Quand suis-je obligé de conclure un DPA en Belgique ?

Dès qu'un prestataire externe traite des données à caractère personnel pour votre compte. Cela inclut votre hébergeur cloud, votre CRM, votre solution emailing, votre logiciel de paie, votre secrétariat social, vos sous-traitants marketing, vos centres d'appels, vos prestataires d'archivage, etc. L'obligation est universelle (art. 28 RGPD) et indépendante du chiffre d'affaires : une PME bruxelloise traitant 200 fiches clients y est tenue au même titre qu'une grande entreprise.

Quelle différence entre responsable du traitement et sous-traitant ?

Le responsable du traitement (art. 4.7 RGPD) est celui qui détermine les finalités et les moyens du traitement — typiquement votre entreprise, qui décide « je veux héberger ma base clients pour vendre en ligne ». Le sous-traitant (art. 4.8 RGPD) traite ces données pour votre compte, sans en déterminer les finalités — typiquement votre hébergeur cloud, qui exécute vos instructions. Cette qualification conditionne l'ensemble des obligations RGPD : une mauvaise qualification (par exemple un prestataire qui agit en réalité en responsable conjoint art. 26) peut invalider tout votre montage juridique.

Mon sous-traitant peut-il recourir à ses propres sous-processeurs ?

Oui, mais uniquement avec votre autorisation préalable, spécifique ou générale (art. 28 §2 RGPD). En pratique, la plupart des SaaS optent pour une autorisation générale assortie d'une obligation de notifier tout changement avec un préavis (30 jours dans notre modèle) et d'un droit d'opposition motivé. Le sous-traitant doit en outre imposer à son sous-processeur les mêmes obligations contractuelles que celles qu'il a souscrites envers vous (art. 28 §4 RGPD), et il reste pleinement responsable de la conformité du sous-processeur.

Dois-je signer les SCC 2021/914 si mon prestataire est aux États-Unis ?

Cela dépend. Si le sous-traitant américain est certifié EU-US Data Privacy Framework (DPF, décision 2023/1795 du 10 juillet 2023), aucune SCC n'est strictement requise pour les transferts vers cette entité — le DPF constitue une base d'adéquation autonome. En l'absence de certification DPF (ou pour certaines catégories de données exclues du DPF), les Clauses Contractuelles Types Module 2 ou Module 3 doivent être incorporées au DPA. Une évaluation d'impact des transferts (TIA) reste recommandée par l'EDPB pour vérifier l'effectivité des garanties au regard du droit local américain (notamment FISA 702).

Le sous-traitant peut-il refuser un audit ?

Non. L'article 28 §3 h) RGPD oblige le sous-traitant à mettre à disposition toutes les informations nécessaires pour démontrer le respect de ses obligations et à permettre la réalisation d'audits par le responsable ou un auditeur tiers. En pratique, le sous-traitant peut encadrer les modalités (préavis, fréquence, confidentialité) mais il ne peut pas refuser le principe. Un refus systématique constitue une violation du contrat et du RGPD, justifiant une résiliation pour faute. Notre modèle Expert ajoute un droit d'inspection physique sur site, particulièrement utile en cas de violation de données ou de demande explicite de l'APD.

Que faire si mon sous-traitant subit une violation de données ?

Le sous-traitant doit vous notifier la violation sans retard injustifié (art. 33 §2 RGPD) — 24 heures dans notre modèle. Vous disposez alors d'au plus 48 heures restantes pour évaluer le risque et notifier l'APD belge dans le délai global de 72 heures (art. 33 §1). Si la violation présente un risque élevé pour les personnes concernées, vous devez en outre les informer individuellement dans les meilleurs délais (art. 34). Documentez intégralement l'incident dans votre registre des violations (art. 33 §5), même si la notification à l'APD n'est finalement pas requise.

Que se passe-t-il avec les données à la fin du contrat ?

L'article 28 §3 g) RGPD vous laisse le choix : restitution intégrale dans un format structuré et lisible par machine, ou destruction certifiée. Le sous-traitant doit exécuter votre choix dans un délai raisonnable (30 jours dans notre modèle) et vous fournir une attestation écrite de destruction précisant la date et la méthode. Aucune copie ne peut être conservée à des fins propres au sous-traitant, sauf si le droit belge ou européen impose une conservation (par exemple obligations comptables, fiscales ou de lutte contre le blanchiment).

Quelles sanctions en cas d'absence ou de DPA non conforme ?

