En une phrase. Au sens de l’article 4 RGPD : un responsable de traitement est l’entité qui détermine les finalités et les moyens du traitement de données personnelles ; un sous-traitant est l’entité qui traite les données pour le compte du responsable en suivant ses instructions. Le responsable décide du « pourquoi » et du « comment » — le sous-traitant exécute. Le responsable porte l’accountability primaire au titre de l’article 5(2). Le sous-traitant a des obligations directes au titre de l’article 28 et est co-responsable des manquements à ses obligations spécifiques.
La distinction responsable/sous-traitant est la qualification la plus conséquente du RGPD. Les responsables signent les politiques de confidentialité, conduisent les AIPD, gèrent les demandes de droits et portent les amendes principales. Les sous-traitants signent les DPA, suivent les instructions du responsable et font face à des amendes pour manquement à leurs obligations spécifiques. Mal qualifier une relation — étiqueter un responsable comme sous-traitant ou inversement — invalide l’architecture juridique du traitement.
Ce guide explique les définitions juridiques, les critères de décision du CEPD et de la CJUE, et les implications pratiques pour les contrats et la responsabilité. Pour le scénario de co-responsabilité, voir notre Article 28 vs Article 26 RGPD. Pour les spécificités sous-traitant, qu’est-ce qu’un sous-traitant.
Points clés
- Responsable : détermine les finalités et les moyens du traitement — porte l’accountability primaire.
- Sous-traitant : traite pour le compte du responsable, sur instructions documentées — porte les obligations directes article 28.
- La qualification est déterminée par la réalité factuelle, pas par le libellé contractuel (CJUE Wirtschaftsakademie, Fashion ID).
- Trois tests : qui décide de la finalité ? Qui décide des moyens essentiels ? Qui retire un bénéfice distinct du traitement ?
- Un scénario de co-responsabilité (article 26) existe lorsque deux parties déterminent conjointement les finalités et les moyens — voir notre guide co-responsabilité.
1. Définitions juridiques (article 4)
Responsable de traitement (article 4(7)) : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
Sous-traitant (article 4(8)) : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
Les deux définitions sont mutuellement exclusives pour une activité de traitement donnée : une partie agit soit comme responsable (déterminant finalités et moyens) soit comme sous-traitant (agissant sur instructions). La même entité juridique peut être responsable pour certains traitements et sous-traitant pour d’autres — mais jamais les deux pour la même opération.
2. Les critères de décision
Les lignes directrices CEPD 07/2020 énoncent les critères. Trois questions :
2.1 Qui détermine la finalité ?
La « finalité » est le pourquoi du traitement. Si la partie B utilise les données pour sa propre finalité (analytics, marketing, profilage), B est responsable — pas sous-traitant. Si B n’utilise les données que pour exécuter le contrat de A, sans usage autonome, B est sous-traitant.
Exemples :
- Fournisseur cloud hébergeant des fichiers clients → sous-traitant (pas de finalité autonome)
- Vendeur analytics qui agrège les données entre clients pour des benchmarks → co-responsable (B a sa propre finalité)
- Vendeur de livraison email → sous-traitant (exécute la finalité de A)
2.2 Qui détermine les moyens essentiels ?
Les « moyens essentiels » sont les décisions substantielles sur la manière dont le traitement se déroule : catégories de données collectées, durées de conservation, destinataires, mesures de sécurité. Les moyens non essentiels (implémentation technique, choix d’algorithme) peuvent être laissés au sous-traitant sans changer sa qualification.
2.3 Qui retire un bénéfice distinct ?
Une partie qui retire un bénéfice du traitement indépendant des frais contractuels agit typiquement comme responsable. Exemples : recevoir des insights agrégés, construire un profil client utilisable ailleurs, monétiser les données via des tiers.
3. Les 8 scénarios les plus courants
| # | Scénario | Qualification | Pourquoi |
|---|---|---|---|
| 1 | Client utilise stockage cloud (AWS S3, Azure Blob) | AWS = sous-traitant | Pas de finalité autonome, exécute le contrat |
| 2 | Client utilise CRM SaaS (Salesforce, HubSpot) | Vendeur = sous-traitant | Scénario standard |
| 3 | Société utilise Google Analytics (avec partage activé) | Co-responsabilité | Google utilise les données pour ses propres benchmarks |
| 4 | E-commerce utilise Meta Pixel | Co-responsabilité (Meta) | Meta utilise les données de conversion pour optimiser sa publicité |
| 5 | Société utilise prestataire paiement (Stripe) | Stripe = responsable pour détection fraude, sous-traitant pour paiement | Activités de traitement différentes |
| 6 | Société utilise comptable externe pour la tenue de comptes | Comptable = responsable pour ses obligations légales propres, sous-traitant pour services client | Mixte |
| 7 | Société utilise un avocat externe | Avocat = responsable indépendant | A son propre mandat légal, secret professionnel |
| 8 | Société utilise SaaS RH qui agrège des benchmarks salariaux anonymisés | Co-responsable pour benchmarks, sous-traitant pour données RH | Rôles mixtes |
4. Implications contractuelles
Obligations du responsable
- Tenir le registre des traitements (article 30(1))
- Conduire une AIPD lorsque requis (article 35) — voir Article 35 RGPD AIPD
- Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32)
- Notifier les violations à l’autorité dans les 72h (article 33)
- Communiquer les violations aux personnes concernées en cas de risque élevé (article 34)
- Respecter les droits des personnes (articles 12-23)
- Déterminer la base légale (article 6) — voir intérêt légitime
- Signer des DPA avec tous les sous-traitants (article 28)
Obligations du sous-traitant
- Traiter uniquement sur instructions documentées (article 28(3)(a))
- Confidentialité du personnel (article 28(3)(b))
- Mettre en œuvre les mesures de sécurité (article 28(3)©)
- Engager des sous-traitants ultérieurs uniquement avec autorisation du responsable (article 28(3)(d))
- Assister le responsable pour les demandes de droits (article 28(3)(e))
- Assister le responsable pour la notification de violation, l’AIPD, la consultation préalable (article 28(3)(f))
- Restituer ou supprimer les données en fin de contrat (article 28(3)(g))
- Fournir les informations d’audit (article 28(3)(h))
- Tenir un registre des traitements (article 30(2))
- Notifier les violations au responsable (article 33(2))
Obligations de co-responsabilité (article 26)
- Signer un accord de co-responsabilité déterminant les responsabilités respectives
- Mettre l’essence de l’accord à disposition des personnes concernées
- Les personnes concernées peuvent exercer leurs droits contre l’un ou l’autre des responsables
5. Allocation de responsabilité
| Manquement | Responsable | Sous-traitant |
|---|---|---|
| Absence de base légale | ✅ | — |
| Avis de confidentialité inadéquat | ✅ | — |
| Non-respect des demandes de droits | ✅ | Partiel (doit assister) |
| Mesures de sécurité inadéquates | ✅ | ✅ |
| Notification de violation manquée | ✅ | Partiel (doit notifier le responsable) |
| Sous-traitant ultérieur sans autorisation | — | ✅ |
| Traitement au-delà des instructions | — | ✅ (devient responsable pour ce traitement) |
| Manquement à la tenue du registre | ✅ | ✅ (chacun pour le sien) |
Un sous-traitant qui traite des données au-delà de ses instructions est réputé être responsable pour ce traitement (article 28(10)) — perdant la protection limitée de son statut de sous-traitant. C’est pourquoi les vendeurs SaaS sous-traitants sont extrêmement prudents sur l’usage « secondaire » des données client.
6. Mauvaises qualifications courantes
« Notre partenaire analytics est juste un sous-traitant »
Si le vendeur analytics utilise les données client pour améliorer ses propres algorithmes, construire des benchmarks agrégés pour d’autres clients, ou monétiser les insights, il a sa propre finalité. Co-responsable au mieux, responsable indépendant au pire.
« Notre passerelle de paiement est sous-traitant »
Pour l’exécution du paiement elle-même : oui, sous-traitant. Mais pour la détection de fraude (où la passerelle utilise les données de transaction de tous ses clients pour entraîner son modèle) : co-responsable.
« Les sous-traitants ultérieurs de notre fournisseur cloud ne sont pas notre problème »
L’article 28(2) et 28(4) rendent l’autorisation du responsable requise pour les sous-traitants ultérieurs et rendent le sous-traitant initial responsable des manquements des sous-traitants ultérieurs. Les responsables doivent approuver la liste de sous-traitants ultérieurs et examiner la chaîne.
« Nous sommes sous-traitant pour notre client, mais nous utilisons les données pour améliorer notre service »
Si « amélioration » signifie utiliser les données client pour entraîner des modèles ou construire des fonctionnalités pour d’autres clients, vous avez basculé en territoire de responsable. Soit séparez l’usage d’amélioration sous un consentement séparé, soit restructurez l’architecture.
7. Le cas de co-responsabilité (article 26)
Lorsque deux parties déterminent conjointement les finalités et les moyens, aucune n’est sous-traitant pur. L’article 26 requiert un accord de co-responsabilité allouant les responsabilités respectives et mettant l’essence de l’accord à disposition des personnes concernées.
Scénarios courants de co-responsabilité :
- Opérateur de site + plateforme sociale (Facebook Pixel, LinkedIn Insight Tag)
- Deux sociétés menant une campagne marketing conjointe
- Un marchand + une marketplace (Amazon, Shopify) pour certains traitements
- Une école + une fédération sportive pour les données d’élèves athlètes
Pour les détails, voir notre Article 28 vs Article 26 RGPD.
8. Arbre de décision pratique
Question 1 : Le destinataire traite-t-il les données pour son propre
compte (finalité propre, bénéfice au-delà des frais
contractuels) ?
OUI → Le destinataire est responsable (indépendant ou conjoint)
NON → Continuer à la question 2
Question 2 : Le destinataire détermine-t-il les moyens essentiels
(catégories de données, conservation, destinataires,
niveau de sécurité) ?
OUI → Le destinataire est responsable (indépendant ou conjoint)
NON → Continuer à la question 3
Question 3 : Les instructions du responsable sont-elles documentées
dans un contrat satisfaisant à l'article 28 ?
OUI → Le destinataire est sous-traitant
NON → Manquement à la conformité — soit signer un contrat article 28
soit traiter le destinataire comme responsable indépendant
9. Outillage
Legiscope audite les contrats fournisseurs pour déterminer la qualification responsable/sous-traitant automatiquement : analyse des DPA, identification des clauses indiquant une finalité autonome ou la détermination de moyens essentiels, alerte sur les scénarios de co-responsabilité. Pour un SaaS avec 30+ fournisseurs, l’audit prend quelques minutes.
Pour le contexte connexe : guide complet article 28 RGPD, modèle DPA, checklist audit sous-traitants, data privacy compliance guide.
Conclusion
La distinction responsable/sous-traitant ne dépend pas de la taille de l’entreprise, de la valeur du contrat ou de la durée de la relation — elle dépend de si le destinataire a sa propre finalité et détermine les moyens essentiels. Les coûts d’une mauvaise qualification : structure de contrat erronée, allocation de responsabilité erronée, et exposition à une requalification CNIL avec sanctions rétroactives. Appliquez le test à trois questions rigoureusement, en particulier pour les analytics, les plateformes marketing et les partenaires de paiement.
FAQ
Quel est le test le plus simple pour responsable vs sous-traitant ?
Trois questions : (1) la partie B traite-t-elle les données pour sa propre finalité ? (2) B détermine-t-elle les moyens essentiels (catégories, conservation, destinataires, niveau de sécurité) ? (3) B retire-t-elle un bénéfice indépendant des frais contractuels ? Si oui à l’une des trois, B est responsable, pas sous-traitant.
Une seule entité peut-elle être à la fois responsable et sous-traitant ?
Pour des activités de traitement différentes, oui — courant pour les sociétés qui traitent leurs propres données employés (responsable) et fournissent des services à des clients (sous-traitant). Pour la même activité de traitement, non — les qualifications sont mutuellement exclusives.
Que se passe-t-il si un sous-traitant dépasse les instructions du responsable ?
L’article 28(10) RGPD prévoit que le sous-traitant devient responsable pour ce traitement excédentaire — perdant la protection limitée de son statut de sous-traitant et encourant pleinement les obligations et amendes du responsable.
Les fournisseurs cloud sont-ils toujours sous-traitants ?
Pour le pur stockage cloud et le calcul : oui. Mais les fournisseurs cloud offrant des services analytics, des API IA/ML qui utilisent les données client pour l’entraînement de modèles, ou des benchmarks agrégés entre clients peuvent être co-responsables pour ces services spécifiques.
Faut-il un DPA avec un co-responsable ?
Vous avez besoin d’un accord de co-responsabilité au titre de l’article 26, qui alloue les responsabilités respectives. C’est différent d’un DPA (qui est pour les sous-traitants). Les deux ne sont pas interchangeables. Certaines relations requièrent les deux — DPA pour les services sous-traitant, accord de co-responsabilité pour les opérations conjointes.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial