Décryptage complet de l’article 28 du RGPD
Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.
Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique qui lie le sous-traitant à l’égard du responsable du traitement, et définit notamment l’objet, la durée du traitement, la nature, la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les obligations et droits du responsable du traitement. Ce contrat prévoit, notamment, que le sous-traitant :
- Ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement.
- Veille à ce que les personnes autorisées à traiter les données respectent la confidentialité.
- Prend toutes les mesures requises en vertu de l’article 32.
- Respecte les conditions pour recruter un autre sous-traitant.
- Aide le responsable du traitement à répondre aux demandes des personnes concernées.
- Aide le responsable à garantir le respect des obligations prévues aux articles 32 à 36.
- Supprime ou renvoie les données à la fin du contrat.
- Met à disposition du responsable les informations nécessaires pour démontrer le respect du règlement et permettre des audits.
Lorsqu’un sous-traitant recrute un autre sous-traitant, les mêmes obligations en matière de protection de données sont imposées à cet autre sous-traitant par contrat.
L’application, par un sous-traitant, d’un code de conduite approuvé ou d’un mécanisme de certification peut servir d’élément pour démontrer l’existence des garanties suffisantes.
Le contrat peut être fondé sur les clauses contractuelles types établies par la Commission ou une autorité de contrôle, conformément au règlement.
Si un sous-traitant détermine les finalités et les moyens du traitement en violation du règlement, il est considéré comme responsable du traitement pour ce qui concerne ce traitement.
Qui est considéré comme sous-traitant au sens du RGPD ?
Un sous-traitant, c’est un tiers qui manipule des données personnelles pour le compte d’un autre.
Il exécute, mais ne décide jamais des finalités ni des moyens principaux du traitement.
Voici 2 exemples typiques :
- Un prestataire cloud qui stocke les données clients d’un site e-commerce.
- Une agence marketing qui envoie des newsletters pour une marque.
👉 Attention : ne pas confondre sous-traitant et prestataire classique.
Un prestataire classique fournit un service ou un outil sans accéder ni manipuler directement des données personnelles pour votre compte.
Exemples : un fournisseur de logiciels, un vendeur de matériel informatique, ou un imprimeur si vous lui donnez seulement un modèle sans données nominatives.
La différence est critique :
- Sous-traitant = obligations RGPD strictes (contrat article 28, mesures de sécurité, assistance aux droits, audits).
- Prestataire classique = vigilance contractuelle classique, sans formalités RGPD spécifiques.
Pourquoi les sous-traitants font exploser votre risque RGPD
Un sous-traitant mal cadré, c’est une bombe à retardement pour votre entreprise.
Une seule faille dans leur sécurité, un seul contrat mal ficelé… et c’est vous qui payez : amendes, perte de clients, réputation ruinée.
La majorité des violations RGPD viennent de là. Si vous ne verrouillez pas vos sous-traitants dès aujourd’hui, vous laissez votre entreprise sans protection.
Les obligations clés à retenir absolument
Afin de se conformer à l’article 28 du RGPD, plusieurs obligations s’imposent :
1. Signer un contrat en bonne et due forme
❌ Aucun accord oral ou arrangement implicite n’est valable : tout doit être formalisé par écrit
Le contrat doit préciser :
- Qui fait quoi.
- Pendant combien de temps.
- Quelles données sont concernées.
- Dans quel but elles sont traitées.
2. Sécuriser les données (pas d’excuses)
Un sous-traitant n’a pas le droit à l’approximation. Il doit mettre en œuvre et démontrer des mesures de sécurité solides, notamment :
- Antivirus et pare-feu mis à jour en permanence.
- Chiffrement systématique des données sensibles, au repos et en transit.
- Accès ultra-restreints : seuls les collaborateurs autorisés doivent accéder aux données, selon un principe strict du besoin d’en connaître.
3. Pas de sous-traitance secondaire sans autorisation formelle
Un sous-traitant n’a pas le droit de confier vos données à un tiers, sauf si vous lui avez expressément accordé ce droit par écrit.
Sans validation écrite de votre part, toute sous-traitance est interdite.
4. Aider à gérer les droits des personnes concernées
Quand une personne exerce un droit RGPD (accès, rectification, effacement…), vous, en tant que responsable de traitement, êtes en première ligne.
Mais si les données sont chez votre sous-traitant, il doit agir rapidement pour vous permettre de répondre dans les délais légaux.
Concrètement, son aide doit inclure :
- Accès rapide aux données pour extraire les informations demandées.
- Modification ou suppression immédiate sur instruction.
- Signalement sans délai en cas de difficulté ou d’impossibilité d’exécution.
5. Restituer ou détruire les données en fin de mission
À la fin du contrat, un sous-traitant doit immédiatement restituer ou détruire toutes les données personnelles traitées pour votre compte.
Pas de copie cachée, pas d’archivage personnel : tout doit disparaître ou être transmis en toute sécurité, sur vos instructions.
Vous faites appel à une agence marketing pour gérer vos campagnes d’emailing. À la fin du contrat, l’agence doit :
Soit fournir une preuve de destruction totale (ex : certificat d’effacement conforme aux standards RGPD).
Soit vous renvoyer la base de données clients (sur un support sécurisé).
Checklist – Clauses essentielles à intégrer dans votre contrat
On nous demande souvent ce que doit contenir un contrat RGPD avec un sous traitant. Pour augmenter votre conformité, pensez à utiliser la checklist dans votre modèle de contrat sous-traitant :
✅ Checklist RGPD – Contrat de sous-traitance
Pourquoi respecter l’article 28 est vital : risques et actions concrètes
Concrètement, ne pas respecter les obligations de l’article 28 peut coûter cher, autant financièrement qu’en termes d’image. Pour bien comprendre ce qui peut arriver concrètement, voici deux exemples tirés de situations réelles.
Absence de contrat écrit = mise en demeure publique
Contexte :
En 2021, une société immobilière confie la gestion de ses annonces à un prestataire sans signer de contrat formel conforme à l’article 28.
Problèmes repérés :
- Aucun document précisant les mesures de sécurité attendues.
- Sous-traitance secondaire réalisée sans autorisation du responsable.
- Utilisation des données sans limitation claire.
Sanction :
- Mise en demeure par la CNIL.
- Exposition publique de la non-conformité (perte d’image immédiate).
- Obligation de réviser d’urgence tous les contrats sous peine d’amendes.
✅ Action immédiate à prendre :
- Documentez toutes les validations contractuelles dans un registre accessible.
- Vérifiez que chaque sous-traitant a un contrat RGPD signé listant les obligations de sécurité, la sous-traitance secondaire, et les durées de conservation.
- Ajoutez une clause d’interdiction d’utilisation des données en dehors du cadre défini.
🔍 À retenir :
Même pour des missions du quotidien (hébergement, ménage, technique, marketing), un contrat écrit est indispensable pour garantir votre conformité.
Défaut de vérification des mesures de sécurité = co-responsabilité
Contexte :
Une entreprise transfère des données sensibles à un sous-traitant sans vérifier ses protections techniques. Bilan : accès non protégés, mots de passe faibles, fuite de données.
Problèmes identifiés :
- Aucune vérification avant et pendant la mission.
- Pas d’audit ni de contrôle des mesures promises dans le contrat.
Sanction :
- Responsabilité partagée : le responsable de traitement a été sanctionné au même titre que le sous-traitant.
- Amendes financières + perte de crédibilité institutionnelle.
✅ Action immédiate à prendre :
- Prévoyez des audits réguliers dans vos contrats (au minimum une fois par an pour les prestataires critiques).
- Organisez un audit de sécurité initial avant de confier des données sensibles.
- Exigez des preuves documentées des mesures de sécurité : scans antivirus, politique de mots de passe, rapport de tests de vulnérabilité.
🔍 À retenir :
Signer un contrat ne suffit pas. Il est essentiel de réaliser des audits réguliers et d’exiger des preuves concrètes de conformité.
Sous-traitant ou responsable de traitement : qui fait quoi ?
Voici les principales différences entre responsable traitement / sous-traitant RGPD
| Rôle | Responsable du traitement | Sous-traitant |
|---|---|---|
| Prend les décisions sur les données | Oui | Non |
| Détermine les finalités du traitement | Oui | Non |
| Interagit directement avec les personnes concernées | Oui | Non (sauf sur instruction) |
FAQ – Questions fréquentes
Quelle est la différence entre un sous-traitant RGPD et un prestataire technique classique ?
Un sous-traitant traite effectivement des données personnelles pour le compte d’un autre, tandis qu’un prestataire classique (ex : hébergeur sans accès aux données, fournisseur de matériel) peut n’avoir aucun accès réel aux données personnelles.
Conséquence pratique :
Prestataire classique = vigilance contractuelle sur les clauses de confidentialité, mais sans formalisme RGPD strict.
Sous-traitant = contrat RGPD obligatoire (article 28).
Peut-on utiliser des sous-traitants situés en dehors de l’Union européenne ?
Oui, mais :
- Ou prévoir des clauses contractuelles types.
- S’assurer d’un niveau de protection équivalent (décision d’adéquation).
Que doit contenir un bon contrat de sous-traitance RGPD ?
Un contrat conforme doit impérativement préciser :
- Les finalités du traitement et les types de données concernées.
- Les obligations précises du sous-traitant (confidentialité, sécurité, assistance).
- Les conditions d’autorisation pour toute sous-traitance secondaire.
- Les modalités de restitution ou destruction des données à la fin de la mission.
- Le droit d’audit du responsable du traitement.
Est-il obligatoire de vérifier la sécurité de ses sous-traitants après signature du contrat ?
Oui. Signer ne suffit pas : le responsable du traitement reste tenu de vérifier régulièrement que son sous-traitant applique bien les mesures promises.
Cela passe par :
- Des audits de conformité annuels.
- La demande de rapports de sécurité.
- Des revues périodiques des accès et des incidents.
Peut-on poursuivre directement un sous-traitant ?
Oui. Si un sous-traitant manque à ses obligations (sécurité, respect des droits), une personne concernée peut le poursuivre directement devant les tribunaux civils.