Le défaut de DPA conforme à l'article 28 RGPD est sanctionné par l'APD belge au titre de l'article 83 §4 RGPD : amende administrative jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Si le défaut a contribué à une violation de données ou à une atteinte aux droits des personnes, l'amende relève de l'article 83 §5 et peut atteindre 20 millions d'euros ou 4 % du CA mondial. À titre indicatif, l'APD belge a prononcé en 2024 plusieurs amendes à six chiffres pour défaut de DPA dans des opérations de marketing direct. Le DPA reste donc l'investissement contractuel le plus rentable de votre programme RGPD.

Protection des données & RGPDBE

Modèle gratuit de Contrat de Sous-traitance RGPD pour la Belgique

Un Data Processing Agreement (DPA) prêt à signer, conforme à l'article 28 du RGPD, à la Loi belge du 30 juillet 2018 et aux Clauses Contractuelles Types européennes 2021/914. Indispensable dès qu'un prestataire — hébergeur, CRM, agence, paie — traite des données personnelles pour votre compte en Belgique.

Créer votre Contrat de Sous-traitance RGPD

Utilisation gratuitePDF instantanéAucun compte requis

CONTRAT DE SOUS-TRAITANCE RGPD

Article 28 RGPD · Loi Belge Du 30 Juillet 2018 (LCV) · APD/GBA · Signé Le : 25/04/2026 · À Bruxelles

RESPONSABLE DU TRAITEMENT

Brussels Marketplace SRL (SRL)

Avenue Louise 250, bte 12, 1050 Bruxelles · N° BCE : 0712.345.678 · Représenté par : Marie Lambert, Administratrice déléguée · DPO : dpo@brussels-marketplace.be
Tél : +32 2 555 12 34 · Email : marie.lambert@brussels-marketplace.be

Par : Marie Lambert, Administratrice déléguée

SOUS-TRAITANT

Antwerp Cloud Services BV (SRL)

Schoenmarkt 35, 2000 Antwerpen · N° BCE : 0856.789.012 · Représenté par : Tom Janssens, Chief Technology Officer · DPO : privacy@antwerp-cloud.be
Tél : +32 3 234 56 78 · Email : tom.janssens@antwerp-cloud.be

Par : Tom Janssens, Chief Technology Officer

Durée : la durée du contrat principal · Art. 28 RGPD

Données : Identifiants (nom, prénom, date de naissance), coordonnées (

ENTRE LES SOUSSIGNÉS :

Brussels Marketplace SRL, SRL, dont le siège est établi à Avenue Louise 250, bte 12, 1050 Bruxelles, inscrite à la BCE sous le numéro 0712.345.678, représentée par Marie Lambert, Administratrice déléguée, agissant en qualité de « Responsable du traitement » au sens de l'article 4.7 RGPD,

ET

Antwerp Cloud Services BV, SRL, dont le siège est établi à Schoenmarkt 35, 2000 Antwerpen, inscrite à la BCE sous le numéro 0856.789.012, représentée par Tom Janssens, Chief Technology Officer, agissant en qualité de « Sous-traitant » au sens de l'article 4.8 RGPD,

Ci-après désignés collectivement les « Parties »,

IL A ÉTÉ EXPOSÉ ET CONVENU CE QUI SUIT :

Considérant que le Sous-traitant fournit au Responsable du traitement des prestations dans le cadre de Contrat-cadre d'hébergement cloud et d'infogérance signé le 15 janvier 2026 entre les Parties (réf. ACS-2026-014), pour une plateforme e-commerce B2C. (le « Contrat principal ») ;

Considérant que l'exécution de ce Contrat principal implique le traitement de données à caractère personnel pour le compte du Responsable du traitement ;

Considérant qu'en application de l'article 28 RGPD, ce traitement doit être encadré par un contrat écrit prévoyant les obligations du Sous-traitant ;

Le présent contrat de sous-traitance (le « DPA ») est conclu en application du Règlement (UE) 2016/679 (RGPD), de la Loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et, le cas échéant, de la Décision UE 2021/914 fixant les Clauses Contractuelles Types pour les transferts internationaux.

OBJET ET CADRE

Le présent contrat a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer, pour le compte du Responsable du traitement, les opérations de traitement de données à caractère personnel décrites à l'Annexe 1 du présent contrat. Il complète et précise le Contrat principal sur les seuls aspects de protection des données.

En cas de contradiction entre le Contrat principal et le présent DPA sur les questions de protection des données à caractère personnel, les stipulations du présent DPA prévalent, conformément aux exigences de l'article 28 §3 RGPD.

DÉFINITIONS

Les termes commençant par une majuscule ont le sens qui leur est donné à l'article 4 RGPD. À titre indicatif :
a) « Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (art. 4.1 RGPD) ;
b) « Traitement » : toute opération effectuée sur des données à caractère personnel (art. 4.2 RGPD) ;
c) « Responsable du traitement » : la personne qui détermine les finalités et les moyens du traitement (art. 4.7 RGPD) ;
d) « Sous-traitant » : la personne qui traite les données pour le compte du Responsable (art. 4.8 RGPD) ;
e) « Violation de données » : violation entraînant la destruction, perte, altération, divulgation ou accès non autorisé (art. 4.12 RGPD) ;
f) « APD » : Autorité de Protection des Données (Gegevensbeschermingsautoriteit / GBA), autorité de contrôle compétente en Belgique au sens de l'article 51 RGPD.

DESCRIPTION DU TRAITEMENT (ANNEXE 1)

Conformément à l'article 28 §3 RGPD, le présent traitement est documenté comme suit :

Nature du traitement : stockage / hébergement.
Finalité(s) : Hébergement de la base de données clients, exploitation et maintenance opérationnelle de la plateforme e-commerce du Responsable, sauvegardes chiffrées quotidiennes, traitement des commandes et envoi des notifications transactionnelles (confirmation de commande, suivi de livraison)..
Catégories de personnes concernées : Clients particuliers (B2C), prospects ayant créé un compte, visiteurs anonymes du site (cookies analytics).
Catégories de données traitées : Identifiants (nom, prénom, date de naissance), coordonnées (email, téléphone, adresse de livraison et facturation), données de transaction (historique de commandes, tokens de paiement Stripe), données de connexion (adresse IP, user-agent, logs de navigation).
Catégories particulières (art. 9-10 RGPD) : aucune catégorie particulière (art. 9 RGPD non concerné).
Durée du traitement : la durée du contrat principal.

Le Sous-traitant ne traite les données que sur instruction documentée du Responsable, en ce compris les transferts hors UE/EEE, sauf obligation légale impérieuse au sens de l'article 28 §3 a) RGPD, auquel cas il en informe préalablement le Responsable.

OBLIGATIONS DU SOUS-TRAITANT (ART. 28 §3 RGPD)

Le Sous-traitant s'engage, conformément à l'article 28 §3 RGPD, à :
a) traiter les données uniquement sur instruction documentée du Responsable, y compris pour les transferts hors UE/EEE ;
b) garantir la confidentialité en imposant à toute personne autorisée à traiter les données un engagement de confidentialité ou une obligation légale appropriée ;
c) prendre les mesures de sécurité requises par l'article 32 RGPD (voir art. 5 ci-dessous) ;
d) respecter les conditions de sous-traitance ultérieure visées à l'article 9 ci-dessous (art. 28 §2 et §4 RGPD) ;
e) aider le Responsable, dans la mesure du possible, à donner suite aux demandes d'exercice des droits des personnes concernées (art. 12 à 22 RGPD) ;
f) aider le Responsable à remplir ses obligations au titre des articles 32 à 36 RGPD (sécurité, notification de violation, analyses d'impact, consultation préalable de l'APD) ;
g) au choix du Responsable, à la fin de la prestation, supprimer ou restituer toutes les données et détruire les copies existantes (voir art. 11 ci-dessous) ;
h) mettre à disposition du Responsable toutes les informations nécessaires pour démontrer le respect de l'article 28 RGPD et permettre la réalisation d'audits.

SÉCURITÉ DU TRAITEMENT (ART. 32 RGPD)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 RGPD, en tenant compte de l'état de l'art, du coût de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Ces mesures comprennent au minimum :
a) la pseudonymisation et le chiffrement des données à caractère personnel ;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement ;
c) des moyens permettant de rétablir la disponibilité des données en cas d'incident physique ou technique dans les meilleurs délais ;
d) une procédure visant à tester, analyser et évaluer régulièrement l'efficacité des mesures pour garantir la sécurité du traitement.

Les mesures techniques détaillées sont précisées à l'Annexe 2 (mesures de sécurité), qui peut être complétée par l'annexe technique Expert (chiffrement at rest/in transit, MFA, durée de rétention des logs, etc.).

CONFIDENTIALITÉ DU PERSONNEL

Le Sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel pour le compte du Responsable :
a) s'engagent à respecter la confidentialité par contrat ou soient soumises à une obligation légale appropriée de confidentialité ;
b) reçoivent la formation nécessaire en matière de protection des données à caractère personnel et de sécurité de l'information ;
c) n'aient accès aux données que dans la stricte mesure nécessaire à l'exécution de leurs missions (principe du « need-to-know »).

Cette obligation s'étend à tous les sous-processeurs autorisés conformément à l'article 9 ci-dessous.

NOTIFICATION DE VIOLATION DE DONNÉES (ART. 33-34 RGPD)

Le Sous-traitant notifie au Responsable du traitement toute violation de données à caractère personnel dans un délai maximal de vingt-quatre (24) heures après en avoir pris connaissance, par tout moyen écrit (email avec accusé de réception ou portail dédié). Ce délai permet au Responsable de respecter sa propre obligation de notification à l'APD dans les 72 heures prévue à l'article 33 RGPD.

La notification du Sous-traitant comprend, dans la mesure du possible :
a) la nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et de données concernées ;
b) le nom et les coordonnées du DPO ou d'un autre point de contact ;
c) les conséquences probables de la violation ;
d) les mesures prises ou envisagées pour remédier à la violation et en atténuer les effets.

Le Sous-traitant assiste le Responsable dans la communication de la violation aux personnes concernées au titre de l'article 34 RGPD lorsque celle-ci est requise.

ASSISTANCE AU RESPONSABLE DU TRAITEMENT

Le Sous-traitant assiste le Responsable, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible :
a) pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition — art. 12 à 22 RGPD) dans un délai compatible avec le délai d'un mois imposé au Responsable (art. 12 §3 RGPD) ;
b) pour la réalisation des analyses d'impact relatives à la protection des données (AIPD/DPIA) requises par l'article 35 RGPD ;
c) pour la consultation préalable de l'APD au titre de l'article 36 RGPD lorsque l'AIPD révèle un risque élevé non atténué ;
d) pour la tenue du registre des activités de traitement du Sous-traitant au titre de l'article 30 §2 RGPD, mis à disposition de l'APD sur demande.

SOUS-SOUS-TRAITANCE (ART. 28 §2 ET §4 RGPD)

Le Sous-traitant ne peut recourir à un autre sous-traitant (sous-processeur) qu'avec l'autorisation écrite préalable, spécifique ou générale, du Responsable du traitement.

En cas d'autorisation générale, le Sous-traitant tient à jour la liste de ses sous-processeurs et informe le Responsable de tout changement envisagé au moins trente (30) jours à l'avance, lui laissant la possibilité d'émettre des objections motivées dans ce délai.

Le Sous-traitant impose à tout sous-processeur, par contrat écrit, les mêmes obligations de protection des données que celles prévues au présent DPA, en particulier des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées (art. 28 §4 RGPD).

Le Sous-traitant demeure pleinement responsable envers le Responsable du traitement de l'exécution par le sous-processeur de ses obligations.

10.

TRANSFERTS INTERNATIONAUX (ART. 44-49 RGPD)

Tout transfert de données à caractère personnel vers un pays tiers ou une organisation internationale n'est effectué que dans le respect des chapitres V du RGPD (art. 44 à 49).

Localisation déclarée des traitements : États-Unis (EU-US Data Privacy Framework, décision 2023/1795).

Lorsqu'un transfert n'est pas couvert par une décision d'adéquation au sens de l'article 45 RGPD, le Sous-traitant met en place des garanties appropriées au titre de l'article 46 RGPD, en particulier les Clauses Contractuelles Types adoptées par la Décision d'exécution (UE) 2021/914 du 4 juin 2021, dans le module pertinent (Module 2 Responsable-vers-Sous-traitant ou Module 3 Sous-traitant-vers-Sous-traitant).

Le Sous-traitant procède en outre, le cas échéant, à une évaluation d'impact des transferts (Transfer Impact Assessment) conformément à la jurisprudence Schrems II (CJUE, C-311/18) et aux recommandations 01/2020 du Comité européen de la protection des données (EDPB).

11.

RESTITUTION OU DESTRUCTION EN FIN DE CONTRAT (ART. 28 §3 G RGPD)

Au terme du présent contrat, ou à la résiliation du Contrat principal, et au choix du Responsable du traitement notifié par écrit, le Sous-traitant procède dans un délai maximal de trente (30) jours :
a) à la restitution intégrale des données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine ; OU
b) à la destruction sécurisée de toutes les données à caractère personnel, y compris les copies de sauvegarde, sauf si la conservation est requise par le droit de l'Union ou le droit belge.

Le Sous-traitant fournit dans tous les cas une attestation écrite de destruction précisant la date et la méthode utilisée. Aucune copie ne peut être conservée à des fins propres au Sous-traitant ou à un sous-processeur.

12.

DROIT D'AUDIT (ART. 28 §3 H RGPD)

Le Sous-traitant met à disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 RGPD, et permet la réalisation d'audits, y compris des inspections, par le Responsable ou par un auditeur tiers indépendant qu'il aura mandaté, sous réserve d'un préavis raisonnable et d'engagements de confidentialité réciproques.

