Skip to Content
RGPDPartie 12 — Sous-traitance & contrats12.1 — RT ou ST : qui est quoi

Chapitre 12.1 — RT ou ST : qui est quoi

⏱️ TL;DR — Avant de signer quoi que ce soit, une seule question : sur ces données-là, ce tiers est-il responsable (il décide pourquoi et comment on traite) ou sous-traitant (il agit pour ton compte, sur instruction documentée, sans fixer les finalités) ? La Partie 3 a posé la théorie ; ici on requalifie vite, dans la vraie vie. Deux cas limites à maîtriser : le prestataire qui réutilise les données pour son propre compte — il devient responsable de ce nouvel usage — et le freelance dev externe qui touche à tes données — c’est un sous-traitant, il lui faut un DPA. Retiens la boussole : qui a décidé pourquoi ?

🎯 Objectifs

  • Requalifier en dix secondes un prestataire à partir d’un cas concret.
  • Trancher les cas limites : réutilisation pour compte propre, freelance, outil « gratuit ».
  • Utiliser un tableau d’indices « plutôt RT / plutôt ST » quand le cas est ambigu.
  • Savoir quand renvoyer à la théorie (Partie 3) et quand la décision suffit.

La boussole : qui a décidé pourquoi ?

On ne réapprend pas toute la théorie ici — elle est dans la Partie 3 — Acteurs & rôles. On la met en pratique. Le critère qui tranche presque tous les cas tient en une question : qui a déterminé la finalité (le pourquoi) et les moyens essentiels du traitement ?

  • Celui qui décide pourquoi on traite → responsable de traitement (RT).
  • Celui qui exécute pour le compte d’un autre, sur instruction documentée, sans fixer les finalités → sous-traitant (ST), art. 4.8.

Rappel du fil rouge : le rôle dépend du traitement, pas de l’organisme. FormaCampus est responsable de son site et de sa prospection, sous-traitant dès qu’une école lui confie les données de ses élèves. La première question de tout nouveau projet : « sur ces données, suis-je RT ou ST ? »

Le tableau d’indices quand c’est ambigu

Parfois le cas est gris. Aucun indice pris seul ne tranche : on regarde le faisceau.

IndicePlutôt responsable (RT)Plutôt sous-traitant (ST)
Qui fixe la finalité (le pourquoi) ?Lui-même, pour ses propres besoinsLe client, par contrat/instruction
Marge de décision sur les moyens essentielsIl choisit librementIl applique ce qui lui est demandé
Réutilise les données pour son compte ?Oui (sa pub, son produit, son modèle)Non, uniquement la mission confiée
Agit sur instruction documentée ?Non, il décideOui, rien en dehors du contrat
Détermine quelles personnes sont concernées et quelles données ?OuiNon, il reçoit le périmètre
Nature de la prestationUn service défini par lui (assurance, conseil pour son compte)Une exécution technique pour autrui (hébergement, e-mailing)
Soumis à ses propres obligations légales sur ces données ?Souvent (il agit pour lui)Non, il applique celles du client

⚠️ Piège — Croire que « prestataire externe » = « sous-traitant » par défaut. Faux. Un prestataire qui poursuit sa propre finalité avec les données est responsable (parfois conjoint, art. 26, si vous décidez ensemble — voir Partie 3). La facturation « à la prestation » est un indice faible : ce n’est pas le contrat commercial qui qualifie, c’est qui décide pourquoi.

Cas limite 1 — le prestataire qui déborde et « devient responsable »

Un sous-traitant qui réutilise les données pour son propre compte — entraîner son modèle, alimenter sa pub, enrichir son fichier — définit une nouvelle finalité qu’il n’a pas reçue par instruction. Pour ce nouvel usage, il cesse d’être sous-traitant et devient responsable : il lui faut alors sa propre base légale, sa propre information des personnes, etc.

Pour toi, côté RT, c’est un signal d’alerte : ce débordement doit être interdit par le DPA (traitement sur seule instruction, art. 28 et 29). Un prestataire qui « déborde » sort de son rôle protecteur et fragilise toute la chaîne.

💡 Réflexe — Quand un outil annonce qu’il « utilise vos données pour améliorer son service » (analytics, IA, e-mailing « intelligent »…), traduis mentalement : il se comporte en responsable pour son compte. Soit tu le verrouilles par contrat (interdiction, art. 28), soit tu changes d’outil. Sinon, tu as un co-traitement non encadré sur les bras.

Cas limite 2 — le freelance dev externe

Tu confies une mission à un développeur freelance (ou une agence) qui, pour la réaliser, accède aux données personnelles de tes utilisateurs — dump de base pour déboguer, accès à la prod, migration, script de reprise. Il agit pour ton compte, sur tes instructions, sans fixer de finalité : c’est un sous-traitant. Conséquence : il faut un contrat écrit (art. 28), une clause de confidentialité, et l’interdiction de tout usage hors mission.

Nuances utiles :

  • Un salarié de FormaCampus n’est pas un sous-traitant : il agit sous l’autorité du responsable (art. 29), encadré par le contrat de travail et les habilitations internes (Partie 9).
  • Un freelance qui ne touche jamais à de la donnée personnelle (il code une lib front sans accès à la base) n’a pas besoin d’un DPA pour ce périmètre — mais vérifie qu’il n’en récupère pas « au passage » (logs, jeux de test réels).

🧭 Sur FormaCampus — FormaCampus fait appel à un freelance pour une migration de base : il aura les données d’élèves sous les yeux. Réflexe : DPA + confidentialité + jeux de test anonymisés plutôt qu’un dump de prod, accès temporaire et révoqué à la fin. Le freelance est un maillon de la chaîne (Partie 12.3), pas une exception parce qu’« il est là deux semaines ».

📚 Le texte — La définition du sous-traitant est à l’article 4.8 ; le responsable de traitement à l’article 4.7. L’obligation d’agir uniquement sur instruction est aux articles 28 et 29. Les cas de qualification sont éclairés par les lignes directrices 07/2020 du CEPD sur les notions de responsable et de sous-traitant (edpb.europa.eu). Pour la théorie complète et la dualité RT/ST, retour à la Partie 3.

✏️ Exercices

Exercice 1 — Requalifie en série. Pour chacun, dis RT, ST (pour FormaCampus) ou « requalifié » : (a) le service d’e-mailing qui envoie les convocations aux stagiaires sur instruction de FormaCampus ; (b) une régie publicitaire qui décide seule du ciblage d’une campagne à partir des e-mails fournis ; (c) le fournisseur d’IA qui annonce réutiliser les copies pour entraîner son modèle.

✅ Solution

(a) Sous-traitant : il exécute une mission technique pour le compte de FormaCampus, sur instruction, sans fixer la finalité. (b) Responsable (voire conjoint, art. 26) : la régie décide du ciblage — elle poursuit une finalité qu’elle détermine. (c) Requalifié : en réutilisant les copies pour son compte (entraîner son modèle), le fournisseur définit une nouvelle finalité et devient responsable de cet usage — comportement à interdire par le DPA.

Exercice 2 — Le freelock. FormaCampus recrute un freelance pour trois semaines afin de corriger un bug de facturation ; il aura un accès en lecture à la base de prod (donc aux données de stagiaires et de parents). Que mets-tu en place ?

✅ Solution

Le freelance est un sous-traitant : contrat écrit (art. 28) avec clause de confidentialité, usage limité à la mission, interdiction de copier/exporter. Côté technique : accès temporaire, nominatif, au moindre privilège, révoqué à la fin (Partie 9) ; privilégier un jeu de test anonymisé plutôt qu’un accès prod quand c’est possible ; journaliser ses accès aux données sensibles. Un freelance de trois semaines n’échappe pas au DPA.

🧠 Quiz de révision

1. Quelle est la question qui tranche RT vs ST ?

« Qui a décidé pourquoi ? » — qui détermine la finalité (et les moyens essentiels). Celui qui décide est responsable ; celui qui exécute pour le compte d’un autre, sur instruction documentée, sans fixer les finalités, est sous-traitant (art. 4.8).

2. Un prestataire externe est-il forcément un sous-traitant ?

Non. S’il poursuit sa propre finalité avec les données, il est responsable (ou conjoint, art. 26). La qualification tient à qui décide pourquoi, pas au fait d’être un tiers ni au mode de facturation.

3. Que devient un sous-traitant qui réutilise les données pour son compte ?

Il définit une nouvelle finalité et devient responsable de ce traitement — avec base légale et information propres. Ce débordement doit être interdit par le DPA (traitement sur seule instruction, art. 28 et 29).

4. Un développeur freelance qui accède à la base de prod, RT ou ST ?

Sous-traitant : il traite les données pour le compte du responsable, sur instruction, sans fixer de finalité. Il faut un contrat écrit (art. 28) et une clause de confidentialité. Un salarié, lui, n’est pas sous-traitant : il agit sous l’autorité du responsable (art. 29).

5. À quoi sert le tableau d’indices « plutôt RT / plutôt ST » ?

À trancher les cas ambigus en regardant un faisceau d’indices (qui fixe la finalité, marge de décision, réutilisation pour compte propre, instruction documentée, périmètre des données…). Aucun indice seul ne suffit ; c’est l’ensemble qui qualifie.


Chapitre suivant : 12.2 — Le contrat de sous-traitance (art. 28) — une fois la casquette identifiée, on rédige (ou on relit) le DPA : les clauses obligatoires, la checklist et un extrait de clause type.

Last updated on