Skip to Content
RGPDPartie 12 — Sous-traitance & contrats12.2 — Le contrat de sous-traitance (art. 28)

Chapitre 12.2 — Le contrat de sous-traitance (art. 28)

⏱️ TL;DR — Dès qu’il y a sous-traitance, l’article 28 impose un contrat écrit — le DPA (Data Processing Agreement). Ce n’est pas une formalité : c’est le document qui répercute tes obligations sur le prestataire et te permet de prouver que tu l’encadres (accountability). Il doit fixer l’objet, la durée, la nature et la finalité, le type de données et les catégories de personnes, puis contenir des clauses obligatoires : agir sur instruction documentée, confidentialité, sécurité (art. 32), sous-traitance ultérieure encadrée, assistance au responsable (droits, violations, AIPD), sort des données en fin de contrat, et droit d’audit. Pas de DPA = sous-traitance illicite, palier de sanction jusqu’à 10 M€ ou 2 % du CA (art. 83).

🎯 Objectifs

  • Savoir qu’un contrat écrit est obligatoire — et ce qu’il doit contenir en tête.
  • Réciter les clauses obligatoires de l’article 28 et repérer un DPA qui en oublie.
  • Dérouler une checklist de relecture de DPA avant signature.
  • Lire un extrait de clause type et comprendre chaque exigence.

Le contrat écrit n’est pas optionnel

L’article 28 est catégorique : la sous-traitance est régie par un contrat (ou un autre acte juridique) qui lie le sous-traitant au responsable. « Écrit » inclut la forme électronique. Sans ce contrat, la sous-traitance est illicite — même si le prestataire est par ailleurs sérieux et sécurisé. C’est un manquement « technique » (palier art. 83 jusqu’à 10 M€ ou 2 % du CA mondial), et c’est prouvable : soit tu peux montrer le DPA, soit tu ne peux pas.

Ce contrat existe pour répercuter tes obligations vers l’aval : tu restes responsable de bout en bout, mais tu t’assures par écrit que ton prestataire fera ce qu’il faut. C’est de l’accountability : encadrer, et pouvoir le démontrer.

⚠️ Piège — Se contenter des CGU ou d’un bout de page « Confidentialité » du prestataire. Les CGU commerciales ne sont pas un DPA. Un vrai DPA nomme les traitements, fixe les instructions, encadre la sous-traitance ultérieure et le sort des données. Si le fournisseur n’a pas de DPA à te proposer, c’est un signal d’alarme (voir Partie 12.4) : un prestataire sérieux met son DPA à disposition.

Ce que le DPA doit d’abord préciser

Avant même les clauses d’obligations, l’article 28.3 exige que le contrat décrive le traitement. C’est la carte d’identité de la sous-traitance :

Élément à fixerExemple côté FormaCampus
Objet du traitementEnvoi des e-mails transactionnels et convocations
DuréeLe temps du contrat de service
Nature et finalitéAcheminement d’e-mails pour le compte du responsable
Type de donnéesE-mail, nom, prénom, contenu du message
Catégories de personnesStagiaires, formateurs, parents
Obligations et droits du responsableDonner les instructions, auditer, récupérer les données

Sans cette description, impossible de vérifier que le prestataire reste dans le périmètre : c’est elle qui rend l’« instruction documentée » vérifiable.

Les clauses obligatoires (art. 28.3)

Le cœur du DPA. Chacune de ces clauses est imposée ; un DPA qui en saute une est incomplet.

Clause obligatoireCe qu’elle garantitFondement
Traiter sur instruction documentéeRien en dehors de ce que le responsable demande par écrit (y compris pour les transferts hors UE)art. 28.3 a
Confidentialité des personnes autoriséesLe personnel du prestataire est tenu à la confidentialitéart. 28.3 b
Sécurité appropriéeMesures techniques et organisationnelles de l’art. 32art. 28.3 c
Sous-traitance ultérieure encadréePas de sous-traitant en aval sans autorisation + mêmes obligations répercutéesart. 28.2 / 28.3 d / 28.4
Assistance à l’exercice des droitsAider à répondre aux demandes des personnes (accès, effacement…)art. 28.3 e
Assistance sécurité, violations, AIPDAider sur les art. 32 à 36 (notifier une violation, alimenter une AIPD)art. 28.3 f
Sort des données en fin de contratRestituer ou supprimer les données au choix du responsable, et détruire les copiesart. 28.3 g
Audit & mise à dispositionFournir les infos prouvant la conformité et permettre audits/inspectionsart. 28.3 h

