Article 29 du RGPD : Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant
Sommaire
Introduction
L’article 29 complète l’article 28 du RGPD en précisant les limites d’action du sous-traitant.
L’article 29 du Règlement général sur la protection des données (RGPD) établit un principe fondamental de la protection des données personnelles : toute personne, notamment le sous-traitant ou toute autre personne agissant sous l’autorité du responsable du traitement ou du sous-traitant, ne peut traiter des données personnelles que sur instruction documentée du responsable du traitement. Cette disposition vise à garantir que le traitement des données soit strictement contrôlé et conforme aux finalités et modalités définies par le responsable du traitement. Une seule exception est prévue : lorsque le traitement est imposé par le droit de l’Union européenne ou d’un État membre, auquel cas le sous-traitant peut y procéder même sans instruction, mais doit en informer le responsable du traitement, sauf interdiction légale.
Explication de l’article 29 du RGPD
L’article 29 précise le cadre juridique dans lequel le sous-traitant et les personnes agissant sous l’autorité du responsable du traitement opèrent. Il fixe que ces acteurs ne peuvent accéder ni traiter les données à caractère personnel que sur instruction explicite du responsable du traitement. Cette règle vise à protéger les données contre toute utilisation non autorisée ou abusive par les sous-traitants ou les collaborateurs indirects.
L’article protège ainsi la responsabilité et le contrôle du responsable du traitement sur le traitement des données : le responsable reste le garant de la finalité, de la licéité et de la conformité du traitement, tandis que le sous-traitant agit uniquement comme exécutant sous sa directive. Si une loi européenne ou nationale impose un traitement spécifique, le sous-traitant peut alors agir sans instruction expresse, mais il doit en informer immédiatement le responsable du traitement, afin d’assurer la transparence et la responsabilité.
Cette disposition est à la base des contrats de sous-traitance en matière de données personnelles, qui doivent impérativement formaliser ces obligations selon le cadre du RGPD. Les manquements à ces règles peuvent entraîner des sanctions administratives significatives, comme l’a confirmé une sanction infligée à un sous-traitant pour traitement non conforme aux instructions de son client.
Texte original du RGPD
Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre.
Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
Article 16
Confidentialité des traitements
Toute personne agissant sous l’autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en vertu d’obligations légales.
Article 17
(…)
- Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures.
- La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que:
– le sous-traitant n’agit que sur la seule instruction du responsable du traitement,
– les obligations visées au paragraphe 1, telles que définies par la législation de l’État membre dans lequel le sous-traitant est établi, incombent également à celui-ci.
- Aux fins de la conservation des preuves, les éléments du contrat ou de l’acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.
Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)
Article 61
Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018
Conformément à l’article 29 du règlement (UE) 2016/679 du 27 avril 2016, sauf dispositions législatives ou réglementaires contraires, il est interdit au sous-traitant ou à toute autre personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant ayant accès à des données à caractère personnel de traiter ces données sans l’accord du responsable du traitement.
Analyse des 3 textes qui précèdent
RGPD
Formulation simple : traitement uniquement sur instruction du responsable, sauf obligation légale de l’UE ou d’un État membre.
Directive 95/46 CE
Article 16 met l’accent sur la confidentialité et inclut explicitement le sous-traitant lui-même.
Article 17 ajoute des exigences : choix d’un sous-traitant avec garanties de sécurité, formalisation contractuelle obligatoire, et preuve écrite des engagements.
Loi Informatique et Libertés
Reprend le principe de l’article 29 RGPD mais avec une nuance nationale : « sauf dispositions législatives ou réglementaires contraires », ce qui introduit une ouverture plus large aux exceptions prévues en droit français.
Résumé :
Directive 95/46 CE : a établi les bases : obligation de confidentialité (art. 16) et mise en place d’un cadre contractuel et de sécurité technique (art. 17).
RGPD : a simplifié et harmonisé l’obligation au niveau européen, en soulignant le principe général d’agir seulement sur instruction.
Loi Informatique et Libertés : a intégré l’exigence dans le droit interne pour assurer effectivité et contrôle national, en ajoutant une réserve aux exceptions légales françaises.
Jurisprudences
Européennes
Affaire Italie (10 avril 2025) – Network of Agencies and Companies
Sanction de 850 mille euros d’amende. Cette affaire met en cause un manquement à l’article 29 du RGPD car un sous-traitant ou une personne agissant sous l’autorité du responsable du traitement a procédé au traitement de données personnelles sans suivre strictement les instructions reçues. Ce non-respect des instructions constitue une violation directe du principe fondamental que tout traitement par un tiers doit être effectué uniquement sur instruction du responsable. La sanction illustre la vigilance des autorités italiennes sur l’application rigoureuse de ce principe.
Affaire Grèce (25 juin 2025) – KARAMBELAS KONSTANTINOS & CO. E.E.
Sanction de 40 mille euros d’amende. L’article 29 RGPD est invoqué dans cette sanction car le sous-traitant a traité des données personnelles en dehors des cadres définis par le responsable du traitement. Cela correspond à une transaction non conforme aux instructions imposées par le responsable, ce qui porte atteinte à la maîtrise et à la sécurité des traitements. Cette affaire reflète l’importance du respect des limites imposées par l’article 29 pour garantir la protection des données dans les relations sous-traitant/responsable.
Sanction de 1,500,000 euros d’amende. Dans cette affaire, le rôle de l’article 29 est central : Dedalus Biologie, en tant que sous-traitant, a traité un volume excessif de données personnelles, au-delà des instructions données par le responsable du traitement. Cette violation de l’exclusivité des instructions constitue un manquement grave au cadre juridique prévu par le RGPD. Le lien contractuel insuffisant et des mesures de sécurité défaillantes ont aggravé la situation, mais le cœur de la sanction repose bien sur une transgression de l’article 29.
Recommandations
CEPD
Comme de nombreuses entreprises, choisissez la sérénité. Faites appel à un DPO externe de Mon Expert RGPD.