Partie 12 — Sous-traitance & contrats
⏱️ TL;DR — Dès qu’un tiers voit passer des données personnelles pour ton compte — hébergeur, e-mailing, mesure d’audience, stockage, visio, modèle d’IA — c’est un sous-traitant, et l’article 28 t’impose un contrat écrit (le DPA). La Partie 3 a posé la théorie RT/ST ; cette partie est opérationnelle : requalifier vite qui est quoi, connaître les clauses obligatoires d’un DPA, comprendre la chaîne de sous-traitants (la sous-traitance ultérieure), choisir et auditer un SaaS avant de signer, puis cartographier tous les sous-traitants de FormaCampus — avec un focus sur le cas brûlant : envoyer des copies d’élèves à un LLM. Objectif : ne plus jamais brancher un outil « parce qu’il est pratique » sans savoir où sont les données et quel contrat les encadre.
Le problème qu’on résout
Un dev intègre un service en trois lignes : une clé d’API, un npm install, et l’e-mailing part, l’analytics tourne, l’IA corrige les copies. Le problème : chacun de ces outils est un sous-traitant qui reçoit des données personnelles, souvent hébergées on ne sait où, sous un contrat qu’on n’a jamais lu. Le RGPD ne dit pas « tu ne peux pas sous-traiter » — il dit « tu restes responsable de ce que fait ton prestataire, alors encadre-le ». Concrètement : un DPA signé (art. 28), des garanties suffisantes vérifiées (art. 28.1), et une cartographie à jour. Cette partie transforme cette exigence en réflexes de dev et en checklists actionnables.
Ce que tu sauras faire à la fin de cette partie
- Requalifier vite un prestataire : responsable, sous-traitant, ou requalifié quand il déborde.
- Reconnaître les clauses obligatoires d’un DPA (art. 28) et repérer un contrat qui en oublie.
- Comprendre la chaîne de sous-traitants (sous-traitance ultérieure, art. 28.2/28.4) et la responsabilité en cascade.
- Choisir et auditer un SaaS avec une checklist « garanties suffisantes » avant de signer.
- Cartographier les sous-traitants d’un produit et traiter le cas particulier de l’IA (LLM) proprement.
Les chapitres
| # | Chapitre | En un mot |
|---|---|---|
| 12.1 | RT ou ST : qui est quoi | Requalifier vite, y compris les cas limites. |
| 12.2 | Le contrat de sous-traitance (art. 28) | Les clauses obligatoires du DPA. |
| 12.3 | La chaîne de sous-traitants | Sous-traitance ultérieure & responsabilité en cascade. |
| 12.4 | Choisir & auditer un SaaS | La checklist avant de signer. |
| 12.5 | Atelier : cartographie & le cas de l’IA | On cartographie FormaCampus, focus LLM. |
On commence : RT ou ST : qui est quoi.