Lorsqu'une entreprise fait appel à un cabinet de gestion de la paie, utilise un logiciel RH en mode cloud ou externalise son service client, les données personnelles de ses employés et de ses clients quittent ses systèmes pour être traitées par un tiers. Le Règlement (UE) 2016/679 (RGPD — Règlement général sur la protection des données) dispose d'un mécanisme spécifique pour régir cette relation : le contrat de sous-traitance prévu à l'article 28. Mais avant de signer ce contrat — ou de l'exiger à un prestataire — il est indispensable d'avoir clairement établi qui est le responsable du traitement et qui est le sous-traitant. La confusion entre ces deux figures est l'une des erreurs les plus fréquentes dans la mise en conformité au RGPD et peut entraîner des conséquences dans le cadre du régime des sanctions prévu à l'article 83.
Chez Summum Consultoría, nous accompagnons les organisations de Castille-et-León et des îles Canaries dans leur mise en conformité au RGPD, notamment pour l'identification des sous-traitants, la rédaction des contrats de l'article 28 et la gestion des sous-traitants ultérieurs. Cet article résume ce que vous devez savoir sur ces deux figures avec une rigueur normative complète.
Qu'est-ce que le responsable du traitement ?
L'article 4.7 du RGPD définit le responsable du traitement comme « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel ». Le terme clé est détermine : le responsable est celui qui décide pourquoi les données sont traitées (la finalité) et comment elles le sont (les moyens essentiels). Il n'est pas nécessaire qu'il traite les données directement ; ce qui importe, c'est qui prend ces décisions.
Exemples courants de responsable du traitement :
- Une entreprise qui collecte des données clients pour gérer les commandes et la facturation.
- Un établissement scolaire qui traite les données des élèves et des familles à des fins de gestion académique.
- Une clinique qui tient les dossiers médicaux de ses patients.
- Un travailleur indépendant qui utilise un CRM pour gérer son portefeuille de contacts commerciaux.
Le responsable du traitement est celui qui doit respecter les principes de l'article 5 du RGPD (licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité), qui doit répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, limitation, opposition) et qui rend compte devant l'AEPD (Agencia Española de Protección de Datos — Agence espagnole de protection des données) en cas de manquement.
Qu'est-ce que le sous-traitant ?
L'article 4.8 du RGPD définit le sous-traitant comme « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». La différence essentielle par rapport au responsable réside dans le fait que le sous-traitant ne détermine ni les finalités ni les moyens essentiels du traitement : il agit sur les instructions du responsable.
Exemples courants de sous-traitant :
- Un cabinet social ou fiscal qui traite les données des salariés pour établir les bulletins de paie pour le compte de l'entreprise cliente.
- Un prestataire d'hébergement ou d'infrastructure cloud qui héberge les serveurs sur lesquels le responsable stocke ses bases de données.
- Un logiciel RH en mode SaaS (Software as a Service) qui stocke et traite des données de salariés.
- Une entreprise de livraison qui reçoit les données des destinataires pour livrer des colis pour le compte d'un site de commerce électronique.
- Un centre d'appels qui traite les appels clients en utilisant les informations du responsable.
Le sous-traitant peut prendre des décisions sur les moyens techniques ou organisationnels du traitement (quel serveur utiliser, quel système de chiffrement appliquer), mais il ne peut modifier ni la finalité ni les moyens essentiels sans instruction expresse du responsable. S'il le fait, il est considéré comme responsable du traitement à tous les effets, avec les conséquences en matière de responsabilité que cela implique.