Les audits ont lieu pendant les heures ouvrables et ne peuvent excéder une fois par année civile, sauf survenance d'une violation de données ou d'une demande d'une autorité de contrôle. Les frais des audits sont supportés par le Responsable, sauf si l'audit révèle un manquement substantiel imputable au Sous-traitant, auquel cas ces frais sont à charge du Sous-traitant.

13.

RESPONSABILITÉ ET INDEMNISATION (ART. 82 RGPD)

Conformément à l'article 82 RGPD, le Sous-traitant est responsable du dommage causé par le traitement lorsqu'il n'a pas respecté les obligations prévues par le RGPD spécifiquement à charge des sous-traitants ou lorsqu'il a agi en dehors ou contrairement aux instructions licites du Responsable du traitement.

Le Sous-traitant indemnise le Responsable du traitement de toute amende administrative prononcée par l'APD au titre de l'article 83 RGPD ou de toute condamnation civile dans la mesure où ces sanctions résultent d'un manquement imputable au Sous-traitant ou à l'un de ses sous-processeurs.

Aucune limitation de responsabilité du Contrat principal ne s'applique aux préjudices résultant d'un manquement aux obligations du présent DPA en matière de protection des données.

14.

LOI APPLICABLE ET JURIDICTION

Le présent contrat est soumis au droit belge, en particulier au RGPD et à la Loi du 30 juillet 2018. Tout litige relatif à son interprétation ou à son exécution sera soumis, à défaut de règlement amiable, à la compétence exclusive du Tribunal de l'entreprise de Bruxelles, sans préjudice du droit des personnes concernées d'introduire une réclamation auprès de l'Autorité de Protection des Données (APD/GBA), Rue de la Presse 35, 1000 Bruxelles, conformément à l'article 77 RGPD, ou d'introduire un recours juridictionnel au titre des articles 78 et 79 RGPD.

15.

ANNEXE 2 — MESURES TECHNIQUES DÉTAILLÉES (ART. 32 RGPD)

En application de l'article 32 RGPD, et au-delà des mesures minimales énoncées à l'article 5, le Sous-traitant met en œuvre l'ensemble des mesures techniques et organisationnelles suivantes :

a) Chiffrement au repos (AES-256 ou équivalent NIST/ENISA) appliqué à l'ensemble des bases de données et systèmes de fichiers contenant des données à caractère personnel
b) Chiffrement en transit (TLS 1.3 minimum) sur tous les flux applicatifs et API exposés
c) Authentification multifacteur (MFA) obligatoire pour tous les accès privilégiés (administrateurs, opérations, support)
d) Gestion des accès selon le principe du moindre privilège, revue trimestrielle des droits, suppression immédiate à la cessation de fonction
e) Journalisation et conservation des logs d'accès aux données à caractère personnel pendant 12 mois, avec protection contre l'altération
f) Tests d'intrusion (pentests) externes au moins une fois par an et après chaque évolution majeure d'architecture
g) Plan de continuité d'activité (PCA) et plan de reprise après sinistre (PRA) testés au moins annuellement.

Cette annexe technique est mise à jour au moins annuellement. Toute évolution substantielle est notifiée au Responsable dans un délai raisonnable.

16.

CLAUSES CONTRACTUELLES TYPES — MODULE 2

Pour tout transfert de données à caractère personnel hors UE/EEE non couvert par une décision d'adéquation au sens de l'article 45 RGPD, les Parties incorporent par référence au présent DPA les Clauses Contractuelles Types adoptées par la Décision d'exécution (UE) 2021/914 du 4 juin 2021, dans leur Module 2 (Responsable du traitement vers Sous-traitant).

Les annexes I.A (parties), I.B (description du transfert), I.C (autorité de contrôle compétente), II (mesures techniques et organisationnelles) et III (sous-processeurs) sont complétées conformément aux annexes 1 et 2 du présent DPA. L'autorité de contrôle compétente désignée est l'APD belge (GBA).

En cas de contradiction entre les SCC et le présent DPA, les SCC prévalent. Le Sous-traitant s'engage à signaler sans délai tout changement de législation locale susceptible d'affecter sa capacité à respecter les SCC, conformément à la jurisprudence Schrems II (CJUE, C-311/18).

17.

CERTIFICATION ISO 27001 / SOC 2

Le Sous-traitant maintient pendant toute la durée du présent contrat une certification ISO/IEC 27001:2022 et/ou un rapport SOC 2 Type II en cours de validité couvrant le périmètre des services rendus au Responsable du traitement.

