La distinction entre sous-traitant (article 28 RGPD) et co-responsable de traitement (article 26 RGPD) est l’une des questions juridiques les plus mal traitées en pratique. La CJUE a clarifié les critères dans l’arrêt Fashion ID (C-40/17) puis dans Wirtschaftsakademie (C-210/16), et la CNIL a sanctionné plusieurs entreprises en 2024-2025 pour qualification erronée de la relation. Le risque : des sanctions doubles, une responsabilité accrue, et des contrats inopérants.
Cet article fournit le décision tree issu de la jurisprudence européenne, six exemples concrets de qualification, et les conséquences contractuelles de chaque scénario.
Pour la rédaction du contrat dans le cas sous-traitant, voir modèle DPA Article 28. Pour la méthode d’audit, checklist Article 28.
Points clés
- L’article 28 (sous-traitant) suppose que la partie agit uniquement sur instruction du responsable. Pas de finalité propre, pas de moyens autonomes définis.
- L’article 26 (co-responsabilité) suppose que les deux parties déterminent conjointement les finalités et les moyens du traitement.
- La qualification ne dépend pas de la dénomination contractuelle. La CJUE et la CNIL examinent les conditions réelles d’exercice.
- Trois critères factuels : finalité (qui décide ?), moyens (qui définit le périmètre ?), bénéfice (qui en retire un avantage propre ?).
- En cas de doute, la qualification co-responsabilité est généralement retenue par les autorités, ce qui alourdit le régime contractuel et la responsabilité.
1. Les trois statuts RGPD
Le RGPD distingue trois rôles dans le traitement de données :
| Rôle | Définition | Article |
|---|---|---|
| Responsable de traitement | Détermine les finalités et les moyens | Art. 4 §7 |
| Sous-traitant | Traite les données pour le compte du responsable, sur instruction | Art. 4 §8, Art. 28 |
| Co-responsable | Détermine conjointement avec un autre responsable les finalités et les moyens | Art. 26 |
Une quatrième situation existe en pratique : deux responsables distincts et autonomes qui se transmettent des données pour leurs finalités respectives (par exemple, banque et avocat). Pas de co-responsabilité — chacun est responsable de son traitement, et le transfert est encadré par les règles de transferts entre responsables (intérêt légitime, consentement, ou base légale propre).
2. Le décision tree
La partie B traite-t-elle des données pour le compte de la partie A ?
│
├─ NON → A et B sont responsables distincts (pas d'art. 28 ni d'art. 26)
│ Encadrement : base légale propre + transfert encadré
│
└─ OUI
│
B définit-elle elle-même la finalité ou des moyens essentiels du traitement ?
│
├─ NON, B agit uniquement sur instructions documentées de A
│ B ne tire pas de bénéfice propre du traitement
│ → Art. 28 (sous-traitance)
│ Contrat : DPA conforme art. 28 §3
│
└─ OUI, B contribue à définir finalités ou moyens
Les deux parties tirent un bénéfice du traitement
→ Art. 26 (co-responsabilité)
Contrat : accord de co-responsabilité + information aux personnes
3. Les trois critères factuels
Critère 1 — Qui détermine la finalité ?
La finalité est la raison d’être du traitement. Si B utilise les données pour ses propres finalités (analyse marketing, profilage de ses clients, optimisation de son service), B est responsable ou co-responsable, pas sous-traitant.
Exemple : une plateforme analytics qui agrège les données de tous ses clients pour produire des benchmarks sectoriels — finalité propre = co-responsabilité.
Critère 2 — Qui définit les moyens essentiels ?
Les moyens essentiels incluent : décisions sur les durées de conservation, sur les destinataires, sur le périmètre des données collectées. Les moyens techniques accessoires (choix d’un algorithme, configuration serveur) restent au sous-traitant.
Exemple : un fournisseur de service email transactionnel — moyens techniques uniquement, sous-traitance.
Exemple : un partenaire publicitaire qui décide quelles données utiliser pour le ciblage et auprès de qui — moyens essentiels conjointement déterminés, co-responsabilité.
Critère 3 — Qui tire bénéfice du traitement ?
Le bénéfice économique propre est un indice fort de responsabilité. Si B retire un avantage indépendant de la rémunération (données enrichies utilisables pour d’autres clients, données revendues, données exploitées pour son propre marketing), B est responsable ou co-responsable.
Exemple : un réseau social qui fournit un bouton “J’aime” intégré sur un site tiers — Fashion ID (CJUE 2019) — co-responsabilité, le réseau social bénéficie des données collectées.
4. Six cas pratiques de qualification
Cas 1 — Hébergeur cloud (AWS, Azure)
Qualification : sous-traitant (art. 28).
Justification : agit uniquement sur instructions, finalité = exécution du contrat, pas d’usage des données pour des finalités propres (sauf clauses spécifiques sur la sécurité). AWS et Microsoft proposent des DPA standards conformes à l’article 28.
Cas 2 — Fournisseur SaaS analytics partagés
Qualification : potentiellement co-responsabilité (art. 26).
Justification : si le fournisseur utilise les données collectées pour produire des benchmarks vendus à d’autres clients, il a une finalité propre. Cas typique : Google Analytics avec partage de données activé. Sous Universal Analytics, qualification disputée ; sous GA4, configuration “data sharing off” tend à la sous-traitance pure.
Cas 3 — Plateforme publicitaire (Meta, Google Ads)
Qualification : co-responsabilité (art. 26).
Justification : la plateforme publicitaire utilise les données de conversion pour optimiser son modèle (Audience Network, Lookalike Audiences). Bénéfice propre direct. Confirmé par la CJUE (Wirtschaftsakademie, Fashion ID) et par les guidelines EDPB 07/2020.
Cas 4 — Cabinet d’avocats
Qualification : responsable distinct.
Justification : l’avocat traite les données du client pour les besoins du conseil et de la défense, sous secret professionnel. Il ne traite pas pour le compte du client — il traite dans le cadre de son propre mandat. Les transferts client → avocat sont fondés sur l’intérêt légitime ou l’exécution du contrat, pas sur l’article 28.
Cas 5 — Comptable externe (cabinet d’expertise comptable)
Qualification : sous-traitant (art. 28) ou responsable distinct selon le périmètre.
Justification :
- Mission classique de tenue comptable et établissement des comptes : sous-traitance (acte sur instruction du client).
- Mission de représentation fiscale ou commissariat aux comptes : responsable distinct (mandat légal propre).
Cas 6 — Sous-traitant ultérieur d’un service partagé
Qualification : sous-traitant ultérieur dans la chaîne.
Justification : un sous-traitant de second niveau (par exemple, le fournisseur d’email transactionnel utilisé par votre CRM) reste sous-traitant si la finalité reste celle du responsable initial. Sa qualification n’est pas modifiée par sa position dans la chaîne — mais il doit être encadré contractuellement par le sous-traitant de premier niveau (clause sous-traitance ultérieure du DPA).
5. Tableau de synthèse : conséquences contractuelles
| Aspect | Art. 28 (sous-traitance) | Art. 26 (co-responsabilité) |
|---|---|---|
| Contrat | DPA conforme art. 28 §3 | Accord de co-responsabilité (art. 26 §1) |
| Information aux personnes | Politique unique du responsable | Mentions obligatoires sur la répartition des responsabilités, accessibles aux personnes |
| Point de contact unique | Responsable | À désigner dans l’accord de co-responsabilité |
| Exercice des droits | Adressés au responsable, transmis au sous-traitant | Personnes peuvent exercer auprès de l’un OU l’autre |
| Responsabilité solidaire | Non (sous-traitant responsable de ses manquements propres) | Oui (chacun peut être condamné à indemniser intégralement) |
| Sanctions CNIL | Ciblées sur la défaillance | Ciblées sur les deux ou l’un des co-responsables |
La co-responsabilité est plus contraignante. Beaucoup d’entreprises tentent de qualifier la relation en sous-traitance — la CNIL et la CJUE requalifient régulièrement.