Principales différences entre responsable et sous-traitant
Le tableau suivant résume les principales différences entre ces deux figures au regard du RGPD :
| Critère | Responsable du traitement | Sous-traitant |
|---|---|---|
| Définition (RGPD art. 4) | Art. 4.7 : détermine les finalités et les moyens du traitement | Art. 4.8 : traite les données pour le compte du responsable |
| Décision sur la finalité | Oui, il la détermine | Non ; il suit les instructions du responsable |
| Base juridique | Doit l'identifier et la documenter (art. 6 RGPD) | N'a pas besoin d'une base juridique propre ; agit sur mandat |
| Registre des activités de traitement | Obligatoire (art. 30.1 RGPD) | Obligatoire (art. 30.2 RGPD), avec un contenu différent |
| Contrat obligatoire | Doit l'exiger du sous-traitant (art. 28.3 RGPD) | Doit le signer avec le responsable et, le cas échéant, avec les sous-traitants ultérieurs |
| Responsabilité envers les personnes concernées | Directe (art. 82.2 RGPD) | Solidaire en cas de manquement à ses obligations (art. 82.2 RGPD) |
| Notification des violations | Notifie l'AEPD dans les 72 heures (art. 33 RGPD) | Notifie le responsable sans délai indu (art. 33.2 RGPD) |
Le contrat de sous-traitance : art. 28 du RGPD
L'article 28 du RGPD prévoit que le responsable du traitement ne recourt qu'à des sous-traitants présentant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées, et que le traitement par le sous-traitant est régi par un contrat ou un autre acte juridique qui lie le sous-traitant à l'égard du responsable.
Ce contrat — désigné dans la pratique sous le terme de « DPA » (Data Processing Agreement) ou « contrat de sous-traitance au sens de l'art. 28 RGPD » — n'est pas un simple annexe au contrat commercial : c'est une obligation autonome de conformité dont l'absence constitue une infraction au RGPD. L'AEPD vérifie l'existence et le contenu de ces contrats lors de ses contrôles.
Contenu obligatoire du contrat (art. 28.3 RGPD)
L'article 28.3 du RGPD énumère de manière détaillée les clauses que le contrat de sous-traitance doit contenir. Toutes sont obligatoires ; l'omission de l'une d'elles ne rend pas le contrat inexistant, mais peut constituer une infraction distincte. Le contrat doit stipuler que le sous-traitant :
- Traite les données à caractère personnel uniquement sur instruction documentée du responsable, y compris en ce qui concerne les transferts internationaux (sauf s'il est tenu d'y procéder en vertu du droit de l'Union ou de l'État membre, auquel cas il en informe le responsable).
- Veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
- Prend toutes les mesures de sécurité requises en vertu de l'article 32 du RGPD.
- Respecte les conditions applicables au recours à un autre sous-traitant (sous-traitants ultérieurs), conformément aux paragraphes 2 et 4 de l'article 28.
- Tient compte de la nature du traitement et aide le responsable, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées.
- Aide le responsable à garantir le respect des obligations relatives à la sécurité, à la notification des violations, aux analyses d'impact et aux consultations préalables auprès de l'autorité (art. 32 à 36 RGPD).
- Au choix du responsable, supprime ou renvoie toutes les données à caractère personnel à l'issue de la prestation de services de traitement, et détruit les copies existantes, à moins que le droit de l'Union ou de l'État membre n'exige la conservation des données.
- Met à la disposition du responsable toutes les informations nécessaires pour apporter la preuve du respect des obligations prévues à l'article 28, et pour permettre la réalisation d'audits et d'inspections par le responsable ou un autre auditeur mandaté par lui.
Au-delà du contenu minimal de l'art. 28.3, le contrat doit décrire l'objet, la durée, la nature et la finalité du traitement, le type de données à caractère personnel concernées et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable. Sans ces éléments descriptifs, le contrat ne remplit pas sa fonction réglementaire et n'est pas vérifiable par l'AEPD.
Les sous-traitants ultérieurs : art. 28.2 et 28.4 du RGPD
Dans de nombreuses situations, le sous-traitant doit à son tour sous-traiter une partie du traitement à un tiers. Le RGPD le permet, mais à des conditions strictes régies par les articles 28.2 et 28.4.
Le sous-traitant ne peut recourir à un autre sous-traitant (sous-traitant ultérieur) sans autorisation préalable du responsable. Cette autorisation peut être :
- Spécifique : le responsable approuve chaque sous-traitant ultérieur au cas par cas.
- Générale et écrite : le responsable autorise par avance le sous-traitant à recourir à d'autres sous-traitants, mais ce dernier doit informer le responsable de tout changement prévu (ajout ou remplacement), donnant ainsi au responsable la possibilité de s'y opposer. C'est la modalité la plus répandue dans les contrats avec les prestataires SaaS et cloud.
Lorsque le sous-traitant recourt à un sous-traitant ultérieur, il doit lui imposer les mêmes obligations en matière de protection des données que celles prévues dans le contrat conclu avec le responsable (art. 28.4 RGPD). Si le sous-traitant ultérieur manque à ses obligations, le sous-traitant initial demeure pleinement responsable à l'égard du responsable de ce manquement. La chaîne de responsabilité s'étend donc vers le bas : le sous-traitant ne peut s'exonérer de sa responsabilité en invoquant que c'est le sous-traitant ultérieur qui a failli.
Dans la pratique, les grands prestataires cloud (AWS, Google Cloud, Microsoft Azure) publient leurs listes de sous-traitants ultérieurs et mettent régulièrement à jour le contrat DPA conclu avec leurs clients. Vérifier que ces listes sont accessibles et qu'un mécanisme réel d'opposition existe fait partie du processus de diligence raisonnable que Summum Consultoría mène lorsqu'elle accompagne les organisations dans leur mise en conformité au RGPD.
Exemples pratiques : qui est sous-traitant et ce qu'exige le contrat
Le cabinet de gestion sociale ou fiscale
Une entreprise fait appel à un cabinet pour établir les bulletins de paie de ses salariés et déposer les déclarations trimestrielles de TVA et d'impôt sur le revenu. Le cabinet accède aux données personnelles des travailleurs (nom, numéro de sécurité sociale, salaire, situation familiale) ainsi qu'aux données des clients et fournisseurs. Dans ce schéma :
- L'entreprise est le responsable du traitement : elle décide quelles données sont traitées et à quelles fins.
- Le cabinet est le sous-traitant : il traite les données selon les instructions de l'entreprise, uniquement pour établir les bulletins de paie et gérer les impôts.
Le contrat de sous-traitance doit préciser exactement quels traitements le cabinet effectue, pendant combien de temps il conservera les données, quelles mesures de sécurité il applique et ce qu'il fera des données à la fin de la relation. Sans ce contrat, l'entreprise et le cabinet sont tous deux en infraction avec l'article 28 du RGPD.
Le prestataire d'hébergement ou d'infrastructure cloud
Une entreprise qui héberge son site web, son CRM ou sa messagerie sur les serveurs d'un prestataire d'hébergement accorde un accès technique à des données personnelles de ses clients et employés. Le prestataire d'hébergement est un sous-traitant, même si dans la plupart des cas il n'accède pas activement aux données : la capacité technique à y accéder est suffisante. L'obligation de conclure un contrat de sous-traitance existe que le prestataire soit une entreprise locale ou un géant technologique mondial.
De nombreux prestataires d'hébergement incluent déjà dans leurs conditions générales une section DPA ou la proposent sous forme de document séparé. Il appartient au responsable du traitement de vérifier que ce DPA respecte effectivement l'article 28.3 du RGPD et pas seulement les exigences minimales de la propre juridiction du prestataire.
Les logiciels RH, CRM ou ERP en mode SaaS
L'essor du logiciel en tant que service a multiplié le nombre de sous-traitants avec lesquels travaillent les entreprises. Un logiciel de gestion des ressources humaines qui stocke des données de salariés, un CRM qui détient des informations clients ou un ERP qui intègre des données comptables et personnelles sont, dans tous les cas, des sous-traitants. L'entreprise qui y souscrit est le responsable.
Dans ce contexte, il est fréquent que les prestataires SaaS recourent à leur tour à de nombreux sous-traitants ultérieurs (prestataires d'infrastructure cloud, services d'analyse, plateformes de support). Le responsable doit vérifier que le prestataire SaaS dispose de mécanismes de contrôle sur ses sous-traitants ultérieurs et que le contrat DPA lui permet d'exercer ce contrôle de manière réelle, et non purement formelle.
Que se passe-t-il en l'absence de contrat de sous-traitance ?
L'absence de contrat de sous-traitance lorsque celui-ci est obligatoire constitue une infraction à l'article 28 du RGPD. Le régime des sanctions prévu à l'article 83 du RGPD classe cette infraction dans le groupe du paragraphe 83.4, qui prévoit des amendes pouvant s'élever à 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. La LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre — Loi organique espagnole sur la protection des données à caractère personnel et la garantie des droits numériques) complète ce régime dans l'ordre juridique espagnol.
Outre la sanction pécuniaire, l'absence de contrat peut engager la responsabilité civile envers les personnes concernées. L'article 82 du RGPD reconnaît aux personnes concernées le droit d'obtenir réparation du préjudice matériel ou moral subi en raison d'une violation du règlement. Si un sous-traitant traite des données sans contrat valide et qu'une violation survient, le responsable et le sous-traitant peuvent être tenus solidairement responsables envers les personnes concernées.
D'un point de vue pratique, l'absence de contrat de sous-traitance rend également plus difficile la démonstration du respect du principe de responsabilité (accountability) devant l'AEPD. Lorsque l'AEPD procède à un contrôle ou enquête sur une violation, l'un des premiers documents qu'elle demande est l'inventaire des sous-traitants et les contrats correspondants visés à l'article 28. Ne pas en disposer est le signe d'un manque de diligence qui peut aggraver l'appréciation du manquement principal.
Questions fréquentes
Un sous-traitant peut-il devenir responsable du traitement ?
Oui. L'article 28.10 du RGPD dispose expressément que, si le sous-traitant enfreint le règlement en déterminant les finalités et les moyens du traitement, il est considéré comme responsable du traitement pour ce traitement spécifique. Cela se produit lorsque le sous-traitant va au-delà des instructions reçues et utilise les données à ses propres fins (par exemple, un prestataire de logiciel qui analyse les données des clients du responsable pour améliorer ses propres modèles sans autorisation). Devenir responsable implique d'assumer toutes les obligations à compter de l'article 5, y compris la responsabilité directe en matière de sanctions.
Une clause dans le contrat commercial suffit-elle ou faut-il un document séparé ?
Le RGPD mentionne « un contrat ou un autre acte juridique » (art. 28.3), de sorte qu'il n'exige pas formellement un document distinct : le DPA peut être une clause, une annexe ou un appendice du contrat commercial principal. Dans la pratique, il est toutefois recommandé que le contenu de l'article 28.3 figure dans un document clairement identifié comme « contrat de sous-traitance » ou « data processing agreement », car cela facilite l'audit, la mise à jour lors des modifications des conditions du traitement et la démonstration de conformité devant l'AEPD. Ce qui est indispensable, c'est que le contenu soit complet et signé par les deux parties.
Qu'en est-il des sous-traitants situés en dehors de l'Union européenne ?
Si le sous-traitant est établi en dehors de l'Espace économique européen (EEE), en plus du contrat visé à l'article 28, il est nécessaire de mettre en place une garantie appropriée pour le transfert international de données conformément au chapitre V du RGPD (art. 44 à 49). Les garanties les plus courantes sont les clauses contractuelles types (CCT) adoptées par la Commission européenne ou l'existence d'une décision d'adéquation pour le pays de destination. Sans cette garantie, le transfert de données vers le sous-traitant est illicite, qu'un contrat de sous-traitance existe ou non.
À quelle fréquence faut-il réviser le contrat de sous-traitance ?
Le RGPD ne fixe pas de délai de révision obligatoire, mais le principe d'accountability exige que le contrat reflète la réalité du traitement. Il convient de procéder à une révision lorsque les services du sous-traitant changent, lorsque le sous-traitant intègre de nouveaux sous-traitants ultérieurs pertinents, lorsque des modifications réglementaires affectent le contenu obligatoire du contrat (par exemple, l'adoption de nouvelles clauses contractuales types par la Commission européenne) ou à la suite d'une violation de la sécurité ayant révélé des insuffisances dans les mesures de sécurité convenues. En pratique recommandée, une révision annuelle de l'inventaire des sous-traitants et des contrats associés permet de maintenir la conformité au RGPD de manière continue.