency informe immédiatement le Client.

3.2 Veiller au respect de la confidentialité par les personnes habilitées

Toute personne intervenant chez Gautier Agency dans le traitement des Données est :

Soumise à une obligation contractuelle ou légale de confidentialité
Formée aux principes de protection des données personnelles
Limitée dans ses accès aux seules Données strictement nécessaires

3.3 Mettre en œuvre les mesures de sécurité appropriées (Art. 32 RGPD)

Gautier Agency met en œuvre les mesures techniques et organisationnelles suivantes :

Chiffrement TLS 1.3 en transit, AES-256 au repos
Authentification multi-facteur sur tous les comptes administrateurs
Gestion stricte des droits d'accès selon le principe du moindre privilège
Sauvegardes chiffrées hors-site, testées périodiquement
Journalisation horodatée des accès et opérations sensibles, conservée six (6) mois minimum (Art. 12 AI Act)
Pour les traitements impliquant des modèles d'IA : architecture multi-LLM avec relecture par modèle européen (Mistral) et option "100% souverain" disponible
Pour les sous-traitants américains (Anthropic, Vapi, Substack) : ZDR (Zero Data Retention) activé lorsque techniquement disponible

Le détail technique complet de ces mesures est disponible sur demande dans une note de sécurité dédiée.

3.4 Encadrer la sous-traitance ultérieure

Le Client autorise Gautier Agency à recourir aux sous-traitants ultérieurs listés en Annexe 2. Toute évolution substantielle de cette liste sera notifiée au Client par écrit avec un préavis minimum de quinze (15) jours.

Le Client peut s'opposer par écrit motivé au recours à un nouveau sous-traitant ultérieur dans ce délai. À défaut d'opposition exprimée, l'évolution est réputée acceptée.

Gautier Agency conclut avec chaque sous-traitant ultérieur un accord imposant les mêmes obligations de protection des données que celles du présent DPA, conformément à l'article 28.4 du RGPD.

3.5 Aider le Responsable à respecter ses obligations (Art. 28.3.e et f)

Gautier Agency aide le Client, dans la mesure de ses moyens, à :

Répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, opposition, portabilité, limitation)
Réaliser les analyses d'impact relatives à la protection des données (AIPD)
Mettre en œuvre les mesures permettant la sécurité du traitement
Notifier les violations de données dans les délais applicables

3.6 Notifier toute violation de Données dans les meilleurs délais

En cas de violation au sens de l'article 4.12 RGPD, Gautier Agency notifie le Client par écrit dans les meilleurs délais et au plus tard vingt-quatre (24) heures à compter de la prise de connaissance effective de la violation, afin de permettre au Client de respecter son obligation de notification à la CNIL sous 72 heures (Art. 33 RGPD). Cette notification précise :

La nature de la violation (catégories et nombre approximatif de personnes et d'enregistrements concernés)
Les conséquences probables
Les mesures prises ou envisagées pour remédier à la violation et limiter ses conséquences
Le nom et les coordonnées du point de contact pour obtenir plus d'information

3.7 Restituer ou détruire les Données à la fin de la mission (Art. 28.3.g)

Au terme de la mission, et au choix du Client exprimé par écrit, Gautier Agency :

Restitue l'intégralité des Données dans un format structuré et exploitable, sous trente (30) jours
OU détruit toutes les Données et copies, sauf obligation légale de conservation, et fournit une attestation de destruction sous trente (30) jours

Les logs techniques requis par l'AI Act (Art. 12) sont conservés pour la durée minimale légale (6 mois minimum), puis détruits sauf instruction contraire.

3.8 Mettre à disposition les informations nécessaires aux audits (Art. 28.3.h)

Gautier Agency met à disposition du Client, sur demande, toutes les informations nécessaires pour démontrer le respect du présent DPA et permettre la réalisation d'audits par le Client (ou un auditeur tiers mandaté), avec un préavis raisonnable de quinze (15) jours, dans les locaux ou par voie électronique.

Art. 4. Obligations du Responsable

Le Client s'engage à :

Documenter par écrit ses instructions de traitement
Veiller au respect des obligations applicables au Responsable de traitement (information des personnes, recueil des consentements, registre des traitements, AIPD le cas échéant)
Superviser et valider humainement chaque sortie significative produite par les workflows IA, conformément à l'article 14 de l'AI Act
Notifier sans délai à Gautier Agency toute évolution réglementaire ou organisationnelle susceptible d'affecter les traitements

Art. 5. Transferts hors UE

Lorsque le traitement implique un transfert de Données hors de l'Espace économique européen, Gautier Agency veille à ce que ce transfert soit encadré par :

Une décision d'adéquation de la Commission européenne, OU
Les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914), OU
Le Data Privacy Framework (DPF) UE-US lorsque le sous-traitant ultérieur y est valablement certifié, complété de mesures techniques additionnelles

Le détail des transferts par sous-traitant ultérieur figure en Annexe 2.

Art. 6. Durée et fin du DPA

Le présent DPA prend effet à la signature de la lettre de mission à laquelle il est annexé et reste en vigueur pour la durée de cette dernière, ainsi que pour toute période de réversibilité ou d'exécution résiduelle.

Les obligations de confidentialité et celles relatives à la restitution / destruction des données survivent à la résiliation pour la durée nécessaire à leur exécution.

Art. 7. Annexes

Le présent DPA est complété par les annexes suivantes, qui en font partie intégrante :

Annexe 1 : Description du traitement (objet, nature, finalité, durée, types de Données, catégories de personnes concernées)
Annexe 2 : Liste des sous-traitants ultérieurs autorisés à la date de signature, avec localisation et mécanismes de transfert applicables
Annexe 3 : Mesures techniques et organisationnelles de sécurité (TOM) détaillées

Annexe 2. Sous-traitants ultérieurs autorisés

Liste applicable au 10 mai 2026. Toute évolution sera notifiée au Client conformément à l'article 3.4.

Sous-traitant	Finalité	Localisation	Mécanisme de transfert
Netlify Inc.	Hébergement du site	Edge Europe / Origin US	SCC + DPA Netlify
OVH SAS	Email professionnel	France	Aucun (UE)
Anthropic Ireland Ltd. (Claude via AWS Bedrock)	Génération IA — production	UE — AWS Bedrock Frankfurt (Allemagne)	Aucun (UE) · ZDR (Zero Data Retention) activé
Mistral AI SAS	Génération IA — relecture / mode souverain	France	Aucun (UE)
Vapi Inc.	Agent vocal Charlotte (uniquement démos initiales, retrait avant production)	US	SCC + DPA Vapi
Substack Inc.	Newsletter (uniquement adresses email d'abonnés volontaires)	US	SCC + DPA Substack

Note : pour les Clients exigeant un mode "100% souverain UE", Vapi et Substack peuvent être retirés du périmètre de mission. Mistral remplace alors Anthropic comme générateur principal.

Dernière mise à jour : 10 mai 2026 (draft v0). Le DPA personnalisé annexé à chaque lettre de mission complète et précise les présentes dispositions.

← Retour à l'accueil