Le Sous-traitant communique, sur demande écrite et au plus une fois par an, une copie du certificat ISO 27001 et du rapport SOC 2 Type II en vigueur. La perte ou la non-renouvellement d'une certification est notifié au Responsable dans un délai de quinze (15) jours et constitue, à défaut de remédiation dans les six (6) mois, un motif de résiliation pour faute du Contrat principal.

18.

AUDIT RENFORCÉ — DROIT D'INSPECTION SUR SITE

En complément de l'article 12 ci-dessus, le Responsable du traitement dispose d'un droit d'inspection physique sur site dans les locaux et data centers du Sous-traitant, sous réserve d'un préavis de quinze (15) jours ouvrables.

L'inspection peut porter sur : (a) les mesures de sécurité physique, (b) les politiques de gestion des accès, (c) les journaux d'audit, (d) les procédures de gestion des incidents, (e) la documentation des sous-processeurs. Le Sous-traitant met à disposition du Responsable un interlocuteur technique habilité à répondre aux questions sur place. En cas d'audit déclenché à la suite d'une violation de données ou d'une demande de l'APD, les frais d'inspection sont intégralement à la charge du Sous-traitant.

19.

ASSURANCE CYBER-RISQUES

Le Sous-traitant souscrit et maintient en vigueur, pendant toute la durée du présent contrat, une police d'assurance cyber-risques couvrant la responsabilité civile professionnelle au titre de la protection des données à caractère personnel, pour un montant minimal de 2 000 000,00 EUR par sinistre et par année d'assurance.

La police couvre notamment : (a) les frais de notification aux personnes concernées, (b) les frais d'enquête forensique, (c) les amendes administratives RGPD lorsque celles-ci sont assurables, (d) les dommages-intérêts dus aux personnes concernées au titre de l'article 82 RGPD. Une attestation d'assurance est remise au Responsable dans les trente (30) jours suivant la signature du présent contrat et à chaque renouvellement annuel.

20.

CLAUSE PÉNALE — VIOLATION DES OBLIGATIONS DPA

Tout manquement substantiel du Sous-traitant aux obligations essentielles du présent DPA — notamment : traitement non autorisé de données, défaut de notification d'une violation dans le délai de 24 heures, sous-traitance sans autorisation, transfert hors UE/EEE non couvert par des garanties appropriées — donne lieu, à titre de clause pénale au sens de l'article 5.88 NCCiv, au paiement par le Sous-traitant d'une indemnité forfaitaire de 50 000,00 EUR par manquement constaté.

Cette indemnité est sans préjudice du droit du Responsable du traitement de réclamer la réparation intégrale du préjudice subi (notamment au titre des amendes RGPD prononcées par l'APD), ni du droit de résilier le Contrat principal et le présent DPA pour faute grave avec effet immédiat.

EN FOI DE QUOI, les parties ont signé le présent document à la date indiquée.

RESPONSABLE DU TRAITEMENT

Marie Lambert

Administratrice déléguée

Date : ____________________

SOUS-TRAITANT

Tom Janssens

Chief Technology Officer

Date : ____________________

Qu'est-ce qu'un contrat de sous-traitance RGPD en Belgique ?

Le contrat de sous-traitance RGPD — souvent appelé Data Processing Agreement (DPA) ou accord de traitement — est l'instrument juridique imposé par l'article 28 du Règlement (UE) 2016/679 dès qu'une entreprise (le « responsable du traitement ») confie à un prestataire (le « sous-traitant ») le traitement de données à caractère personnel pour son compte. Sans cet accord écrit, la sous-traitance est illicite au regard du RGPD et expose les deux parties à des sanctions de l'Autorité de Protection des Données (APD/GBA), qui peuvent atteindre 4 % du chiffre d'affaires mondial annuel ou 20 millions d'euros.

En Belgique, l'obligation est universelle : qu'il s'agisse d'un hébergeur cloud à Bruxelles, d'un CRM SaaS américain, d'une agence de marketing digital à Anvers, d'un secrétariat social à Liège ou d'un prestataire de paie en Flandre, dès lors que des données identifiant des personnes physiques (clients, employés, prospects, candidats) sont confiées à un tiers, un DPA est requis. Le contrat fixe la nature et la finalité du traitement, les catégories de personnes et de données concernées, la durée, les mesures de sécurité minimales et les droits du responsable en matière d'audit, de notification de violation et de restitution des données.

Le cadre juridique belge ajoute plusieurs couches au RGPD européen. La Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (LCV) précise les compétences de l'APD belge, les voies de recours et certaines obligations sectorielles. La Décision d'exécution (UE) 2021/914 fournit les Clauses Contractuelles Types (SCC) à incorporer pour tout transfert hors UE/EEE non couvert par une décision d'adéquation, en particulier vers les États-Unis (EU-US Data Privacy Framework de juillet 2023). Pour les traitements de communications électroniques, la directive ePrivacy 2002/58/CE et sa transposition belge restent applicables en parallèle.

