📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 28 RGPD du RGPD : Sous-traitant

Sommaire

Introduction 

L’article 28 du Règlement Général sur la Protection des Données (RGPD) encadre la relation entre le responsable du traitement des données personnelles et le sous-traitant qui effectue un traitement pour son compte. Il vise à garantir que le recours à un sous-traitant n’affaiblisse pas la protection des données à caractère personnel. Cet article impose au responsable du traitement de sélectionner des sous-traitants offrant des garanties suffisantes en matière de sécurité et de conformité aux exigences du RGPD.

Explication de l’article 

L’article 28 du Règlement Européen sur la Protection des Données (RGPD) encadre les obligations du sous-traitant concernant la protection des données personnelles. Le sous-traitant est la personne ou l’organisme qui traite des données à caractère personnel pour le compte et selon les instructions du responsable du traitement, qui lui, détermine les finalités et moyens du traitement (article 4 RGPD). Par exemple, si une entreprise A fournit un service d’envoi de newsletters en utilisant un fichier client appartenant à une entreprise B, l’entreprise A agit en tant que sous-traitant de l’entreprise B responsable de traitement. Il convient de noter que l’entreprise A peut être aussi responsable de traitement pour d’autres données qu’elle traite pour son propre compte, comme les données relatives au recrutement interne (article 28, alinéa 10 RGPD).

Parce que le responsable de traitement transfère des données personnelles à son sous-traitant, il doit s’assurer que celui-ci présente des garanties suffisantes pour les protéger. Cet article organise les obligations du sous-traitant autour de deux grands axes : la transparence et l’assistance (1) et la sécurité (2).

1.Obligation de transparence et d’assistance

Cette obligation s’applique dès le début de la relation commerciale (1.1) et tout au long de la collaboration (1.2).

1.1 Transparence dès le début

Un contrat écrit doit formaliser la relation entre le responsable et le sous-traitant, précisant notamment l’objet, la durée, la nature, la finalité du traitement, ainsi que la nature des données concernées (y compris les catégories sensibles) (article 28, alinéa 3). Il doit contenir les instructions du responsable (article 28, alinéa 3,a) et peut inclure les clauses contractuelles types (articles 28, alinéas 6 à 8). Ce contrat est souvent appelé Data Processing Agreement (DPA).

Si le sous-traitant fait appel à un autre sous-traitant (sous-sous-traitant), il doit obtenir l’accord écrit préalable du responsable (article 28, alinéa 2), informer de tout changement de sous-traitant, et conclure un accord similaire avec ce dernier (article 28, alinéa 3,d). En tout état de cause, le premier sous-traitant reste responsable vis-à-vis du responsable de traitement en cas de manquement de son sous-traitant (article 28, alinéa 4).

1.2 Transparence et assistance dans la durée

Le sous-traitant doit informer le responsable en cas de violation des règles de protection des données, qu’elle soit due à lui-même, à son sous-traitant, ou au responsable (article 28, alinéas f et h). Il doit également assister le responsable dans la gestion des demandes des personnes concernées (accès, rectification, suppression, opposition) (article 28, alinéa 3,e), par exemple en procédant rapidement à la suppression des données, et mettre à disposition toutes les informations nécessaires au responsable pour démontrer le respect de ses obligations, notamment dans le cadre d’audits (article 28, alinéa 3,h).

2. Obligation de sécurité

Le sous-traitant doit mettre en œuvre des mesures techniques et organisationnelles adaptées au risque (pseudonymisation, tests de sécurité réguliers, chiffrement, etc.) (articles 28, alinéa c et 32 RGPD). Il doit garantir la confidentialité en imposant à ses employés une obligation de discrétion (article 28, alinéa b).

En cas de violation de données personnelles, le sous-traitant doit informer immédiatement la CNIL et les personnes concernées, conformément aux articles 33 et 34 RGPD (article 28, alinéa f).

Enfin, à la fin de la prestation, le sous-traitant doit supprimer ou restituer toutes les données personnelles, sauf obligation légale contraire (article 28, alinéa g).

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1.Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

2.Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous- traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

3.Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous- traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;

b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c) prend toutes les mesures requises en vertu de l’article 32;

d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;

e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;

f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;

g)selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel; et

h) met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect des obligations prévues au présent article et pou permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

4.Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement.

Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

5.L’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément attestant de l’existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.

6.Sans préjudice d’un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu’elles font partie d’une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.

7.La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d’examen visée à l’article 93, paragraphe2.

8.Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l’article 63.

9.Le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.

10.Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 17

(…)

  1. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures.
  2. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que:

– le sous-traitant n’agit que sur la seule instruction du responsable du traitement,

– les obligations visées au paragraphe 1, telles que définies par la législation de l’État membre dans lequel le sous-traitant est établi, incombent également à celui-ci.

  1. Aux fins de la conservation des preuves, les éléments du contrat ou de l’acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 60

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

La qualité de sous-traitant n’exonère en rien du respect des dispositions applicables du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi.

Le traitement réalisé par un sous-traitant est régi par un contrat ou tout acte juridique qui lie le sous-traitant à l’égard du responsable du traitement, sous une forme écrite, y compris en format électronique, respectant les conditions prévues à l’article 28 du règlement.

Le sous-traitant et, le cas échéant, son représentant doivent tenir le registre mentionné à l’article 30 de ce même règlement.

Lorsqu’un sous-traitant a recours à un autre sous-traitant pour mener les activités de traitement spécifiques pour le compte du responsable du traitement, il conclut avec ce sous-traitant le contrat mentionné au deuxième alinéa. Le troisième alinéa s’applique également.

Analyse des 3 textes qui précèdent 

L’article 28 du RGPD marque une évolution majeure par rapport à la Directive 95/46/CE (art. 17) et à la loi française Informatique et Libertés (LIL) : alors que la Directive et la LIL rattachaient la sous‑traitance principalement aux obligations de sécurité, le RGPD a instauré un régime autonome et complet des rapports responsables/sous‑traitants, élargissant considérablement les devoirs contractuels du sous‑traitant et le contrôle du responsable.

Directive 95/46/CE (article 17)

  • Intègre la sous‑traitance au sein des obligations générales de sécurité.
  • Le responsable ne peut recourir qu’à un sous‑traitant garantissant des mesures techniques et organisationnelles suffisantes.
  • Le contrat doit imposer que le sous‑traitant :
    • agisse uniquement sur instruction du responsable,
    • respecte les mesures de sécurité imposées par la législation.
  • Aucune disposition spécifique sur les sous‑traitants ultérieurs (« sous‑traitants secondaires »).

Loi Informatique et Libertés (ancienne version, avant 2018)

  • Transposition fidèle de la Directive :
    • Obligation de choisir un sous‑traitant offrant des garanties suffisantes en termes de sécurité.
    • Clauses contractuelles spécifiques obligatoires
  • Le fond de l’approche reste limité à la sécurisation du traitement et au contrôle hiérarchique du responsable.

RGPD (article 28)

  • Autonomise et étend le régime de la sous‑traitance : ce n’est plus seulement une question de sécurité.
  • Exigence renforcée de contrat écrit ou électronique, avec de nombreuses mentions obligatoires dépassant la simple sécurité :
    • Instruction documentée du responsable (notamment sur transferts vers pays tiers).
    • Confidentialité des personnes autorisées.
    • Conditions strictes pour recourir à des sous‑traitants secondaires (autorisation préalable et information du responsable).
    • Assistance au responsable pour l’exercice des droits des personnes concernées.
    • Assistance pour le respect des obligations de sécurité, notification de violation, analyses d’impact, etc.
    • Effacement ou restitution des données en fin de prestation.
    • Mise à disposition des informations nécessaires pour contrôle (audits, inspections).
    • Obligation de signaler toute instruction illégale du responsable.
  • Responsabilité élargie : si un sous‑traitant détermine des finalités ou moyens, il devient responsable de traitement.
  • Valeur ajoutée : possibilité de s’appuyer sur codes de conduite (art. 40), mécanismes de certification (art. 42) et clauses contractuelles types établies par la Commission ou les autorités de contrôle.

Jurisprudences 

Européennes 

Affaire Vodafone – PANAFON A.E.E.T.

