← Protection des données personnelles
Qui est sous-traitant au sens du RGPD ?
L'article 4, paragraphe 8 du RGPD définit le sous-traitant comme la personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement. Cette définition est large : dès lors qu'un prestataire accède à des données personnelles dans le cadre de sa mission — même sans les exploiter directement — il est qualifié de sous-traitant.
En pratique, sont concernés : les hébergeurs et fournisseurs cloud, les éditeurs de logiciels SaaS (CRM, RH, paie, messagerie), les prestataires d'infogérance, les agences de communication qui gèrent vos bases de contacts, les cabinets de comptabilité qui traitent des données de salariés, les sociétés de maintenance informatique ayant accès à vos systèmes.
💡 À noter : un prestataire peut être à la fois sous-traitant pour certaines prestations et responsable de traitement pour d'autres. La qualification dépend de chaque traitement, pas du prestataire en tant que tel.
L'obligation de conclure un contrat de sous-traitance
L'article 28, paragraphe 3 du RGPD est explicite : le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre. Ce contrat — souvent appelé DPA (Data Processing Agreement) — est obligatoire. Son absence constitue un manquement au RGPD susceptible d'être sanctionné.
Ce que le contrat doit obligatoirement contenir
L'article 28, paragraphe 3 du RGPD liste précisément les clauses que le contrat de sous-traitance doit comprendre. Aucune de ces mentions ne peut être omise.
Article 28(3), RGPD · Contenu obligatoire du contrat de sous-traitance
Le contrat prévoit que le sous-traitant : ne traite les données que sur instruction documentée du responsable du traitement ; garantit la confidentialité des personnes autorisées à traiter les données ; prend toutes les mesures de sécurité requises (article 32) ; respecte les conditions pour recourir à un autre sous-traitant ; aide le responsable à répondre aux demandes d'exercice des droits ; aide le responsable à respecter ses obligations de sécurité, notification de violations et AIPD ; supprime ou restitue les données à l'issue du contrat ; met à disposition toutes les informations nécessaires pour démontrer le respect de ces obligations.
Les clauses sur la sous-traitance en cascade
Votre sous-traitant peut lui-même faire appel à des prestataires — c'est la sous-traitance en cascade ou sous-traitance ultérieure. Le RGPD l'autorise, mais encadre strictement les conditions : le sous-traitant initial doit obtenir l'autorisation préalable du responsable du traitement (soit spécifique pour chaque nouveau sous-traitant, soit générale avec information préalable). Il doit également imposer à tout sous-traitant ultérieur les mêmes obligations que celles prévues dans son contrat avec le responsable de traitement.
Les clauses sur les transferts hors Union européenne
Si votre sous-traitant héberge ou transfère des données en dehors de l'Union européenne — notamment vers les États-Unis via des services cloud américains — le contrat doit prévoir les garanties appropriées : clauses contractuelles types adoptées par la Commission européenne, certification adéquate ou autre mécanisme reconnu par le RGPD (article 46).
Comment vérifier la conformité de vos contrats existants
La première étape est d'inventorier tous vos prestataires qui accèdent à des données personnelles. La deuxième est de vérifier qu'un DPA existe pour chacun d'eux. La troisième est de contrôler que chaque DPA couvre bien l'ensemble des clauses obligatoires de l'article 28(3). En pratique, de nombreux éditeurs SaaS proposent leurs propres DPA — il convient de vérifier qu'ils respectent effectivement les exigences du RGPD et ne se contentent pas d'une formulation vague.
La gestion des contrats de sous-traitance fait partie des missions courantes du délégué à la protection des données. Un DPO externe peut vous accompagner dans l'audit de vos contrats existants et la mise en place de modèles adaptés à votre activité.
Vous souhaitez auditer vos contrats de sous-traitance ?
Je suis disponible pour en discuter.