Contenu juridique adapté au pays
Rédigé avec une expertise juridique pour chaque juridiction, bien plus complet que les brouillons IA, qui recopient des clauses génériques au-delà des frontières.
Un Data Processing Agreement (DPA) prêt à signer, conforme à l'article 28 du RGPD, à la Loi belge du 30 juillet 2018 et aux Clauses Contractuelles Types européennes 2021/914. Indispensable dès qu'un prestataire — hébergeur, CRM, agence, paie — traite des données personnelles pour votre compte en Belgique.
PDF (gratuit) + Word modifiable (.docx) avec Expert
Disponible en PDF prêt à imprimer ou en fichier Microsoft Word (.docx) modifiable.
Le contrat de sous-traitance RGPD — souvent appelé Data Processing Agreement (DPA) ou accord de traitement — est l'instrument juridique imposé par l'article 28 du Règlement (UE) 2016/679 dès qu'une entreprise (le « responsable du traitement ») confie à un prestataire (le « sous-traitant ») le traitement de données à caractère personnel pour son compte. Sans cet accord écrit, la sous-traitance est illicite au regard du RGPD et expose les deux parties à des sanctions de l'Autorité de Protection des Données (APD/GBA), qui peuvent atteindre 4 % du chiffre d'affaires mondial annuel ou 20 millions d'euros.
En Belgique, l'obligation est universelle : qu'il s'agisse d'un hébergeur cloud à Bruxelles, d'un CRM SaaS américain, d'une agence de marketing digital à Anvers, d'un secrétariat social à Liège ou d'un prestataire de paie en Flandre, dès lors que des données identifiant des personnes physiques (clients, employés, prospects, candidats) sont confiées à un tiers, un DPA est requis. Le contrat fixe la nature et la finalité du traitement, les catégories de personnes et de données concernées, la durée, les mesures de sécurité minimales et les droits du responsable en matière d'audit, de notification de violation et de restitution des données.
Le cadre juridique belge ajoute plusieurs couches au RGPD européen. La Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (LCV) précise les compétences de l'APD belge, les voies de recours et certaines obligations sectorielles. La Décision d'exécution (UE) 2021/914 fournit les Clauses Contractuelles Types (SCC) à incorporer pour tout transfert hors UE/EEE non couvert par une décision d'adéquation, en particulier vers les États-Unis (EU-US Data Privacy Framework de juillet 2023). Pour les traitements de communications électroniques, la directive ePrivacy 2002/58/CE et sa transposition belge restent applicables en parallèle.
Le modèle Doxuno couvre l'intégralité des clauses obligatoires de l'article 28 §3 RGPD et propose, en section Expert, les protections renforcées qui font la différence en cas de contrôle APD ou de violation de données en Belgique.
Nature, finalités, catégories de personnes et de données — exigence art. 28 §3 RGPD
Les huit obligations de l'art. 28 §3 a) à h) reprises clause par clause
Pseudonymisation, chiffrement, confidentialité, intégrité, disponibilité, résilience
Délai aligné pour permettre la notification du responsable à l'APD sous 72h
Coopération aux analyses d'impact et aux demandes d'accès, rectification, effacement
Autorisation préalable, préavis 30 jours, mêmes obligations imposées en cascade
Décision UE 2021/914 — Modules 2 et 3 incorporés pour les flux hors UE/EEE
Délai 30 jours, attestation écrite, copies de sauvegarde supprimées
Audit annuel + inspection physique à charge du sous-traitant en cas de manquement
Chiffrement at rest/in transit, MFA, conservation logs, pentests, PCA/PRA
Couverture des amendes RGPD et indemnité forfaitaire par manquement DPA
Tribunal de l'entreprise + recours art. 77 RGPD devant l'APD/GBA
Aucune expertise juridique requise : le générateur Doxuno vous guide section par section pour produire en quelques minutes un DPA conforme et opposable, prêt à signer avec votre prestataire en Belgique.
Indiquez le nom commercial complet, la forme juridique (SRL, SA…), le siège social et le numéro BCE de votre entreprise (responsable du traitement) et de votre prestataire (sous-traitant) en Belgique. Si l'une des parties a désigné un Délégué à la Protection des Données (DPO) au titre de l'article 37 RGPD, ajoutez son adresse de contact — c'est obligatoire pour les autorités publiques et fortement recommandé en cas de traitement à grande échelle.
Reliez le DPA au contrat principal sous-jacent (référence et date) puis détaillez l'Annexe 1 : nature du traitement (hébergement, support, paiement, analytics…), finalités précises, catégories de personnes concernées (clients, prospects, employés) et catégories de données (identifiants, coordonnées, données de paiement, IP, logs). Cette précision est exigée par l'article 28 §3 RGPD et constitue le premier point examiné par l'APD belge en cas de contrôle.
Précisez si le traitement porte sur des données particulières au sens de l'article 9 RGPD (santé, biométrie) ou de l'article 10 (données pénales), ou sur des données de mineurs (art. 8). Choisissez ensuite la durée : alignée sur le contrat principal pour la majorité des prestations SaaS, ou en mois fixes pour des missions ponctuelles. Les données particulières déclenchent automatiquement des exigences de sécurité et de DPIA renforcées.
Si le sous-traitant ou ses propres sous-processeurs hébergent ou accèdent aux données depuis un pays tiers (États-Unis, Inde, Royaume-Uni…), cochez la case correspondante. Le générateur active alors automatiquement les Clauses Contractuelles Types (SCC) de la Décision UE 2021/914, dans le module 2 (responsable→sous-traitant) ou 3 (sous-traitant→sous-traitant). Les États-Unis bénéficient depuis juillet 2023 du Data Privacy Framework, mais une évaluation Schrems II reste recommandée.
En section Expert, activez l'annexe technique (chiffrement AES-256, TLS 1.3, MFA, conservation logs), exigez une certification ISO 27001 ou un rapport SOC 2 Type II, le droit d'inspection sur site, une cyber-assurance avec montant minimal et une clause pénale par manquement. Ces clauses transforment un DPA générique en véritable instrument de gouvernance — celui que demanderont systématiquement les DPO sérieux et les acheteurs grands comptes en Belgique. Téléchargez le PDF, signez et conservez avec votre registre des activités de traitement.
Quatre points qui rendent nos modèles plus complets que les brouillons générés par IA, et plus à jour que les bibliothèques statiques.
Rédigé avec une expertise juridique pour chaque juridiction, bien plus complet que les brouillons IA, qui recopient des clauses génériques au-delà des frontières.
Les modèles citant des textes légaux sont mis à jour en continu dès que la loi évolue. Ton document reflète toujours le cadre juridique en vigueur.
Téléchargement gratuit. Texte vectoriel, polices intégrées et citations légales intégrées dans les clauses. Imprimer, signer, classer. Compatible avec tout flux de signature, y compris la signature électronique.
Continue à éditer dans Word après le téléchargement. Ajoute des clauses sur mesure, réutilise le modèle pour des accords similaires ou partage-le avec un collègue pour relecture collaborative.
Nécessite un déblocage Expert ponctuel ou un abonnement Doxuno payant.
Chaque modèle est rédigé nativement pour son pays, fondé sur les textes qui s’y appliquent réellement et mis à jour à chaque évolution de la loi — jamais un formulaire générique passé à la traduction.
La conformité RGPD ne se limite pas au texte du DPA : elle suppose une cohérence entre le contrat, vos pratiques réelles et la documentation tenue à disposition de l'APD belge. Plusieurs points méritent une vigilance particulière en Belgique.
Ce modèle est fourni à titre informatif et ne constitue pas un conseil juridique individualisé. Pour les traitements à risque élevé — données de santé, secteur bancaire, opérations à grande échelle — ou en cas de doute sur les exigences applicables à votre situation en Belgique, consultez un avocat spécialisé en droit du numérique inscrit au barreau belge, ou un Délégué à la Protection des Données certifié.
Contenu vérifié par des juristes spécialisés en droit belge de la protection des données. Les clauses ont été passées en revue pour assurer la conformité à l'article 28 RGPD, à la Loi belge du 30 juillet 2018 et à la pratique constante de l'Autorité de Protection des Données (APD/GBA) dans les opérations courantes de sous-traitance.
L'article 28 §3 RGPD énumère huit obligations qui doivent figurer impérativement dans tout contrat de sous-traitance : (a) traitement uniquement sur instruction documentée, (b) confidentialité du personnel, (c) sécurité art. 32, (d) sous-traitance ultérieure encadrée, (e) assistance pour les droits des personnes, (f) assistance pour les notifications de violation, DPIA et consultation de l'APD, (g) restitution ou destruction en fin de contrat, (h) information et droit d'audit. L'absence d'une seule de ces clauses suffit à rendre le contrat non conforme et expose les deux parties à des sanctions APD. Le modèle Doxuno reprend ces huit obligations clause par clause, avec les références d'articles RGPD, dans les sections gratuites A à C.
L'Autorité de Protection des Données (APD), en néerlandais Gegevensbeschermingsautoriteit (GBA), siège Rue de la Presse 35 à 1000 Bruxelles. Elle est l'autorité de contrôle compétente en Belgique au sens de l'article 51 RGPD. Toute personne concernée peut introduire une réclamation gratuite en ligne. L'APD dispose de pouvoirs étendus : injonction de mise en conformité, suspension des flux transfrontaliers, amendes administratives jusqu'à 4 % du CA mondial (art. 83 §5 RGPD). En cas de violation de données à risque élevé, le responsable doit notifier dans les 72 heures (art. 33), ce qui implique que le sous-traitant doit lui-même alerter sous 24 heures — délai retenu par notre modèle.
Depuis l'arrêt Schrems II (CJUE, C-311/18, 16 juillet 2020), tout transfert de données hors UE/EEE doit s'appuyer sur une décision d'adéquation (art. 45) ou sur des garanties appropriées (art. 46), au premier rang desquelles les Clauses Contractuelles Types adoptées par la Décision d'exécution (UE) 2021/914 du 4 juin 2021. Quatre modules existent — module 2 (responsable vers sous-traitant) et module 3 (sous-traitant vers sous-traitant) sont les plus utilisés en Belgique. En outre, une analyse complémentaire (Transfer Impact Assessment) est exigée pour vérifier que le droit du pays tiers ne fait pas obstacle aux SCC. Pour les États-Unis, l'EU-US Data Privacy Framework adopté en juillet 2023 (décision 2023/1795) constitue désormais une base autonome d'adéquation pour les organismes certifiés.
L'article 33 RGPD impose au responsable du traitement de notifier toute violation de données à l'APD dans un délai de 72 heures à compter de la prise de connaissance, sauf si la violation est peu susceptible d'engendrer un risque pour les droits des personnes. Lorsque la violation présente un risque élevé, l'article 34 impose en plus une communication individuelle aux personnes concernées dans les meilleurs délais. Ce calendrier serré explique pourquoi le DPA doit imposer au sous-traitant un délai de notification plus court — 24 heures dans notre modèle — afin de laisser au responsable le temps d'analyser, documenter et notifier. Un retard de notification est lui-même sanctionnable par l'APD belge.
Générez un Data Processing Agreement professionnel, conforme à l'article 28 RGPD et opposable à l'APD belge en quelques minutes. Gratuit pour la version de base, sans compte requis.
PDF gratuit · Word modifiable avec Expert · Aucun compte requis