Avenant RGPD à un contrat existant : modèle 2026
Modèle d'avenant RGPD (Art. 28) pour mettre en conformité un contrat de sous-traitance déjà signé. Clauses complètes 2026 + guide quand c'est requis.
L’essentiel. Un contrat de prestation signé avant que le sujet RGPD ne soit traité, ou dépourvu des clauses de l’article 28, doit être régularisé par un avenant. Cet avenant ajoute au contrat initial les obligations du sous-traitant : instructions documentées, confidentialité, sécurité, sous-traitance ultérieure, assistance, sort des données en fin de contrat, audits. Ci-dessous, un modèle complet, prêt à annexer.
Vous avez signé avec votre prestataire de paie il y a six ans. Avec votre hébergeur, il y a quatre ans. Avec l’agence qui gère vos campagnes emailing, l’an dernier — mais sur un bon de commande d’une page. Aucun de ces contrats ne comporte les clauses de l’article 28 du RGPD. C’est la situation que je rencontre le plus souvent en audit : non pas une absence totale de conformité, mais un stock de contrats anciens jamais mis à niveau.
Dans ma pratique de conseil, l’avenant RGPD est l’outil de régularisation par excellence. Renégocier intégralement un contrat en cours est lourd, souvent inutile ; l’avenant permet de greffer les obligations manquantes sans rouvrir l’économie générale du contrat. Encore faut-il savoir quand il est requis, et rédiger un avenant qui couvre réellement les huit obligations que l’article 28 met à la charge du sous-traitant. Un avenant incomplet donne un faux sentiment de sécurité — c’est presque pire que rien.
Quand un avenant RGPD est-il nécessaire
Le principe : tout traitement pour votre compte relève de l’article 28
Dès qu’un prestataire traite des données personnelles pour votre compte et sur vos instructions, il est sous-traitant au sens du RGPD, et votre relation doit être encadrée par un contrat comportant les mentions de l’article 28.3. Peu importe l’intitulé du contrat initial : si les clauses RGPD manquent, il faut les ajouter.
Les cas typiques nécessitant un avenant
| Situation | Avenant requis ? |
|---|---|
| Contrat de paie externalisée signé avant 2018 | Oui, si clauses Art. 28 absentes |
| Hébergeur / prestataire cloud sans DPA | Oui |
| Agence marketing gérant vos fichiers prospects | Oui |
| Éditeur SaaS ayant depuis publié un DPA en ligne | Souvent réglé par acceptation du DPA, sinon avenant |
| Prestataire de nettoyage sans accès aux données | Non (pas de traitement) |
| Nouveau prestataire | Non : clauses directement dans le contrat |
Le point de vigilance : certains éditeurs SaaS ont publié depuis un Data Processing Agreement accessible en ligne et intégré par référence à leurs CGU. Dans ce cas, l’acceptation de ce DPA peut suffire — vérifiez qu’il couvre bien les huit obligations. À défaut, l’avenant reste la voie sûre.
Comment identifier les contrats à régulariser
La méthode que j’applique : partir du registre des activités de traitement, qui recense les sous-traitants, et croiser avec les contrats existants. Chaque sous-traitant sans clause Art. 28 est un candidat à l’avenant. Un questionnaire d’évaluation des sous-traitants permet en parallèle de vérifier leur niveau de garanties avant de contractualiser.
Modèle d’avenant RGPD
AVENANT N° [X] AU CONTRAT DU [DATE] relatif à la protection des données à caractère personnel (article 28 du RGPD)
ENTRE [Dénomination du client], ci-après « le Responsable de traitement », ET [Dénomination du prestataire], ci-après « le Sous-traitant »,
PRÉAMBULE Les parties sont liées par le contrat [référence] conclu le [date] (ci-après « le Contrat »), aux termes duquel le Sous-traitant réalise [description de la prestation]. Cette prestation implique le traitement de données à caractère personnel pour le compte du Responsable de traitement. Le présent avenant a pour objet de mettre le Contrat en conformité avec l’article 28 du Règlement (UE) 2016/679 (RGPD). Il complète le Contrat, dont les autres stipulations demeurent inchangées. En cas de contradiction, le présent avenant prévaut pour ce qui concerne la protection des données.
