Le RGPD a transformé le statut du sous-traitant : d’un simple exécutant sans obligation directe, il est devenu un acteur à part entière de la conformité. L’Art. 28 RGPD impose des clauses contractuelles obligatoires, et les sous-traitants RGPD sont désormais directement sanctionnables par les autorités de contrôle. La CNIL a infligé en 2023 une amende de 525 000 euros à un sous-traitant pour manquement à ses obligations propres de sécurité.
Points Clés
- L’Art. 28(3) RGPD impose neuf clauses obligatoires dans tout contrat entre responsable de traitement et sous-traitant.
- Le sous-traitant ne peut recruter un autre sous-traitant (sous-traitant ultérieur) qu’avec l’autorisation écrite du responsable de traitement (Art. 28(2) RGPD).
- Depuis le RGPD, le sous-traitant est directement responsable en cas de manquement à ses obligations propres (Art. 82(2) RGPD) et directement sanctionnable (Art. 83 RGPD).
- Le sous-traitant a une obligation propre de tenue du registre des traitements (Art. 30(2) RGPD), limitée aux catégories de traitements réalisés pour le compte de chaque responsable.
- La CNIL recommande un audit régulier des sous-traitants, avec des clauses contractuelles permettant des contrôles sur site ou à distance.
Définition et cadre juridique
L’Art. 4(8) RGPD définit le sous-traitant comme :
« la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. »
Le critère déterminant est l’expression « pour le compte de » : le sous-traitant agit sur instruction du responsable de traitement et ne détermine ni les finalités ni les moyens essentiels du traitement.
Exemples courants de sous-traitants :
- Hébergeur cloud (AWS, OVHcloud, Azure)
- Prestataire de paie externalisée
- Éditeur de solution SaaS traitant des données clients
- Prestataire de campagnes d’emailing
- Société de maintenance informatique ayant accès aux données
Clauses obligatoires du contrat Art. 28(3) RGPD
L’Art. 28(3) RGPD exige que le traitement par un sous-traitant soit régi par un contrat ou un acte juridique contenant au minimum les clauses suivantes :
1. Objet et durée du traitement : le contrat doit définir précisément la nature et la finalité du traitement, le type de données personnelles traitées, les catégories de personnes concernées et la durée.
2. Instructions documentées : le sous-traitant ne traite les données que sur instruction documentée du responsable de traitement. Si le sous-traitant estime qu’une instruction viole le RGPD, il doit en informer immédiatement le responsable (Art. 28(3), alinéa a).
3. Confidentialité : le sous-traitant veille à ce que les personnes autorisées à traiter les données se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité (Art. 28(3)(b)).
4. Sécurité : le sous-traitant met en oeuvre les mesures de sécurité requises par l’Art. 32 RGPD, incluant le chiffrement, la pseudonymisation, la résilience des systèmes et les tests réguliers.
5. Sous-traitance ultérieure : le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable du responsable (Art. 28(2) RGPD). En cas d’autorisation générale, le sous-traitant informe le responsable de tout changement, qui peut s’y opposer.
6. Assistance au responsable : le sous-traitant aide le responsable à répondre aux demandes d’exercice de droits des personnes (Art. 28(3)(e)).
7. Assistance pour les obligations de sécurité et de notification : le sous-traitant aide le responsable à respecter ses obligations au titre des Art. 32 à 36 RGPD, incluant la notification des violations et l’analyse d’impact (Art. 28(3)(f)).
8. Sort des données en fin de contrat : à la fin de la prestation, le sous-traitant supprime ou restitue toutes les données personnelles, selon le choix du responsable, et détruit les copies existantes sauf obligation légale de conservation (Art. 28(3)(g)).
9. Audit et contrôle : le sous-traitant met à la disposition du responsable toutes les informations nécessaires pour démontrer la conformité et permet la réalisation d’audits, y compris des inspections (Art. 28(3)(h)).
Sous-traitant ultérieur : chaîne de responsabilité
L’Art. 28(2) RGPD prévoit deux modalités d’autorisation :
Autorisation spécifique : le responsable autorise nommément chaque sous-traitant ultérieur. C’est la modalité la plus protectrice.
Autorisation générale : le responsable donne une autorisation de principe, mais le sous-traitant doit l’informer de tout ajout ou remplacement de sous-traitant ultérieur. Le responsable dispose d’un droit d’opposition : s’il s’oppose, le sous-traitant ne peut pas engager le sous-traitant ultérieur.
L’Art. 28(4) RGPD impose que le sous-traitant ultérieur soit soumis aux mêmes obligations que celles prévues dans le contrat initial. Le sous-traitant initial reste pleinement responsable devant le responsable de traitement de l’exécution des obligations par le sous-traitant ultérieur.
En pratique, la gestion de la chaîne de sous-traitance est l’un des points les plus complexes. La CNIL recommande de :
- Maintenir une liste à jour des sous-traitants ultérieurs
- Prévoir un mécanisme de notification et d’opposition dans le contrat
- Vérifier que les contrats avec les sous-traitants ultérieurs contiennent les mêmes garanties
Legiscope permet d’automatiser le suivi des chaînes de sous-traitance en centralisant les contrats, les listes de sous-traitants ultérieurs et les dates de révision dans un registre unique.
Obligations propres du sous-traitant
Contrairement à la directive 95/46/CE qui ne visait que le responsable de traitement, le RGPD impose des obligations directes au sous-traitant :
Registre des traitements (Art. 30(2) RGPD) : le sous-traitant doit tenir un registre des catégories d’activités de traitement effectuées pour le compte de chaque responsable, incluant le nom du responsable, les catégories de traitements, les transferts internationaux et les mesures de sécurité.
Désignation d’un DPO (Art. 37 RGPD) : lorsque les conditions de l’Art. 37 sont remplies, le sous-traitant doit désigner un délégué à la protection des données.
Sécurité (Art. 32 RGPD) : le sous-traitant est tenu de mettre en oeuvre des mesures de sécurité appropriées au risque, indépendamment des instructions du responsable.
Notification des violations (Art. 33(2) RGPD) : le sous-traitant doit notifier le responsable de traitement dans les meilleurs délais après avoir pris connaissance d’une violation de données.
Coopération avec l’autorité de contrôle (Art. 31 RGPD) : le sous-traitant doit coopérer avec l’autorité de contrôle lorsque celle-ci le demande.
Responsabilité et sanctions
L’Art. 82(2) RGPD établit un régime de responsabilité directe du sous-traitant :
« Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou s’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. »
CNIL, Délibération n°SAN-2023-005 du 24 mai 2023 : la CNIL a sanctionné la société Tagadamedia (sous-traitant) de 75 000 euros pour manquement aux obligations propres du sous-traitant en matière de collecte de consentement, confirmant que le sous-traitant est directement sanctionnable.
CNIL, Délibération n°SAN-2022-022 du 29 décembre 2022 : Dedalus Biologie, éditeur de logiciels pour les laboratoires (sous-traitant), a reçu une amende de 1,5 million d’euros pour un défaut de sécurité ayant conduit à la fuite de données médicales de près de 500 000 patients. Le sous-traitant a été sanctionné sur la base de l’Art. 32 RGPD (sécurité) et de l’Art. 29 RGPD (traitement uniquement sur instruction).
DPC (Irlande), décembre 2022 : Meta/WhatsApp a reçu une amende de 5,5 millions d’euros incluant des manquements liés à la qualification des rôles (responsable/sous-traitant) dans le cadre du partage de données au sein du groupe Meta.
Bonnes pratiques pour les sous-traitants
Documenter les instructions : conservez une trace écrite de toutes les instructions reçues du responsable de traitement. En cas de litige, cette documentation est la preuve que vous avez agi dans le cadre de vos attributions.
Alerter sur les instructions non conformes : l’Art. 28(3)(a) vous oblige à informer immédiatement le responsable si vous estimez qu’une instruction viole le RGPD. Ne pas alerter engage votre responsabilité.
Sécuriser la chaîne de sous-traitance : contractualisez systématiquement avec vos propres sous-traitants et vérifiez que les garanties sont au même niveau que celles exigées par le responsable.
Préparer les audits : mettez à disposition du responsable les éléments de preuve de votre conformité (certifications ISO 27001, rapports SOC 2, résultats de tests d’intrusion, politiques de sécurité).
Legiscope automatise la génération des clauses Art. 28 et le suivi des obligations contractuelles, avec des alertes de renouvellement et un tableau de bord centralisé pour les audits de sous-traitants.
FAQ
Le sous-traitant doit-il obligatoirement signer un contrat Art. 28 RGPD ?
Oui. L’Art. 28(3) RGPD impose que le traitement soit régi par un contrat ou un acte juridique. L’absence de contrat constitue un manquement tant pour le responsable que pour le sous-traitant. La CNIL considère que les conditions générales de service peuvent servir de support, à condition qu’elles contiennent les neuf clauses obligatoires de l’Art. 28(3).
Le sous-traitant peut-il utiliser les données pour ses propres finalités ?
Non. L’Art. 28(10) RGPD est explicite : si un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme responsable de traitement pour ce traitement. Cela signifie qu’il viole le contrat Art. 28 et s’expose à l’ensemble des obligations et sanctions applicables au responsable de traitement.
Quelle différence entre autorisation spécifique et autorisation générale pour les sous-traitants ultérieurs ?
L’autorisation spécifique nomme explicitement chaque sous-traitant ultérieur et nécessite un nouvel accord pour tout changement. L’autorisation générale permet au sous-traitant de recruter des sous-traitants ultérieurs librement, sous réserve d’informer le responsable et de lui laisser la possibilité de s’opposer. Dans les deux cas, le sous-traitant initial reste responsable du respect des obligations par le sous-traitant ultérieur (Art. 28(4) RGPD).
Le sous-traitant peut-il être sanctionné directement par la CNIL ?
Oui. Depuis le RGPD, le sous-traitant est directement sanctionnable au titre de l’Art. 83 RGPD pour les manquements à ses obligations propres. La sanction de Dedalus Biologie (1,5 million d’euros, 2022) en est l’illustration la plus marquante en France. Le sous-traitant peut également être tenu responsable des dommages causés aux personnes concernées au titre de l’Art. 82(2) RGPD.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial
