Skip to Content

Chapitre 3.2 — Le sous-traitant

⏱️ TL;DR — Le sous-traitant (art. 4.8) traite des données personnelles pour le compte du responsable, sur instruction documentée, et sans définir lui-même les finalités. Il n’est pas un simple prestataire passif : il a ses obligations propres (sécurité art. 32, registre du sous-traitant art. 30, aide au responsable, encadrement de la sous-traitance ultérieure, notification des violations au responsable). Tout ça est verrouillé par un contrat écrit — le DPA de l’art. 28. Et voici le nœud du cours : un même organisme peut être responsable pour certains traitements et sous-traitant pour d’autres. FormaCampus est responsable de son site et de sa prospection, mais sous-traitant dès qu’une école lui confie les données de ses élèves — l’école, elle, reste responsable. Cette dualité RT/ST est le fil rouge de tout le cours.

🎯 Objectifs

  • Définir le sous-traitant (art. 4.8) et ce qui le sépare du responsable.
  • Connaître ses obligations propres — il n’est pas déchargé de tout.
  • Comprendre la sous-traitance ultérieure et la chaîne de prestataires.
  • Maîtriser la dualité RT/ST : le même acteur, deux casquettes selon le traitement.

Agir pour le compte d’un autre

L’article 4.8 définit le sous-traitant comme celui qui traite des données pour le compte du responsable. Trois marqueurs, à vérifier ensemble :

  1. Pour le compte de : il agit dans l’intérêt et selon les objectifs d’un autre, pas les siens.
  2. Sur instruction documentée : il ne fait que ce que le responsable lui demande, par écrit (le contrat, puis les consignes).
  3. Sans définir les finalités : il n’a pas décidé pourquoi on traite ces données. S’il commence à réutiliser les données pour son propre compte (par exemple entraîner son produit, faire sa pub), il sort du rôle de sous-traitant et devient responsable de ce nouveau traitement — avec toutes les obligations que ça implique.

Le sous-traitant type, c’est un prestataire technique : hébergeur, service d’e-mailing, outil de mesure d’audience, solution de visio, éditeur de logiciel SaaS, fournisseur d’un modèle d’IA qui traite tes données à ta demande.

⚠️ Piège — « Sous-traitant = pas responsable, donc pas d’obligations. » Faux, et c’est daté. Avant 2018 le sous-traitant était quasi transparent ; le RGPD lui a donné des obligations directes, sanctionnables pour lui-même. Un sous-traitant qui sécurise mal, qui perd les données ou qui les réutilise en douce engage sa propre responsabilité — les manquements « techniques » (sécurité, sous-traitance) relèvent du palier de sanction jusqu’à 10 M€ ou 2 % du CA mondial (art. 83).

Ses obligations propres

Le sous-traitant n’exécute pas « les yeux fermés ». Le RGPD lui impose, en propre :

Obligation du sous-traitantFondementEn clair
N’agir que sur instruction documentéeart. 28 & 29Rien en dehors de ce que le responsable a demandé par écrit.
Garantir la sécuritéart. 32Les mêmes exigences techniques et organisationnelles que le responsable.
Tenir un registre du sous-traitantart. 30La liste des traitements faits pour le compte de chaque client.
Aider le responsableart. 28Sur la sécurité, les violations, les AIPD, l’exercice des droits.
Notifier toute violation au responsableart. 33Sans délai — c’est le responsable qui, ensuite, décide de notifier la CNIL.
Encadrer la sous-traitance ultérieureart. 28Autorisation du responsable + mêmes obligations répercutées par contrat.
Alerter si une instruction est illiciteart. 28Devoir de conseil : il doit prévenir le responsable.

Le tout est formalisé dans un contrat écrit (le Data Processing Agreement), obligatoire au titre de l’article 28. On y consacre toute la Partie 12. Retiens ici : pas de sous-traitance sans DPA.