Sanction de 550 000 € d’amende prononcée en juin 2025, évoque l’article 28 du RGPD car elle concerne des manquements quant aux obligations du sous-traitant dans la protection des données personnelles. L’enquête a révélé que Vodafone, en tant que responsable de traitement, n’a pas suffisamment sélectionné ni supervisé un sous-traitant (un magasin franchisé tiers) qui a activé frauduleusement plusieurs lignes téléphoniques prépayées en utilisant les données personnelles d’un client sans son consentement. Ce sous-traitant a violé les instructions données par Vodafone et n’a pas respecté les procédures de vérification des abonnés.

Françaises 

Dedalus Biologie 

Sanction de 1,5 million d’euros d’amende le 15 avril 2022. Dedalus Biologie, éditeur de logiciels pour laboratoires médicaux, a été sanctionné par la CNIL pour plusieurs manquements dont la violation de l’article 28 RGPD. En effet, la société n’avait pas formalisé de contrats conformes de traitement des données avec ses clients (laboratoires) comme l’exige l’article 28(3) RGPD. Par ailleurs, elle a dépassé les instructions données par les responsables de traitement en migrant des volumes plus larges de données que prévus, incluant des données de santé sensibles, ce qui viole l’article 29 RGPD. Cette décision illustre l’importance des obligations du sous-traitant de respecter les instructions du responsable et de mettre en place des garanties contractuelles et techniques appropriées.

Groupe Canal+

Sanction de 600 000 euros d’amende le 12 octobre 2023. Groupe Canal+ a été sanctionné notamment pour non-respect de l’article 28 RGPD, relatif aux contrats et sécurités avec les sous-traitants. La CNIL a constaté que Canal+ ne disposait pas d’accords contractuels suffisants avec ses sous-traitants des données, et que la sécurité des données était insuffisante (article 32 RGPD). Cette affaire souligne la nécessité pour les responsables de traitement de garantir que leurs sous-traitants respectent pleinement le RGPD, via des contrats et mesures appropriés, notamment en matière de sécurité des données.

Délibération SAN-2021-020 du 28 décembre 2021 – Légifrance

Sanction de 180 000 euros d’amende pour Slimpay. Dans cette affaire, la CNIL fait le même constat que mentionné au dessus : l’absence d’actes juridiques, de contrats encadrant la relation responsable de traitement / sous-traitant.

Délibération SAN-2021-012 du 26 juillet 2021 – Légifrance

Sanction de 400 000 euros d’amende pour Monsanto Company. La CNIL reproche à la société l’absence d’actes juridiques encadrant la relation entre le sous-traitant et le responsable de traitement.

CE Fr., n°354629 (12 mars 2014)

L’affaire CE Fr., n°354629 du 12 mars 2014, citée dans le contexte de l’article 28 RGPD, est une décision du Conseil d’État français qui porte sur la question de la qualification juridique entre responsable du traitement et sous-traitant.

Dans cette affaire, la société Foncia Groupe avait mis en place un traitement de données à caractère personnel qu’elle mettait à disposition des entités qui lui sont liées. Elle déterminait la nature des données collectées, les droits d’accès, la durée de conservation, et apportait des correctifs au traitement après contrôle de la CNIL. Par conséquent, le Conseil d’État a jugé que la société Foncia Groupe devait être considérée comme responsable du traitement, car elle déterminait les finalités et moyens du traitement, contrairement aux entités liées qui n’étaient pas responsables.

Cette décision illustre la distinction fondamentale posée par l’article 28 RGPD entre le responsable du traitement (qui décide des finalités et moyens des traitements) et le sous-traitant (qui traite les données uniquement pour le compte et sur instructions du responsable). Elle rappelle également que la désignation administrative ou contractuelle seule ne suffit pas à qualifier une entité de responsable ou sous-traitant, mais que cette qualification dépend d’une analyse factuelle portant sur l’exercice du pouvoir de décision.

Recommandations 

G29 

Avis sur les notions de «responsable du traitement» et de «sous-traitant»- 1/2010 (16 févirer 2010)

CEPD 

Lignes directrices concernant les notions de responsable du traitement et de sous-traitant dans le RGPD – 7/2020 (7 juillet 2021)

CNIL

Guide du sous-traitant (Septembre 2017)

Le RGPD peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne de A à Z.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.