Skip to Content
RGPDPartie 12 — Sous-traitance & contratsVue d'ensemble

Partie 12 — Sous-traitance & contrats

⏱️ TL;DR — Dès qu’un tiers voit passer des données personnelles pour ton compte — hébergeur, e-mailing, mesure d’audience, stockage, visio, modèle d’IA — c’est un sous-traitant, et l’article 28 t’impose un contrat écrit (le DPA). La Partie 3 a posé la théorie RT/ST ; cette partie est opérationnelle : requalifier vite qui est quoi, connaître les clauses obligatoires d’un DPA, comprendre la chaîne de sous-traitants (la sous-traitance ultérieure), choisir et auditer un SaaS avant de signer, puis cartographier tous les sous-traitants de FormaCampus — avec un focus sur le cas brûlant : envoyer des copies d’élèves à un LLM. Objectif : ne plus jamais brancher un outil « parce qu’il est pratique » sans savoir où sont les données et quel contrat les encadre.

Le problème qu’on résout

Un dev intègre un service en trois lignes : une clé d’API, un npm install, et l’e-mailing part, l’analytics tourne, l’IA corrige les copies. Le problème : chacun de ces outils est un sous-traitant qui reçoit des données personnelles, souvent hébergées on ne sait où, sous un contrat qu’on n’a jamais lu. Le RGPD ne dit pas « tu ne peux pas sous-traiter » — il dit « tu restes responsable de ce que fait ton prestataire, alors encadre-le ». Concrètement : un DPA signé (art. 28), des garanties suffisantes vérifiées (art. 28.1), et une cartographie à jour. Cette partie transforme cette exigence en réflexes de dev et en checklists actionnables.

Ce que tu sauras faire à la fin de cette partie

  • Requalifier vite un prestataire : responsable, sous-traitant, ou requalifié quand il déborde.
  • Reconnaître les clauses obligatoires d’un DPA (art. 28) et repérer un contrat qui en oublie.
  • Comprendre la chaîne de sous-traitants (sous-traitance ultérieure, art. 28.2/28.4) et la responsabilité en cascade.
  • Choisir et auditer un SaaS avec une checklist « garanties suffisantes » avant de signer.
  • Cartographier les sous-traitants d’un produit et traiter le cas particulier de l’IA (LLM) proprement.

Les chapitres

#ChapitreEn un mot
12.1RT ou ST : qui est quoiRequalifier vite, y compris les cas limites.
12.2Le contrat de sous-traitance (art. 28)Les clauses obligatoires du DPA.
12.3La chaîne de sous-traitantsSous-traitance ultérieure & responsabilité en cascade.
12.4Choisir & auditer un SaaSLa checklist avant de signer.
12.5Atelier : cartographie & le cas de l’IAOn cartographie FormaCampus, focus LLM.

On commence : RT ou ST : qui est quoi.

Last updated on