Chapitre 12.3 — La chaîne de sous-traitants
⏱️ TL;DR — Ton sous-traitant a lui-même des sous-traitants : c’est la sous-traitance ultérieure (art. 28.2 et 28.4). Un SaaS moderne, c’est une chaîne — hébergeur, e-mailing, mesure d’audience, stockage, IA, visio… Règle du jeu : un sous-traitant ne peut recruter un sous-traitant ultérieur sans l’autorisation du responsable (préalable ou générale avec droit d’opposition), et il doit lui répercuter les mêmes obligations par contrat. Point clé : le sous-traitant reste pleinement responsable, vis-à-vis du responsable, de ce que font ses propres sous-traitants (art. 28.4). Et au bout de la chaîne, le responsable initial reste responsable de bout en bout envers les personnes. Tu ne peux pas « externaliser » ta responsabilité — tu peux seulement l’encadrer.
🎯 Objectifs
- Comprendre la sous-traitance ultérieure : autorisation préalable ou générale (art. 28.2).
- Voir qu’un SaaS moderne est une chaîne de sous-traitants, pas un acteur unique.
- Saisir la responsabilité en cascade : chaque maillon répercute vers l’aval.
- Retenir que le sous-traitant répond de ses propres sous-traitants devant le responsable (art. 28.4).
Un SaaS moderne, c’est une chaîne
FormaCampus n’héberge pas ses propres serveurs, n’écrit pas son moteur d’e-mails, ne code pas son modèle d’IA. Comme tout SaaS, elle assemble des briques. Chaque brique qui voit passer des données personnelles est un sous-traitant ultérieur dans la chaîne :
| Brique | Rôle dans la chaîne | Données qui transitent |
|---|---|---|
| Hébergeur cloud | Stockage & calcul | Toute la base applicative |
| Service d’e-mailing | Envoi transactionnel & convocations | E-mails, noms, contenus |
| Mesure d’audience | Statistiques d’usage | Identifiants, parcours, IP |
| Stockage de fichiers | Devoirs, pièces jointes | Copies, documents d’élèves |
| Fournisseur d’IA (LLM) | Aide & correction | Contenus de copies, prompts |
| Visio | Classes virtuelles | Identités, flux, éventuels enregistrements |
Chacune est un maillon. Le responsable (une école, ou FormaCampus pour ses traitements propres) ne « voit » souvent que le premier prestataire, mais la donnée, elle, descend toute la chaîne.
La sous-traitance ultérieure : autorisation + répercussion
Deux règles encadrent chaque nouveau maillon (art. 28.2 et 28.4) :
- Autorisation du responsable. Elle peut être préalable et spécifique (le responsable valide chaque sous-traitant nommément) ou générale et écrite : dans ce cas, le sous-traitant doit informer le responsable de tout ajout ou remplacement de sous-traitant ultérieur, en lui laissant la possibilité de s’y opposer.
- Répercussion des obligations (art. 28.4). Le sous-traitant impose à son sous-traitant ultérieur, par contrat, les mêmes obligations de protection des données que celles de son propre DPA. On ne « dilue » pas les exigences en descendant : les huit clauses de l’article 28.3 se propagent identiques.
⚠️ Piège — L’« autorisation générale » perçue comme un chèque en blanc. Non : elle s’accompagne d’une information des changements et d’un droit d’opposition. Un prestataire qui change d’hébergeur ou ajoute un sous-traitant IA sans te prévenir viole cette obligation. À l’inverse, côté responsable, ne jamais lire les avis de changement, c’est renoncer à un droit qu’on t’a donné : surveille la liste des sous-traitants de tes fournisseurs.
La responsabilité en cascade
Voici le point que beaucoup ratent : déléguer n’efface pas. L’article 28.4 est explicite — quand un sous-traitant recrute un sous-traitant ultérieur, il demeure pleinement responsable, envers le responsable de traitement, de l’exécution par cet aval de ses obligations. Autrement dit :
- Le sous-traitant ultérieur doit ses obligations à celui qui l’a recruté (par contrat).
- Le sous-traitant reste garant, devant le responsable, de ce que fait son propre sous-traitant.
- Le responsable initial reste responsable de bout en bout envers les personnes concernées.
Chaque flèche pleine porte un contrat ; chaque contrat répercute les mêmes obligations. La flèche en pointillés rappelle qui reste garant de quoi. Personne, à aucun étage, ne peut dire « ce n’est pas moi, c’est mon prestataire » : la responsabilité remonte la chaîne.
💡 Réflexe — Quand tu évalues un fournisseur, demande sa liste de sous-traitants ultérieurs (souvent une page publique « subprocessors »). Tu y liras où sont réellement hébergées tes données, quels pays sont impliqués (cap Partie 13) et quels tiers y accèdent. Un fournisseur qui refuse de publier cette liste te demande de signer les yeux fermés — mauvais signe.
