# Gérer un DPA sous le RGPD néerlandais

Source: https://contracko.com/fr/blog/gerer-accord-sous-traitance-rgpd

[Blog](https://contracko.com/fr/blog)

[Gérer un DPA sous le RGPD néerlandais](https://contracko.com/fr/blog/gerer-accord-sous-traitance-rgpd)

# Gérer un DPA sous le RGPD néerlandais

Budi Voogt 25 mai 2026

Copier pour LLM

Vous reconnaîtrez sans doute cette situation. Vous ajoutez un nouveau fournisseur, quelqu’un vous envoie un accord de sous-traitance par e-mail, vous le lisez à moitié, vous signez, puis vous rangez le fichier dans un dossier que vous ne rouvrez plus jamais. À ce moment-là, vous avez l’impression d’avoir terminé. Et c’est précisément là que les choses se compliquent, car signer est la partie facile. Le vrai travail commence ensuite : maintenir cet accord à jour pendant que les sous-traitants ultérieurs changent, que les revues glissent dans le temps et que la base juridique des transferts évolue sous vos pieds.

Je constate souvent que les équipes traitent leurs accords de sous-traitance comme une case à cocher plutôt que comme un dossier vivant. C’est compréhensible, car personne n’inscrit dans son agenda de réévaluer dans quatorze mois l’annexe de sécurité d’un hébergeur. Dans ce guide, je vous explique ce qu’est exactement un accord de sous-traitance, ce que vous devez suivre pour chaque accord, pourquoi ces accords vieillissent discrètement, et comment en faire un ensemble clair et maîtrisable.

> Ceci est une explication pratique, pas un avis juridique. Soumettez votre propre situation à un professionnel qualifié de la protection des données.

Après avoir lu ce guide, vous saurez :

- Ce qu’est un accord de sous-traitance, ou DPA, et quand l’AVG, le RGPD néerlandais, l’exige.
- Quelles informations suivre pour chaque accord afin de rester démontrablement conforme.
- Pourquoi les accords de sous-traitance deviennent obsolètes en pratique sans que personne ne s’en aperçoive.
- Comment créer une source unique de vérité consultable et planifier les dates importantes.

## Ce qu’est un accord de sous-traitance

Un accord de sous-traitance, souvent abrégé en DPA d’après l’anglais data processing agreement, définit comment un sous-traitant, c’est-à-dire le fournisseur, traite des données personnelles pour votre compte, en tant que responsable du traitement. Pensez à votre CRM, votre outil d’e-mailing, votre logiciel de paie ou votre hébergeur. Dès qu’un tel prestataire traite des données personnelles pour vous, l’AVG, ou Algemene verordening gegevensbescherming, qui est le RGPD tel qu’il s’applique aux Pays-Bas, impose à l’article 28 de l’encadrer par écrit.

La raison est simple. Vous déterminez la finalité et les moyens du traitement, vous restez donc responsable, même si un tiers gère concrètement les données. Sans accord, les deux parties prennent un risque : vous ne pouvez pas démontrer que votre fournisseur est lié par des engagements clairs, et le fournisseur ne sait pas où s’arrêtent ses obligations. L’accord précise notamment quelles données sont traitées, dans quel but, quelles mesures de sécurité s’appliquent, et ce qui se passe à la fin de la collaboration.

Voilà pour la théorie. En pratique, un accord signé n’est que le point de départ, et c’est là-dessus que je veux surtout attirer votre attention.

## Ce que vous devez suivre pour chaque DPA

La plupart des problèmes ne surviennent pas au moment de la signature, mais des mois plus tard. Un accord de sous-traitance contient en effet de nombreuses obligations qui ne se déclenchent qu’à l’avenir, et qui ne se rappellent pas toutes seules à vous. Je recommande d’enregistrer le même ensemble d’informations pour chaque accord, afin que votre portefeuille reste comparable d’un fournisseur à l’autre.

| Ce que vous suivez | Pourquoi c’est important |
| --- | --- |
| Le fournisseur et le contrat principal | Cela permet de relier le DPA au service concerné et d’éviter qu’il perde son contexte. |
| Date de revue | Le moment où vous devez réévaluer les mesures de sécurité, avant qu’elles ne deviennent discrètement dépassées. |
| Liste des sous-traitants ultérieurs et fenêtre d’opposition | Qui est autorisé, et combien de jours vous avez pour vous opposer à un nouvel ajout. |
| Droits d’audit | Ce à quoi vous avez droit, et à quelle fréquence vous pouvez exercer ce droit. |
| Mécanisme de transfert | Sur quoi repose le transfert hors de l’EEE, par exemple les clauses contractuelles types, et si cela couvre encore vos flux de données réels. |
| Délais de résiliation et de suppression | Ce qui arrive aux données lorsque la collaboration prend fin, et dans quel délai. |

L’avantage de ces champs est qu’ils sont tous concrets et vérifiables. Vous n’avez pas besoin d’être juriste pour suivre qu’une date de revue approche ou qu’une fenêtre d’opposition est sur le point de se fermer. Vous devez seulement veiller à ce que l’information soit conservée à un endroit où vous pouvez la retrouver, et non enterrée à la page onze d’un PDF.

## Pourquoi les accords de sous-traitance expirent

Je parle d’expiration, même si la plupart du temps il n’y a pas de date de fin. Ce qui se passe est plus subtil : l’accord reste formellement valable, mais ne reflète plus la réalité. Cela se produit de quelques manières prévisibles.

### Les sous-traitants ultérieurs changent

Presque chaque fournisseur fait lui-même appel à d’autres prestataires, et cette liste change. Si vous recevez une notification indiquant qu’un sous-traitant ultérieur est ajouté et que vous manquez la fenêtre d’opposition, vous avez accepté ce prestataire tacitement. Parfois, ce n’est pas un problème, mais vous avez tout de même admis une nouvelle partie auprès de vos données sans décision consciente.

### Les revues sont repoussées

Une évaluation périodique des mesures de sécurité semble évidente, jusqu’au moment où vous constatez que personne ne l’a planifiée. C’est exactement le type de tâche qui reste en suspens parce qu’elle n’appartient personnellement à personne. Un an plus tard, vous ne savez plus si les accords correspondent encore à la manière dont le fournisseur travaille aujourd’hui.

### La base de transfert vieillit

La base juridique des transferts vers l’extérieur de l’Espace économique européen a changé à plusieurs reprises ces dernières années. Un mécanisme qui était autrefois correctement organisé peut désormais être dépassé sans que rien ne se soit produit de votre côté. C’est l’un des risques les plus silencieux, parce qu’il se déroule entièrement hors de votre champ de vision.

Si vous souhaitez examiner plus en profondeur ce type d’obligations latentes, j’ai déjà écrit sur les [risques cachés de la gestion des contrats](https://contracko.com/fr/blog/risicos-in-contractbeheer), où l’on retrouve une grande partie de la même dynamique.

## Construisez une source unique de vérité

La solution est moins compliquée que le problème. L’essentiel est que chaque accord de sous-traitance se trouve au même endroit, qu’il soit consultable, relié au bon fournisseur, avec les données clés extraites au lieu d’être cachées dans un document. Si une autorité de contrôle ou un client vous demande votre DPA avec la partie X et veut voir qu’il est à jour, la réponse se trouve à une recherche de distance, et non au bout d’une demi-journée de fouille.

C’est pour cela que la [gestion des accords de sous-traitance](https://contracko.com/fr/oplossingen/verwerkersovereenkomst-beheer) de Contracko a été conçue. Vous conservez chaque DPA à côté du contrat auquel il se rapporte, avec les dates de revue, les conditions relatives aux sous-traitants ultérieurs et les obligations de transfert dans des champs structurés. Contracko fonctionne sur une infrastructure européenne, avec chiffrement et accès fondé sur les rôles, et les fournisseurs d’IA qui effectuent l’analyse n’entraînent pas leurs modèles sur vos contrats. Pour un dossier de confidentialité, je considère que ce n’est pas un détail, mais une condition.

Ce que j’apprécie dans cette approche, c’est que le travail que vous faites déjà, à savoir lire les informations contenues dans un accord, ne se perd plus dès que vous fermez le fichier. L’analyse contractuelle par IA extrait les champs pertinents et les place dans votre référentiel, afin que tout le portefeuille fournisseurs tienne dans une seule vue d’ensemble. J’explique comment ce type d’IA fonctionne en pratique dans mon article sur la [legal AI](https://contracko.com/fr/blog/legal-ai).