Article 1 — Objet et description du traitement Le Sous-traitant traite les données suivantes pour le compte du Responsable :
- Nature des opérations : [collecte, hébergement, transmission…]
- Finalité : [gestion de la paie / hébergement / envoi d’emailings…]
- Catégories de personnes : [salariés, clients, prospects…]
- Catégories de données : [identité, coordonnées, données bancaires…]
- Durée : durée du Contrat.
Article 2 — Instructions documentées Le Sous-traitant traite les données uniquement sur instruction documentée du Responsable, y compris pour les transferts hors UE. Il informe immédiatement le Responsable si une instruction lui paraît constituer une violation du RGPD.
Article 3 — Confidentialité Le Sous-traitant garantit que les personnes autorisées à traiter les données s’engagent à la confidentialité ou sont soumises à une obligation légale de confidentialité.
Article 4 — Sécurité Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées au sens de l’article 32 du RGPD [détaillées en annexe : chiffrement, contrôle des accès, sauvegardes, journalisation…].
Article 5 — Sous-traitance ultérieure Le Sous-traitant ne recrute pas d’autre sous-traitant sans autorisation écrite, préalable [et spécifique / générale avec information des changements]. Tout sous-traitant ultérieur est soumis aux mêmes obligations par contrat. Le Sous-traitant demeure pleinement responsable à l’égard du Responsable.
Article 6 — Droits des personnes Le Sous-traitant aide le Responsable, par des mesures appropriées, à répondre aux demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, opposition, portabilité).
Article 7 — Assistance et notification des violations Le Sous-traitant aide le Responsable à assurer le respect des obligations de sécurité, de notification des violations et d’analyse d’impact. Il notifie au Responsable toute violation de données dans les meilleurs délais et au plus tard [24 / 48] heures après en avoir pris connaissance, avec les informations nécessaires à la notification à l’autorité de contrôle.
Article 8 — Sort des données en fin de contrat Au terme de la prestation, le Sous-traitant, selon le choix du Responsable, restitue ou détruit l’ensemble des données et supprime les copies existantes, sauf obligation légale de conservation. Il en atteste par écrit.
Article 9 — Registre et audits Le Sous-traitant tient le registre prévu à l’article 30.2 du RGPD, met à disposition du Responsable toute information nécessaire pour démontrer sa conformité, et se soumet aux audits, y compris inspections, réalisés par le Responsable ou un auditeur mandaté.
Article 10 — Coordonnées Délégué à la protection des données du Sous-traitant : [nom, contact]. Point de contact du Responsable : [nom, contact].
Article 11 — Entrée en vigueur Le présent avenant prend effet à sa signature par les deux parties.
Fait à [lieu], le [date], en deux exemplaires. Le Responsable de traitement — Le Sous-traitant
Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 1.0 — 02/07/2026.
Les huit obligations à vérifier absolument
L’article 28.3 énumère les stipulations que le contrat (ou l’avenant) doit contenir. Un avenant qui en omet une seule est incomplet. Voici la grille de contrôle :
| # | Obligation | Article de l’avenant |
|---|---|---|
| 1 | Traitement sur instruction documentée | Art. 2 |
| 2 | Engagement de confidentialité du personnel | Art. 3 |
| 3 | Mesures de sécurité (Art. 32) | Art. 4 |
| 4 | Encadrement de la sous-traitance ultérieure | Art. 5 |
| 5 | Assistance à l’exercice des droits | Art. 6 |
| 6 | Assistance sécurité, violations, AIPD | Art. 7 |
| 7 | Restitution ou destruction des données | Art. 8 |
| 8 | Mise à disposition d’informations et audits | Art. 9 |
Si l’une de ces briques manque dans votre avenant, il ne satisfait pas l’article 28. Reportez-vous à notre analyse détaillée de l’article 28 du RGPD pour le sens exact de chaque obligation.
Le processus de régularisation
1. Recenser. Listez tous les sous-traitants à partir du registre. Marquez ceux dont le contrat ne comporte pas de clause RGPD.
2. Prioriser. Traitez d’abord les sous-traitants qui manipulent le plus de données ou les plus sensibles : paie, hébergement, données sensibles. Un audit RGPD aide à hiérarchiser le risque.
3. Évaluer. Avant de contractualiser, vérifiez les garanties du prestataire via un questionnaire sous-traitants. Inutile de signer un avenant avec un prestataire dont vous ignorez les mesures de sécurité réelles.
4. Contractualiser. Envoyez l’avenant. La plupart des prestataires disposent de leur propre modèle de DPA : comparez-le à votre grille des huit obligations avant d’accepter le leur.