Deux garde-fous complètent la liste : le sous-traitant doit alerter le responsable si une instruction lui paraît illicite (devoir de conseil, art. 28.3), et il ne peut recourir à un sous-traitant ultérieur sans autorisation (on développe en Partie 12.3).

💡 Réflexe — Traite le DPA comme une checklist de relecture, pas comme un PDF qu’on signe sans lire. Passe les huit clauses en revue : si l’une manque ou est vague (« mesures de sécurité raisonnables », sans plus), tu négocies ou tu refuses. Un DPA se relit comme on relit une pull request : ligne par ligne, en cherchant ce qui manque.

Checklist de relecture d’un DPA

  • Le contrat décrit objet, durée, nature/finalité, types de données, catégories de personnes.
  • Traitement uniquement sur instruction documentée du responsable.
  • Confidentialité du personnel autorisé.
  • Sécurité (art. 32) décrite concrètement, pas en formule creuse.
  • Sous-traitance ultérieure : autorisation (préalable ou générale + information des changements) et répercussion des obligations.
  • Assistance aux droits des personnes.
  • Assistance sur violations (délai de notification au responsable !), sécurité, AIPD.
  • Sort des données : restitution ou suppression au choix du responsable + destruction des copies.
  • Droit d’audit / d’inspection, et mise à disposition des preuves de conformité.
  • Localisation des données et encadrement des transferts hors UE (cap Partie 13).
  • Devoir d’alerte si une instruction est illicite.

Un extrait de clause type

Voici à quoi ressemblent, en clair, quelques clauses. À adapter à ton contexte — mais l’esprit doit y être.

Article X — Instructions et périmètre Le Sous-traitant ne traite les données à caractère personnel que sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts hors de l'Union européenne, sauf obligation légale à laquelle le Sous-traitant est soumis (qu'il signale alors au Responsable, sauf interdiction légale). Il informe sans délai le Responsable si une instruction constitue, selon lui, une violation du RGPD. Article X+1 — Sous-traitance ultérieure Le Sous-traitant ne recrute pas d'autre sous-traitant sans l'autorisation écrite, préalable ou générale, du Responsable. En cas d'autorisation générale, il informe le Responsable de tout ajout ou remplacement de sous-traitant ultérieur, laissant au Responsable un délai pour s'y opposer. Le Sous-traitant impose au sous-traitant ultérieur, par contrat, les mêmes obligations de protection des données que celles du présent contrat. Article X+2 — Assistance et violations Le Sous-traitant aide le Responsable à répondre aux demandes d'exercice des droits des personnes concernées. Il l'assiste pour la sécurité (art. 32), les analyses d'impact (art. 35) et la consultation préalable (art. 36). Il notifie au Responsable toute violation de données dans un délai de [24 h] après en avoir pris connaissance. Article X+3 — Sort des données en fin de contrat Au terme de la prestation, le Sous-traitant, selon le choix du Responsable, lui restitue l'ensemble des données à caractère personnel OU les supprime, et détruit les copies existantes, sauf obligation légale de conservation.

🔒 Côté personne concernée — Un parent ne lira jamais ce DPA, et pourtant il en dépend entièrement. C’est la clause d’assistance aux droits qui garantit que, lorsqu’il demande l’accès au dossier de son enfant, le prestataire coopérera au lieu de faire barrage. C’est la clause de sort des données qui garantit que, l’école partie, les données de son enfant ne « traînent » pas indéfiniment chez un tiers. Le DPA est invisible pour lui, mais c’est lui qui rend ses droits effectifs.

📚 Le texte — L’obligation de contrat écrit et son contenu sont à l’article 28, dont l’alinéa 3 liste les clauses (a à h). L’exigence d’agir uniquement sur instruction est reprise à l’article 29. La CNIL publie un guide du sous-traitant avec des exemples de clauses (cnil.fr) ; la Commission a aussi adopté des clauses contractuelles types entre responsable et sous-traitant. Ne recopie pas un modèle sans l’adapter à ton traitement réel.

✏️ Exercices

Exercice 1 — Le DPA troué. Un fournisseur te propose un DPA qui couvre l’instruction, la confidentialité et la sécurité, mais ne dit rien du sort des données en fin de contrat ni de la sous-traitance ultérieure. Est-ce suffisant ?

✅ Solution

Non. Deux clauses obligatoires manquent : le sort des données en fin de contrat (restitution ou suppression au choix du responsable + destruction des copies, art. 28.3 g) et l’encadrement de la sous-traitance ultérieure (autorisation + répercussion des obligations, art. 28.2/28.3 d/28.4). Un DPA incomplet ne remplit pas l’article 28 : on négocie l’ajout de ces clauses, ou on refuse le prestataire.

Exercice 2 — Rédige la clause « violations ». Écris en une phrase la clause qui oblige un sous-traitant à te prévenir en cas de fuite, et explique pourquoi le délai y est crucial.

✅ Solution

Par exemple : « Le Sous-traitant notifie au Responsable toute violation de données sans délai et au plus tard sous 24 heures après en avoir pris connaissance, avec les éléments utiles à sa qualification. » Le délai est crucial parce que le responsable dispose de 72 h pour notifier la CNIL si le risque le justifie (art. 33) : si le sous-traitant traîne, le responsable rate son propre délai. La clause d’assistance (art. 28.3 f) prolonge cette obligation. Détail en Partie 10.

Exercice 3 — Instruction douteuse. Le responsable demande au sous-traitant d’exporter toute la base d’élèves vers un tableur non chiffré envoyé par e-mail. Que doit faire le sous-traitant ?

✅ Solution

Exécuter aveuglément n’est pas la bonne réponse. Le sous-traitant a un devoir d’alerte (art. 28.3) : il doit signaler au responsable que l’instruction lui paraît contraire au RGPD (défaut de sécurité, art. 32) et proposer une alternative (export chiffré, canal sécurisé). Il agit sur instruction documentée, mais pas au point de participer à un manquement manifeste. Cela reste son obligation propre de sécurité.

🧠 Quiz de révision

1. Le DPA est-il obligatoire, et sous quelle forme ?

Oui, l’article 28 impose un contrat écrit (forme électronique incluse) dès qu’il y a sous-traitance. Sans DPA, la sous-traitance est illicite — manquement « technique » du palier art. 83 (jusqu’à 10 M€ ou 2 % du CA mondial).

2. Cite quatre clauses obligatoires d’un DPA.

Parmi : traiter sur instruction documentée, confidentialité du personnel, sécurité (art. 32), sous-traitance ultérieure encadrée, assistance aux droits, assistance sécurité/violations/AIPD, sort des données en fin de contrat, droit d’audit. (Liste complète : art. 28.3 a à h.)

3. Que doit dire le DPA sur la fin de contrat ?

Que le sous-traitant, au choix du responsable, restitue l’ensemble des données ou les supprime, et détruit les copies, sauf obligation légale de conservation (art. 28.3 g). Les données ne doivent pas « rester » chez le prestataire par défaut.

4. Les CGU du prestataire suffisent-elles comme DPA ?

Non. Des CGU commerciales ne sont pas un DPA. Il faut un contrat qui décrit le traitement (objet, durée, données, personnes) et contient les clauses obligatoires de l’article 28. Un fournisseur sérieux met un vrai DPA à disposition.

5. Que doit faire le sous-traitant face à une instruction illicite ?

L’alerter : il a un devoir de conseil (art. 28.3) et doit signaler au responsable qu’une instruction lui paraît violer le RGPD. Il n’exécute pas aveuglément un manquement manifeste (par exemple un export non sécurisé de données sensibles).


Chapitre suivant : 12.3 — La chaîne de sous-traitants — un DPA ne s’arrête pas au premier maillon : ton prestataire a lui-même des prestataires. On suit la chaîne et la responsabilité en cascade.

Last updated on