💡 Réflexe — Quand tu intègres un nouveau prestataire qui verra passer des données personnelles (une API d’e-mailing, un stockage cloud, un modèle d’IA), le réflexe n’est pas « est-ce que ça marche ? » mais « ai-je un DPA signé, et ce prestataire offre-t-il des garanties suffisantes ? » (art. 28). L’intégration technique et l’encadrement contractuel vont ensemble.

La sous-traitance ultérieure : la chaîne

Un sous-traitant peut lui-même recourir à d’autres sous-traitants (l’hébergeur de ton prestataire, par exemple). C’est la sous-traitance ultérieure, encadrée par l’article 28 : elle exige l’autorisation (préalable ou générale) du responsable, et les mêmes obligations doivent être répercutées par contrat sur le sous-traitant ultérieur. La responsabilité se propage le long de la chaîne, mais le responsable initial reste, lui, responsable de bout en bout.

L’école décide (responsable), FormaCampus exécute la plateforme (sous-traitant), l’hébergeur stocke (sous-traitant ultérieur). Chaque maillon a un contrat avec le précédent, et chacun répercute les obligations vers l’aval.

Le cœur du fil rouge : la dualité RT/ST

Voici la notion la plus importante de cette partie. Le rôle dépend du traitement, pas de l’organisme. Un même acteur peut être responsable pour une activité et sous-traitant pour une autre.

Traitement chez FormaCampusQui a fixé la finalité ?Casquette de FormaCampus
Comptes de son propre siteFormaCampusResponsable
Prospection & newsletter commercialeFormaCampusResponsable
Paie de ses salariésFormaCampusResponsable
Statistiques d’usage de son produitFormaCampusResponsable
Données des élèves d’une école clienteL’écoleSous-traitant
Données des stagiaires d’un OF clientL’organisme de formationSous-traitant

Même code, même base de données, même équipe — mais deux régimes juridiques. Pour ses données à elle, FormaCampus informe, sécurise, notifie la CNIL. Pour les données des élèves d’une école, c’est l’école qui informe les familles et décide d’une notification ; FormaCampus se contente d’exécuter sur instruction et d’alerter l’école en cas de fuite.

🧭 Sur FormaCampus — Concrètement, FormaCampus doit tenir deux registres : son registre de responsable (art. 30) pour ses traitements propres, et un registre de sous-traitant listant, école par école, les traitements réalisés pour leur compte. Elle signe un DPA avec chaque établissement client (où elle est sous-traitant) et un DPA avec chacun de ses propres prestataires (hébergeur, e-mailing, IA — où elle est responsable et eux sous-traitants). Se tromper de casquette, c’est envoyer la mauvaise mention d’information à un parent, ou notifier la CNIL à la place de l’école. La première question de tout nouveau projet chez FormaCampus : sur ces données-là, suis-je RT ou ST ?

🔒 Côté personne concernée — Pour un parent, cette tuyauterie doit rester invisible et sans faille. Il s’adresse à l’école (le responsable), pas à FormaCampus, pour accéder aux données de son enfant ou les faire rectifier. FormaCampus, en coulisses, doit aider l’école à répondre (art. 28) : exporter les données, appliquer une rectification, supprimer un compte. Le parent, lui, ne doit jamais être renvoyé de l’un à l’autre : c’est le rôle du DPA de clarifier qui fait quoi.

📚 Le texte — La définition du sous-traitant est à l’article 4.8. Ses obligations et le contrat obligatoire sont à l’article 28 ; l’article 29 impose qu’il n’agisse que sur instruction du responsable. La qualification RT/ST est éclairée par les lignes directrices 07/2020 du CEPD sur les notions de responsable et de sous-traitant (à consulter sur edpb.europa.eu).

✏️ Exercices

Exercice 1 — RT ou ST ? Pour chaque traitement, dis si FormaCampus est responsable ou sous-traitant : (a) elle envoie sa newsletter commerciale à ses prospects ; (b) elle stocke les notes des élèves du collège Jean Moulin, son client ; (c) elle analyse le comportement des visiteurs de son propre site marketing.

✅ Solution

(a) Responsable : c’est FormaCampus qui a décidé de prospecter, pour son compte. (b) Sous-traitant : la finalité (gérer la scolarité) a été fixée par le collège, qui reste responsable ; FormaCampus n’exécute que sur instruction. (c) Responsable : mesurer l’audience de son site marketing est sa finalité. Le critère reste le même à chaque fois : qui a décidé pourquoi ?

Exercice 2 — Une fuite chez le prestataire. Un incident expose la base d’élèves du collège Jean Moulin, hébergée via FormaCampus. Qui notifie quoi, et à qui ?

✅ Solution

FormaCampus, sous-traitant, doit notifier la violation au collège (le responsable) sans délai (art. 33) et l’aider à la gérer. C’est ensuite le collège, responsable, qui décide de notifier la CNIL sous 72 h si le risque le justifie, et d’informer les familles si le risque est élevé (art. 33-34). FormaCampus ne notifie pas la CNIL à la place du collège pour ce traitement — elle n’en est pas responsable. (En revanche, si la fuite touchait ses propres données de prospection, là elle notifierait la CNIL elle-même.)

Exercice 3 — Un prestataire trop curieux. Le fournisseur du modèle d’IA que FormaCampus utilise pour corriger les copies annonce qu’il réutilisera les copies pour « améliorer son modèle ». Quel est le problème de qualification ?

✅ Solution

En réutilisant les données pour son propre compte (améliorer son produit), le fournisseur définit une nouvelle finalité qu’il n’a pas reçue par instruction. Il cesse d’être un simple sous-traitant pour ce nouvel usage et en devient responsable — ce qui exige une base légale, une information des personnes, etc. Pour FormaCampus, c’est un signal d’alerte : ce comportement doit être interdit par le DPA (traitement sur seule instruction, art. 28/29), sous peine de rendre la chaîne non conforme.

🧠 Quiz de révision

1. Qu’est-ce qu’un sous-traitant ?

Celui qui traite des données pour le compte du responsable, sur instruction documentée, sans définir les finalités (art. 4.8). Type : hébergeur, e-mailing, SaaS, modèle d’IA appelé à la demande.

2. Un sous-traitant a-t-il des obligations propres ?

Oui. Sécurité (art. 32), registre du sous-traitant (art. 30), aide au responsable, notification des violations au responsable (art. 33), encadrement de la sous-traitance ultérieure, devoir d’alerte — le tout dans un contrat écrit obligatoire (DPA, art. 28). Il est sanctionnable pour lui-même.

3. Que se passe-t-il si un sous-traitant réutilise les données pour son propre compte ?

Il définit une nouvelle finalité et devient responsable de ce traitement-là — avec toutes les obligations correspondantes. Un sous-traitant qui « déborde » de ses instructions sort de son rôle protecteur.

4. Qu’est-ce que la dualité RT/ST ?

Le fait qu’un même organisme peut être responsable pour certains traitements et sous-traitant pour d’autres. La casquette dépend du traitement (qui a fixé la finalité ?), pas de l’organisme. FormaCampus est RT pour son site et sa prospection, ST pour les données des élèves de ses écoles clientes.

5. En cas de violation, un sous-traitant notifie-t-il la CNIL ?

Non, pas pour les traitements dont il est sous-traitant : il notifie le responsable sans délai (art. 33), et c’est le responsable qui décide de notifier la CNIL (72 h) et d’informer les personnes. Le sous-traitant notifie la CNIL uniquement pour ses propres traitements, ceux dont il est responsable.


Chapitre suivant : Les responsables conjoints — quand deux organismes décident ensemble finalités et moyens, et comment ne pas confondre ce cas avec la sous-traitance.

Last updated on