5. Archiver. Conservez l’avenant signé et rattachez-le au registre. C’est une pièce de votre dossier d’accountability.
Erreurs fréquentes
Accepter le DPA du prestataire sans le lire. Beaucoup de DPA éditeurs plafonnent l’assistance, allongent les délais de notification à des semaines, ou autorisent une sous-traitance en cascade sans information. Confrontez systématiquement le document aux huit obligations.
Oublier la sous-traitance ultérieure. Votre hébergeur recourt lui-même à des sous-traitants (data centers, CDN). L’avenant doit encadrer cette chaîne, faute de quoi vous perdez la maîtrise du parcours des données, y compris d’éventuels transferts hors UE.
Ne pas fixer de délai de notification des violations. « Dans les meilleurs délais » est trop flou. Fixez un délai chiffré (24 ou 48 heures), car c’est vous, responsable de traitement, qui disposez de 72 heures pour notifier la violation à la CNIL.
Confondre avenant de sous-traitance et clause RH. L’avenant Art. 28 encadre un prestataire externe. Pour ajouter des obligations RGPD au contrat d’un salarié, c’est une clause de contrat de travail qu’il faut, pas un avenant de sous-traitance.
Sanctions
L’absence de contrat conforme à l’article 28 est un manquement autonome, indépendant de toute violation de données. La CNIL l’a sanctionné à plusieurs reprises, y compris chez des responsables de traitement qui n’avaient subi aucun incident : le simple fait de faire traiter des données par un sous-traitant sans encadrement contractuel suffit. La responsabilité est partagée — l’article 28 pèse sur les deux parties — mais c’est en général le responsable de traitement qui est visé, car c’est à lui d’imposer les clauses.
Suivre l’état de conformité de chaque contrat, relancer les prestataires, comparer les DPA reçus à la grille des huit obligations : sur un portefeuille de trente ou quarante sous-traitants, la charge devient réelle. Des outils comme Legiscope permettent de piloter ce suivi contractuel en le reliant directement à chaque ligne du registre.
FAQ
Faut-il un avenant ou un nouveau contrat pour se mettre en conformité RGPD ?
Un avenant suffit dans la très grande majorité des cas. Il greffe les clauses de l’article 28 sur le contrat existant sans rouvrir la négociation commerciale. Un nouveau contrat n’est nécessaire que si la prestation elle-même change ou si le contrat initial est trop ancien pour servir de base cohérente.
Le prestataire peut-il refuser de signer l’avenant RGPD ?
Il le peut, mais c’est un signal d’alerte majeur. Un sous-traitant qui refuse d’encadrer contractuellement le traitement qu’il réalise pour vous vous expose directement : vous restez responsable. En pratique, un refus doit conduire à envisager un changement de prestataire. La plupart proposent d’ailleurs leur propre DPA.
L’avenant doit-il détailler les mesures de sécurité ?
Oui, au moins par renvoi à une annexe. L’article 28 exige que le sous-traitant s’engage sur les mesures de l’article 32. Un simple « le sous-traitant assure la sécurité des données » est insuffisant : décrivez, même succinctement, chiffrement, contrôle des accès, sauvegardes, journalisation. C’est cette annexe qui donne corps à l’obligation.
Un DPA en ligne accepté par les CGU remplace-t-il l’avenant ?
Il peut suffire s’il couvre effectivement les huit obligations de l’article 28 et s’il est valablement intégré au contrat par référence. Beaucoup de DPA éditeurs sont conformes. Mais vous devez le vérifier point par point : ne présumez pas la conformité d’un document que vous n’avez pas lu.
Qui est responsable en cas de contrat non conforme à l’article 28 ?
Les deux parties peuvent être sanctionnées, car l’article 28 leur impose à chacune de conclure un contrat conforme. En pratique, la CNIL vise le plus souvent le responsable de traitement, à qui il incombe de choisir un sous-traitant présentant des garanties suffisantes et de lui imposer les clauses. D’où l’intérêt d’être proactif sur les avenants.
Combien de temps conserver un avenant RGPD signé ?
Au moins pendant toute la durée de la relation contractuelle, plus la durée nécessaire pour se défendre en cas de contrôle ou de contentieux — en pratique, plusieurs années après la fin du contrat. L’avenant est une pièce d’accountability : il prouve que vous aviez encadré la sous-traitance. Rattachez-le à votre registre.