Ce que couvre ce modèle

Le modèle Doxuno couvre l'intégralité des clauses obligatoires de l'article 28 §3 RGPD et propose, en section Expert, les protections renforcées qui font la différence en cas de contrôle APD ou de violation de données en Belgique.

Description du traitement (Annexe 1)

Nature, finalités, catégories de personnes et de données — exigence art. 28 §3 RGPD

Obligations du sous-traitant

Les huit obligations de l'art. 28 §3 a) à h) reprises clause par clause

Sécurité du traitement (art. 32)

Pseudonymisation, chiffrement, confidentialité, intégrité, disponibilité, résilience

Notification de violation sous 24h

Délai aligné pour permettre la notification du responsable à l'APD sous 72h

Assistance DPIA et droits des personnes

Coopération aux analyses d'impact et aux demandes d'accès, rectification, effacement

Sous-sous-traitance encadrée

Autorisation préalable, préavis 30 jours, mêmes obligations imposées en cascade

Transferts internationaux et SCC

Décision UE 2021/914 — Modules 2 et 3 incorporés pour les flux hors UE/EEE

Restitution / destruction certifiée

Délai 30 jours, attestation écrite, copies de sauvegarde supprimées

Droit d'audit et inspection sur site

Audit annuel + inspection physique à charge du sous-traitant en cas de manquement

Annexe technique détaillée (Expert)

Chiffrement at rest/in transit, MFA, conservation logs, pentests, PCA/PRA

Cyber-assurance et clause pénale

Couverture des amendes RGPD et indemnité forfaitaire par manquement DPA

Loi applicable et juridiction belge

Tribunal de l'entreprise + recours art. 77 RGPD devant l'APD/GBA

Comment créer votre contrat de sous-traitance RGPD en Belgique

Aucune expertise juridique requise : le générateur Doxuno vous guide section par section pour produire en quelques minutes un DPA conforme et opposable, prêt à signer avec votre prestataire en Belgique.

1
Identifiez les deux parties et leurs DPO
Indiquez le nom commercial complet, la forme juridique (SRL, SA…), le siège social et le numéro BCE de votre entreprise (responsable du traitement) et de votre prestataire (sous-traitant) en Belgique. Si l'une des parties a désigné un Délégué à la Protection des Données (DPO) au titre de l'article 37 RGPD, ajoutez son adresse de contact — c'est obligatoire pour les autorités publiques et fortement recommandé en cas de traitement à grande échelle.
2
Décrivez précisément le traitement (Annexe 1)
Reliez le DPA au contrat principal sous-jacent (référence et date) puis détaillez l'Annexe 1 : nature du traitement (hébergement, support, paiement, analytics…), finalités précises, catégories de personnes concernées (clients, prospects, employés) et catégories de données (identifiants, coordonnées, données de paiement, IP, logs). Cette précision est exigée par l'article 28 §3 RGPD et constitue le premier point examiné par l'APD belge en cas de contrôle.
3
Signalez les catégories particulières et la durée
Précisez si le traitement porte sur des données particulières au sens de l'article 9 RGPD (santé, biométrie) ou de l'article 10 (données pénales), ou sur des données de mineurs (art. 8). Choisissez ensuite la durée : alignée sur le contrat principal pour la majorité des prestations SaaS, ou en mois fixes pour des missions ponctuelles. Les données particulières déclenchent automatiquement des exigences de sécurité et de DPIA renforcées.
4
Cartographiez les transferts hors UE/EEE
Si le sous-traitant ou ses propres sous-processeurs hébergent ou accèdent aux données depuis un pays tiers (États-Unis, Inde, Royaume-Uni…), cochez la case correspondante. Le générateur active alors automatiquement les Clauses Contractuelles Types (SCC) de la Décision UE 2021/914, dans le module 2 (responsable→sous-traitant) ou 3 (sous-traitant→sous-traitant). Les États-Unis bénéficient depuis juillet 2023 du Data Privacy Framework, mais une évaluation Schrems II reste recommandée.
5
Activez les protections Expert et téléchargez
En section Expert, activez l'annexe technique (chiffrement AES-256, TLS 1.3, MFA, conservation logs), exigez une certification ISO 27001 ou un rapport SOC 2 Type II, le droit d'inspection sur site, une cyber-assurance avec montant minimal et une clause pénale par manquement. Ces clauses transforment un DPA générique en véritable instrument de gouvernance — celui que demanderont systématiquement les DPO sérieux et les acheteurs grands comptes en Belgique. Téléchargez le PDF, signez et conservez avec votre registre des activités de traitement.

Considérations juridiques en Belgique

La conformité RGPD ne se limite pas au texte du DPA : elle suppose une cohérence entre le contrat, vos pratiques réelles et la documentation tenue à disposition de l'APD belge. Plusieurs points méritent une vigilance particulière en Belgique.

Ce modèle est fourni à titre informatif et ne constitue pas un conseil juridique individualisé. Pour les traitements à risque élevé — données de santé, secteur bancaire, opérations à grande échelle — ou en cas de doute sur les exigences applicables à votre situation en Belgique, consultez un avocat spécialisé en droit du numérique inscrit au barreau belge, ou un Délégué à la Protection des Données certifié.

Contenu vérifié par des juristes spécialisés en droit belge de la protection des données. Les clauses ont été passées en revue pour assurer la conformité à l'article 28 RGPD, à la Loi belge du 30 juillet 2018 et à la pratique constante de l'Autorité de Protection des Données (APD/GBA) dans les opérations courantes de sous-traitance.

Article 28 RGPD — clauses obligatoires non négociables

L'article 28 §3 RGPD énumère huit obligations qui doivent figurer impérativement dans tout contrat de sous-traitance : (a) traitement uniquement sur instruction documentée, (b) confidentialité du personnel, (c) sécurité art. 32, (d) sous-traitance ultérieure encadrée, (e) assistance pour les droits des personnes, (f) assistance pour les notifications de violation, DPIA et consultation de l'APD, (g) restitution ou destruction en fin de contrat, (h) information et droit d'audit. L'absence d'une seule de ces clauses suffit à rendre le contrat non conforme et expose les deux parties à des sanctions APD. Le modèle Doxuno reprend ces huit obligations clause par clause, avec les références d'articles RGPD, dans les sections gratuites A à C.

APD/GBA — autorité de contrôle et procédure de plainte

L'Autorité de Protection des Données (APD), en néerlandais Gegevensbeschermingsautoriteit (GBA), siège Rue de la Presse 35 à 1000 Bruxelles. Elle est l'autorité de contrôle compétente en Belgique au sens de l'article 51 RGPD. Toute personne concernée peut introduire une réclamation gratuite en ligne. L'APD dispose de pouvoirs étendus : injonction de mise en conformité, suspension des flux transfrontaliers, amendes administratives jusqu'à 4 % du CA mondial (art. 83 §5 RGPD). En cas de violation de données à risque élevé, le responsable doit notifier dans les 72 heures (art. 33), ce qui implique que le sous-traitant doit lui-même alerter sous 24 heures — délai retenu par notre modèle.

Transferts internationaux et SCC 2021/914

Depuis l'arrêt Schrems II (CJUE, C-311/18, 16 juillet 2020), tout transfert de données hors UE/EEE doit s'appuyer sur une décision d'adéquation (art. 45) ou sur des garanties appropriées (art. 46), au premier rang desquelles les Clauses Contractuelles Types adoptées par la Décision d'exécution (UE) 2021/914 du 4 juin 2021. Quatre modules existent — module 2 (responsable vers sous-traitant) et module 3 (sous-traitant vers sous-traitant) sont les plus utilisés en Belgique. En outre, une analyse complémentaire (Transfer Impact Assessment) est exigée pour vérifier que le droit du pays tiers ne fait pas obstacle aux SCC. Pour les États-Unis, l'EU-US Data Privacy Framework adopté en juillet 2023 (décision 2023/1795) constitue désormais une base autonome d'adéquation pour les organismes certifiés.

Notification de violation à l'APD sous 72 heures

L'article 33 RGPD impose au responsable du traitement de notifier toute violation de données à l'APD dans un délai de 72 heures à compter de la prise de connaissance, sauf si la violation est peu susceptible d'engendrer un risque pour les droits des personnes. Lorsque la violation présente un risque élevé, l'article 34 impose en plus une communication individuelle aux personnes concernées dans les meilleurs délais. Ce calendrier serré explique pourquoi le DPA doit imposer au sous-traitant un délai de notification plus court — 24 heures dans notre modèle — afin de laisser au responsable le temps d'analyser, documenter et notifier. Un retard de notification est lui-même sanctionnable par l'APD belge.

Questions fréquentes

Prêt à mettre votre sous-traitance RGPD en conformité en Belgique ?

Générez un Data Processing Agreement professionnel, conforme à l'article 28 RGPD et opposable à l'APD belge en quelques minutes. Gratuit pour la version de base, sans compte requis.

Créer votre Contrat de Sous-traitance RGPD Parcourir tous les modèles

Gratuit · PDF instantané · Aucun compte requis