## Planifiez les dates

Une source unique de vérité ne devient vraiment utile que lorsqu’elle vous dit quand agir. Tous les moments d’échéance que j’ai mentionnés plus haut sont en réalité des dates : échéances de revue, fenêtres d’opposition pour les sous-traitants ultérieurs, cycles d’audit, et revalidation du mécanisme de transfert. Chacune de ces dates devrait déclencher un rappel au bon responsable, avec suffisamment d’avance pour pouvoir agir.

Si vous souhaitez voir cela fonctionner sur un seul accord avant de traiter tout votre portefeuille, l’[outil de rappel DPA](https://contracko.com/fr/contract-herinneringen-tools/data-processing-agreement-reminder) est un bon point de départ. Vous téléversez un accord de sous-traitance, l’IA extrait les dates de revue, les fenêtres liées aux sous-traitants ultérieurs et les droits d’audit, puis vous recevez un calendrier de rappels proposé. À l’échelle de tout votre portefeuille fournisseurs, c’est précisément cette discipline, chaque date suivie et chaque responsable rappelé à temps, qui maintient un portefeuille conforme au lieu de simplement signé.

Mettre cela en place n’est pas un grand projet. Avec le référentiel de contrats, l’extraction automatique des données, les rappels, le reporting et l’intégration calendrier, la base est rapidement en place, et vous pouvez l’essayer tranquillement pendant l’essai gratuit. Pour la vision plus large de la [conformité AVG](https://contracko.com/fr/oplossingen/avg-compliance-software), la gestion des DPA s’inscrit dans la même approche : visibilité et action à temps plutôt qu’une pile de fichiers signés.

## Comment cela varie selon les secteurs

Tous les portefeuilles fournisseurs ne se ressemblent pas. Un prestataire de soins traite des catégories particulières de données personnelles et a donc besoin d’accords plus stricts et de revues plus serrées. J’ai écrit séparément à ce sujet dans [la gestion des contrats pour les prestataires de soins](https://contracko.com/fr/blog/contractbeheer-voor-zorgaanbieders). Une entreprise logicielle en forte croissance aura, elle, beaucoup plus de fournisseurs et donc beaucoup plus de sous-traitants ultérieurs à surveiller. La méthode reste la même, mais le volume et la sensibilité déterminent le niveau de structure dont vous avez réellement besoin.

Dans cette réflexion, le coût joue aussi un rôle. Il vaut la peine d’examiner à l’avance le coût d’un outil par rapport au travail manuel qu’il supprime, et j’en ai déjà donné un aperçu dans [la gestion des contrats SaaS et les coûts](https://contracko.com/fr/blog/saas-contractbeheer-kosten).

## Pour commencer

Si vous voulez faire une seule chose aujourd’hui, commencez petit : prenez les trois fournisseurs qui traitent les données les plus sensibles, retrouvez leur accord de sous-traitance, et notez pour chacun la date de revue, la politique relative aux sous-traitants ultérieurs et le mécanisme de transfert. Vous constaterez probablement que, pour au moins l’un d’entre eux, vous n’avez pas de réponse actuelle, et c’est précisément la raison pour laquelle ce travail en vaut la peine.

Ensuite, vous pouvez élargir cette approche avec les [solutions de Contracko](https://contracko.com/fr/oplossingen) et cartographier le reste de votre portefeuille de la même manière. Je serai ravi de vous aider. N’hésitez pas à m’écrire si vous êtes bloqué ou si vous voulez réfléchir à la meilleure façon de l’organiser pour votre situation. Je lis ces e-mails et j’y réponds moi-même.

## Lancez-vous avec Contracko

Débarrassez-vous des tracas de la gestion des contrats et des abonnements. Contracko vous permet de rester organisé, ponctuel et maître de la situation. Commencez à simplifier dès aujourd'hui.

[Démarrer l'essai gratuit de 7 jours](https://app.contracko.com/register?appLanguage=fr)

Réserver une démo