🧭 Sur FormaCampus — FormaCampus est au milieu de la chaîne : sous-traitant de l’école en amont, mais responsable de ses propres sous-traitants en aval (hébergeur, e-mailing, IA). Elle doit donc répercuter sur eux les obligations qu’elle a promises à l’école, obtenir l’autorisation de l’école pour cette sous-traitance ultérieure, et tenir à jour la liste de ses sous-traitants pour pouvoir informer l’école de tout changement. Si son hébergeur défaille, l’école se retourne vers FormaCampus, qui reste garante — même si, en interne, elle se retourne à son tour vers l’hébergeur.
🔒 Côté personne concernée — Pour un parent, cette chaîne doit rester invisible et étanche. Il ne connaît que l’école. Peu importe qu’il y ait trois ou dix maillons derrière : à chaque étage, les mêmes obligations de sécurité et de confidentialité s’appliquent, et personne n’a le droit de réutiliser les données de son enfant pour son compte. La chaîne est longue, mais le niveau de protection ne doit jamais baisser en descendant.
📚 Le texte — La sous-traitance ultérieure est encadrée par l’article 28.2 (autorisation préalable ou générale écrite, avec information et droit d’opposition) et l’article 28.4 (répercussion des mêmes obligations par contrat, et responsabilité maintenue du sous-traitant envers le responsable). Les lignes directrices 07/2020 du CEPD détaillent la mécanique de la chaîne (
edpb.europa.eu).
✏️ Exercices
Exercice 1 — Trace la chaîne. Une école confie ses données à FormaCampus, qui héberge chez un cloud, envoie ses e-mails via un service tiers et fait corriger des copies par un LLM. Qui est RT, ST, et ST ultérieur ?
✅ Solution
L’école est responsable de traitement. FormaCampus est sous-traitant (elle exécute pour le compte de l’école). Le cloud, le service d’e-mailing et le fournisseur d’IA sont des sous-traitants ultérieurs de FormaCampus. Chaque lien porte un DPA qui répercute les mêmes obligations (art. 28.4), et FormaCampus a dû obtenir l’autorisation de l’école pour recourir à ces sous-traitants ultérieurs (art. 28.2).
Exercice 2 — Changement d’hébergeur. FormaCampus change discrètement d’hébergeur cloud, sans prévenir les écoles clientes. L’autorisation était « générale ». Y a-t-il un problème ?
✅ Solution
Oui. L’autorisation générale n’est pas un chèque en blanc : elle oblige le sous-traitant à informer le responsable de tout ajout ou remplacement de sous-traitant ultérieur, en lui laissant un délai pour s’opposer (art. 28.2). En changeant d’hébergeur sans prévenir les écoles, FormaCampus manque à cette obligation — d’autant plus si le nouvel hébergeur implique un transfert hors UE (Partie 13) que les écoles n’ont pas validé.
Exercice 3 — « C’est la faute de mon hébergeur ». Une fuite survient chez le sous-traitant ultérieur (l’hébergeur). FormaCampus peut-elle s’en laver les mains vis-à-vis de l’école ?
✅ Solution
Non. Au titre de l’article 28.4, FormaCampus demeure pleinement responsable, envers l’école, de l’exécution par l’hébergeur de ses obligations. Elle doit notifier la violation à l’école (art. 33) et l’assister. En interne, elle peut se retourner contractuellement contre l’hébergeur, mais cela ne l’exonère pas devant le responsable. Et l’école, elle, reste responsable de bout en bout envers les familles.
🧠 Quiz de révision
1. Qu’est-ce que la sous-traitance ultérieure ?
Le fait qu’un sous-traitant recoure lui-même à d’autres sous-traitants pour exécuter tout ou partie de la mission (art. 28.2). Exemple : FormaCampus (sous-traitant de l’école) qui s’appuie sur un hébergeur, un e-mailing et un LLM — ses sous-traitants ultérieurs.
2. Quelles conditions pour recruter un sous-traitant ultérieur ?
Une autorisation du responsable — préalable et spécifique ou générale et écrite (avec information des changements et droit d’opposition) — et la répercussion des mêmes obligations par contrat sur le sous-traitant ultérieur (art. 28.2 et 28.4).
3. Un sous-traitant est-il responsable des fautes de ses propres sous-traitants ?
Oui, envers le responsable de traitement : l’article 28.4 précise qu’il demeure pleinement responsable de l’exécution par son sous-traitant ultérieur de ses obligations. Il ne peut pas se « laver les mains » d’une défaillance en aval.
4. « Autorisation générale » veut-il dire chèque en blanc ?
Non. Le sous-traitant doit informer le responsable de tout ajout ou remplacement de sous-traitant ultérieur et lui laisser la possibilité de s’opposer (art. 28.2). Côté responsable, il faut donc surveiller la liste des sous-traitants de ses fournisseurs.
5. Qui reste responsable envers les personnes, tout au bout de la chaîne ?
Le responsable de traitement initial (par exemple l’école) reste responsable de bout en bout envers les personnes concernées. La chaîne peut être longue, le niveau de protection et la responsabilité ne se diluent pas en descendant.
Chapitre suivant : 12.4 — Choisir & auditer un SaaS — puisque chaque maillon compte, on apprend à évaluer un prestataire avant de l’ajouter à la chaîne : la checklist « garanties suffisantes ».