6. Comment se prémunir d’une requalification ?
Six bonnes pratiques :
- Audit annuel des relations contractuelles avec les fournisseurs traitant des données. Identifier ceux qui ont une finalité propre (analytics avec partage, publicité ciblée, plateformes de matching).
- DPA conforme pour les sous-traitants vérifiés (voir modèle DPA).
- Accord de co-responsabilité rédigé pour les cas Meta Pixel, Google Ads, et services publicitaires similaires. Modèle CNIL disponible.
- Information transparente des personnes concernées sur la double qualité (politique de confidentialité, mentions de cookies).
- Désactivation du partage de données dans les outils analytics quand l’option existe.
- Recours à un conseil juridique pour les relations contractuelles ambiguës (analytics premium, plateformes IoT, partenariats data).
7. Cas particulier : groupes de sociétés
Au sein d’un groupe, les transferts entre filiales peuvent être qualifiés de :
- Co-responsabilité : si la finalité (par exemple, gestion RH centralisée pour le groupe) est conjointement définie.
- Sous-traitance : si une filiale agit pour le compte d’une autre (centre de services partagés agissant strictement sur instruction).
- Responsables distincts : si chaque filiale a sa propre finalité (exemple, holding et filiales opérationnelles avec activités distinctes).
Le critère reste factuel. Beaucoup de groupes choisissent le statut de co-responsabilité pour les fonctions transverses (paie, IT) — c’est généralement la qualification la plus solide juridiquement.
Conclusion
La qualification article 28 vs article 26 ne dépend pas du nom du contrat. Elle dépend des conditions réelles d’exercice — finalité, moyens, bénéfice. Une mauvaise qualification expose le responsable à une requalification CNIL et à une responsabilité solidaire imprévue. La méthode du décision tree, appliquée systématiquement aux 30-50 fournisseurs d’une PME, identifie les zones de risque avant qu’elles ne se matérialisent.
Pour aller plus loin : modèle DPA Article 28, checklist audit sous-traitants, guide article 28 RGPD, article 26 RGPD.
FAQ
Comment savoir si un fournisseur est sous-traitant ou co-responsable ?
Trois questions : (1) qui décide de la finalité ? (2) qui définit les moyens essentiels (durées, destinataires, périmètre) ? (3) qui tire un bénéfice propre du traitement ? Si le fournisseur a sa propre finalité ou son propre bénéfice, il est co-responsable.
Le contrat peut-il imposer la qualification de sous-traitance ?
Non. La qualification est déterminée par les conditions factuelles, pas par la dénomination contractuelle. La CJUE et la CNIL requalifient régulièrement. Un contrat de sous-traitance qui décrit en réalité une co-responsabilité est inopérant pour son volet “qualification”.
Google Analytics est-il sous-traitant ou co-responsable ?
Discuté. Sous Universal Analytics avec partage de données activé : co-responsabilité (CNIL 2022). Sous GA4 avec configuration restrictive : sous-traitance. La CNIL recommande la prudence : signer le DPA et l’accord de co-responsabilité si le doute persiste.
Que se passe-t-il en cas de co-responsabilité non formalisée ?
L’absence d’accord de co-responsabilité (article 26 §1) est un manquement sanctionnable. Les personnes concernées peuvent en outre adresser leurs demandes à l’une ou l’autre des parties — une partie non formalisée est exposée à des demandes qu’elle ne peut traiter sans la coopération de l’autre.
Le responsable peut-il être sanctionné pour la défaillance d’un sous-traitant ?
Oui, dans certaines limites. Si le responsable a choisi un sous-traitant non conforme, n’a pas conduit l’audit prévu à l’article 28 §3 lettre h, ou n’a pas mis en place de DPA conforme, sa responsabilité propre est engagée. La CNIL a sanctionné plusieurs responsables en 2024-2025 sur ce fondement, parallèlement à la sanction du sous-traitant.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial
