Article 28 du RGPD : les obligations contractuelles et les sanctions à éviter

L’article 28 du RGPD (Règlement Général sur la Protection des Données) est une disposition cruciale qui définit les responsabilités et obligations entre les responsables du traitement et les sous-traitants. L’objectif du RGPD est d’assurer d’une gestion sécurisée des données personnelles pendant toute la chaîne de traitement des données.

Nous allons donc décortiquer les exigences de l’article 28 RGPD à travers d’exemples pratiques, de cas de jurisprudence, afin de vous aider à respecter ces dispositions et mettre votre organistion en conformité.

Points Clés à Retenir

• L’article 28 du RGPD établit des obligations pour les responsables du traitement et les sous-traitants en matière de protection des données personnelles
• Les relations de sous-traitance doivent être formalisées par un contrat écrit - qui doit répondre aux exigences posées par l’article 28.
• La non-conformité à cet article entraîne des sanctions financières importantes

Obligations Essentielles de l’article 28 RGPD

L’article 28 du RGPD est assez long, donc commençons par décortiquer les premières obligations essentielles :

1. Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

En gros ces dispositions imposent un certain nombre de règles. Lorsqu’un responsable de traitement décide d’utiliser les services d’un sous-traitant pour opérer le traitement informatique de données, il a alors l’obligation de ne faire appel qu’à des sous-traitants qui présentent les garanties suffisantes. Ce que le RGPD tente d’éviter c’est que le RT utilise des services de tiers qui ne sont pas suffisamment solides pour garantir un certain niveau de protection.

Cela impose donc de qualifier les sous-traitants en recourant à certains critères : compétences, autorité sur le secteur, certifications, etc. Des certifications peuvent être utiles à cela - cependant l’analyse des décisions de sanctions montre que de nombreux sous-traitants sanctionnés par la CNIL disposaient de certifications valables - donc ce n’est pas vraiment un critère décisif - mais cela peut montrer que des efforts sont faits. Si vous êtes utilisateur de Legiscope - sachez que ce processus est entièrement automatisé dans l’analyse des DPA sous-traitants.

Une seconde obligation imposée par l’article 28 est de respecter certaines conditions dans les cas de sous-sous-traitance (lorsque votre sous-traitant décide lui-même de sous-traiter):

2. Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

Enfin le troisième point essentiel est la nécessité d’un contrat présent entre le responsable du traitement et le sous-traitant. Le contrat doit être écrit, il doit nécessairement exister et il doit comporter un certain nombre de clauses spécifiques. Ce contrat s’appelle “contrat article 28” ou DPA (data processing agreement - ou data processing addendum) ; il n’est pas nécessaire que celui-ci soit un contrat indépendant - il peut très bien être intégré dans les conditions générales de vente du sous-traitant.

Le contrat de sous-traitance (DPA - data processing agreement)

L’article 28 impose une obligation très claire relativement à la présence d’un contrat entre le RT et le ST :

3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. (…)

Le contrat de sous-traitance doit donc :

• définir l’objet et la durée du traitement
• définir a nature et la finalité du traitement
• définir le type de données à caractère personnel et les catégories de personnes concernées
• ainsi enfin que définir les obligations et les droits du responsable du traitement

Mais nous n’avons ici qu’à peine touché la surface des exigences contractuelles. En effet, l’article 28, paragraphe 3, va bien plus loin et liste une série de clauses obligatoires. Le contrat doit ainsi prévoir que le sous-traitant :

• a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement (…) ;
• b) impose une obligation de confidentialité à toute personne ayant accès aux données ;
• c) prend toutes les mesures de sécurité nécessaires ;
• d) ne recrute pas un autre sous-traitant sans l’accord du RT;
• e) assiste le RT relativement aux demandes de droit des personnes ;
• f) aide le RT à garantir les obligations de sécurité
• g) supprime les données personnelles en fin de prestation / ou les renvoie au RT
• h) met à la disposition du RT toutes les informations nécessaires pour démontrer le respect de ces obligations

Cette liste peut sembler dense, mais chaque point est une brique essentielle qui doit être vérifiée pour s’assurer d’avoir une DPA conforme. Il existe cependant des outils logiciels comme Legiscope qui automatisent entièrement l’analyse des DPA - ce qui peut vous faire gagner plusieurs centaines d’heures par an.

Checklist d’audit en 10 points de vos DPA

Pour simplifier votre analyse, voici une checklist minimale à utiliser pour auditer ou rédiger vos contrats de sous-traitance :

1. Objet, Nature, Finalité et Durée du traitement - sont-ils clairement définis ?
2. Types de données et Catégories de personnes concernées - sont-ils listés ?
3. Obligation de traitement sur instruction documentée du RT est-elle mentionnée ?
4. Clause de confidentialité pour le personnel du sous-traitant est-elle incluse ?
5. Engagement sur la sécurité (référence à l’article 32) est-il présent ?
6. Conditions claires pour la sous-traitance ultérieure (autorisation du RT) sont-elles définies ?
7. Devoir d’assistance au RT (gestion des droits, violations, AIPD) est-il formalisé ?
8. Sort des données en fin de contrat (restitution ou suppression) est-il précisé ?
9. Obligation de fournir la preuve de la conformité (via audits, etc.) est-elle acceptée ?
10. Procédure de notification des violations de données au RT est-elle établie ?

A défaut d’avoir des réponses claires sur ces points - le contrat ou les CGV ne seront pas conformes et donc le sous-traitant fait courir un risque important au RT qui devra en changer.

Comment vérifier et auditer la conformité d’un sous-traitant ?

Signer un contrat conforme est la première étape, mais l’article 28 impose une obligation de vigilance continue. Le responsable du traitement doit être en mesure de s’assurer que son sous-traitant respecte ses engagements tout au long de la relation contractuelle. C’est ici qu’intervient le droit à l’audit, consacré par le point (h) de l’article 28.3.

Cet audit n’est pas une simple suggestion, mais un droit que le responsable du traitement (RT) doit pouvoir exercer. Les modalités pratiques peuvent varier. Le RT peut, par exemple, envoyer des questionnaires de conformité détaillés au sous-traitant pour évaluer ses mesures de sécurité, ses politiques internes ou encore la formation de son personnel. Une autre méthode est la revue documentaire, qui permet au RT de demander l’accès à la documentation du sous-traitant, comme ses politiques de sécurité, les rapports de tests d’intrusion, ou les registres de traitement.

De plus, bien qu’elles soient insuffisantes à elles seules, des certifications comme ISO 27001 ou l’adhésion à des codes de conduite approuvés peuvent servir d’élément de preuve de la mise en place de garanties suffisantes. Dans les cas les plus critiques, le RT, ou un auditeur qu’il mandate, doit pouvoir mener une inspection sur site ou à distance des locaux ou des systèmes du sous-traitant pour vérifier concrètement l’application des mesures de sécurité.

Il est essentiel de souligner que le sous-traitant a l’obligation de coopérer à ces audits. Un refus ou une obstruction de sa part serait considéré comme une violation directe de l’article 28 et un signal d’alarme majeur pour le responsable du traitement.

Quelles sont les sanctions en cas de non-conformité ?

Les autorités de contrôle, comme la CNIL en France, ne prennent pas l’article 28 à la légère. Les sanctions pour non-conformité peuvent être parmi les plus lourdes prévues par le RGPD (jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial), car une défaillance dans la chaîne de sous-traitance met en péril toute la sécurité des données.

Les cas de jurisprudence le démontrent clairement :

• Le cas d’un acteur du secteur public : Une administration a été sanctionnée par la CNIL pour ne pas avoir formalisé sa relation avec un prestataire informatique par un contrat conforme à l’article 28. L’absence de DPA a été considérée comme une faute grave, car elle laissait les données des citoyens sans le cadre de protection exigé par la loi.
• Le cas d’une entreprise technologique : Une amende de plusieurs centaines de milliers d’euros a été infligée à une société pour avoir utilisé un sous-traitant qui avait lui-même fait appel à un autre sous-traitant sans l’autorisation écrite préalable du responsable de traitement. La CNIL a rappelé que le contrôle de la chaîne de sous-traitance est une obligation fondamentale.
• Le cas Discord (2022) : La société a été sanctionnée par la CNIL d’une amende de 800 000 euros pour plusieurs manquements, dont le fait de ne pas avoir formalisé par un contrat ses relations avec ses propres sous-traitants, en violation de l’article 28 du RGPD.

Ces exemples montrent que l’inaction ou la négligence contractuelle a un coût réel et significatif. Il ne suffit pas “d’avoir un contrat”, il faut avoir le bon contrat et s’assurer qu’il est respecté.

FAQ

Q: Quelle est la différence exacte entre un responsable de traitement et un sous-traitant ?

Un responsable du traitement (RT) est l’entité qui détermine les finalités et les moyens du traitement (le “pourquoi” et le “comment”). Un sous-traitant (ST) est l’entité qui traite les données pour le compte du RT. Par exemple, votre entreprise est le RT de ses données clients ; votre fournisseur de service d’emailing ou d’hébergement cloud est le sous-traitant.

Q: Quelles sont les obligations principales d’un sous-traitant selon l’article 28 RGPD ?

Un sous-traitant doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles. Il doit également traiter les données uniquement sur instruction du responsable du traitement, informer le responsable de tout incident de sécurité, et ne pas engager de sous-traitants supplémentaires sans autorisation préalable.

Q: Quels éléments doivent être inclus dans un contrat de sous-traitance RGPD conforme ?

Un contrat conforme doit définir les responsabilités de chaque partie, inclure des clauses de sécurité des données, des procédures de notification en cas de violation, des restrictions sur la sous-traitance supplémentaire, et des droits d’audit pour le responsable du traitement.

Q: Quelles sont les sanctions en cas de non-conformité à l’article 28 RGPD ?

La non-conformité à l’article 28 RGPD peut entraîner des amendes sévères, pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé. De plus, des sanctions peuvent inclure des avertissements, des restrictions de traitement, et des dommages à la réputation de l’entreprise.

Conclusion

La conformité à l’article 28 du RGPD est bien plus qu’une simple formalité administrative ; c’est le fondement de la confiance numérique entre une entreprise, ses clients et ses partenaires. En établissant des contrats solides, en exerçant un droit de regard et d’audit sur vos sous-traitants, et en intégrant une culture de la protection des données à tous les niveaux, vous ne faites pas que vous conformer à la loi. Vous construisez un avantage concurrentiel durable en démontrant le sérieux et la fiabilité de votre organisation.

Investir dans une gestion rigoureuse de la sous-traitance, c’est investir dans la pérennité et la réputation de votre organisation