Contrat de sous-traitance RGPD (DPA) : l'article 28 expliqué (2026)

Un contrat de sous-traitance (Data Processing Agreement, ou DPA) est un contrat contraignant que l'article 28 du RGPD impose à tout responsable du traitement de conclure avec chaque sous-traitant avant que celui-ci ne traite des données à caractère personnel pour son compte. En l'absence d'un DPA conforme, les deux parties s'exposent à des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial en vertu de l'article 83, paragraphe 4.
Qu'est-ce qu'un contrat de sous-traitance RGPD ?
Un contrat de sous-traitance RGPD est le contrat que l'article 28, paragraphe 3, du règlement (UE) 2016/679 impose à un responsable du traitement de mettre en place avec chaque sous-traitant qu'il engage pour traiter des données à caractère personnel. Il précise l'objet, la durée, la nature et la finalité du traitement, le type de données à caractère personnel concernées, les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement. Le contrat doit être établi par écrit, y compris sous forme électronique, comme le précise l'article 28, paragraphe 9.
L'article 28, paragraphe 1, impose au responsable du traitement de ne recourir qu'à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Le DPA est le mécanisme principal par lequel le responsable du traitement obtient et documente ces garanties, et il se situe au croisement de la responsabilité (accountability) et de la responsabilité civile. En vertu de l'article 82, tant les responsables du traitement que les sous-traitants sont exposés à une responsabilité civile pour les dommages causés par une violation du RGPD. La responsabilité du sous-traitant est limitée aux situations où il n'a pas respecté les obligations qui lui incombent spécifiquement en tant que sous-traitant ou a agi en dehors des instructions licites du responsable du traitement. Un DPA bien rédigé définit précisément ces instructions, ce qui compte à la fois pour les besoins de la mise en conformité et pour la répartition de la responsabilité.
Les lignes directrices 07/2020 du CEPD sur les notions de responsable du traitement et de sous-traitant, adoptées dans leur version définitive le 7 septembre 2021, soulignent que l'absence de DPA écrit constitue en soi une violation de l'article 28, indépendamment de tout préjudice subi par une personne concernée. Des autorités de contrôle ont infligé des amendes spécifiquement pour des contrats de sous-traitance manquants ou inadéquats. Pour une présentation du cadre général du RGPD, voir Qu'est-ce que le RGPD ?.
Responsable du traitement contre sous-traitant : pourquoi cette distinction compte
L'article 4, paragraphe 7, définit le responsable du traitement comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ». L'article 4, paragraphe 8, définit le sous-traitant comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
Le responsable du traitement décide du « pourquoi » et du « comment » : quelles données collecter, dans quel but, sur quelle base légale, et pendant combien de temps. Le sous-traitant opère dans ces paramètres. Il exécute des tâches techniques ou organisationnelles sur les données, mais ne fixe pas de manière autonome la finalité, ne conserve pas les données au-delà des instructions du responsable, et ne les utilise pas à son propre profit.
Les lignes directrices 07/2020 du CEPD précisent que cette qualification est fonctionnelle et factuelle, et non contractuelle. Désigner une entité comme « sous-traitant » dans un contrat ne suffit pas à lui conférer cette qualité si, en pratique, elle exerce un pouvoir d'appréciation autonome sur les finalités ou les moyens du traitement. Une entité qui glisse progressivement d'un traitement sur instruction vers la définition de finalités devient responsable du traitement et assume les obligations correspondantes, quelle que soit la qualification retenue par les parties.
Cette distinction emporte trois conséquences pratiques. Premièrement, seul le responsable du traitement doit disposer d'une base légale au titre de l'article 6 ; le sous-traitant n'en a pas besoin d'une distincte tant qu'il agit dans le cadre de ses instructions. Deuxièmement, le responsable du traitement est le principal comptable devant les autorités de contrôle du fond du traitement. Troisièmement, les obligations d'audit, de coopération et d'assistance remontent au responsable du traitement par l'intermédiaire du DPA.
Les relations courantes de sous-traitance incluent les fournisseurs de stockage en nuage hébergeant des données pour le compte du responsable du traitement ; les fournisseurs de services de messagerie transmettant des communications ; les prestataires de paie traitant les données des salariés selon les instructions de l'employeur ; les plateformes d'analyse traitant les données des visiteurs d'un site selon les conditions fixées par l'exploitant ; et les prestataires externalisés de support client travaillant à partir d'un script et d'une base de données définis.
Tous les tiers qui manipulent des données à caractère personnel ne sont pas des sous-traitants. Les responsables conjoints du traitement (article 26), les destinataires recevant des données au titre d'une divulgation licite, et les entités traitant des données de manière indépendante pour leurs propres finalités ne sont pas des sous-traitants. Un fournisseur d'infrastructure en nuage qui ne traite les données que sur instruction documentée du client est clairement un sous-traitant. Une société d'analyse marketing qui agrège des données provenant de plusieurs clients, en tire ses propres enseignements et vend ces enseignements à des tiers est, pour ce traitement indépendant, responsable du traitement à part entière.
Quand un DPA est-il requis ?
Un DPA est requis chaque fois qu'un sous-traitant traite des données à caractère personnel pour le compte d'un responsable du traitement. L'article 28, paragraphe 1, impose cette obligation au responsable du traitement sans distinction de secteur d'activité, de taille d'organisation, de valeur du contrat, de volume de traitement, ou de sensibilité des données. Un photographe indépendant qui externalise ses lettres d'information marketing à une plateforme d'automatisation marketing doit disposer d'un DPA avec cette plateforme. L'obligation naît avant tout début de traitement ; un responsable du traitement qui transfère des données à un sous-traitant sans DPA écrit préalable est en infraction dès le premier transfert de données.
Plusieurs contextes dans lesquels les DPA sont fréquemment négligés mais clairement requis :
Fournisseurs SaaS. Lorsqu'une entreprise s'abonne à une plateforme SaaS qui traite les données de ses clients ou de ses salariés dans le cadre de la fourniture du service, le fournisseur SaaS est sous-traitant et un DPA est obligatoire. La plupart des grands fournisseurs publient des DPA standard, mais le responsable du traitement demeure tenu de vérifier que ces documents satisfont pleinement à l'article 28, paragraphe 3.
Prestataires de maintenance et de support informatique. Un prestataire disposant d'un accès temporaire à un système contenant des données à caractère personnel pour effectuer une maintenance traite ces données pour le compte du responsable, même s'il n'est pas censé les lire ou les utiliser. L'accès lui-même constitue un traitement au sens de l'article 4, paragraphe 2.
Analyse et technologies publicitaires. Les plateformes qui déposent des technologies de suivi sur le site d'un responsable du traitement et traitent les données des visiteurs selon la configuration définie par ce dernier agissent comme sous-traitants pour ces activités, même lorsque la plateforme traite simultanément les données à ses propres fins publicitaires en tant que responsable du traitement distinct.
RH et paie externalisées. Un prestataire de paie externe traite les données personnelles des salariés strictement pour exécuter les obligations de paie de l'employeur ; il ne détermine pas la finalité de ce traitement.
Fournisseurs d'infrastructure en nuage. Lorsqu'une entreprise exploite ses propres applications sur une infrastructure en nuage tierce, le fournisseur de cloud traite des données à caractère personnel pour le compte de l'entreprise. Les grands fournisseurs proposent des DPA standard, mais le responsable du traitement ne peut pas se fier uniquement à leur publication ; une acceptation active est nécessaire.
Un DPA n'est pas requis lorsque deux organisations traitent des données à caractère personnel de manière indépendante pour leurs propres finalités distinctes, chacune agissant en qualité de responsable du traitement. Un DPA n'est pas non plus requis pour les responsables conjoints du traitement, bien que l'article 26 exige un arrangement distinct entre eux.
Les huit clauses obligatoires : l'article 28, paragraphe 3, dans son intégralité
L'article 28, paragraphe 3, précise le contenu minimal d'un DPA en huit alinéas. Chacun est impératif ; un DPA qui omet ou affaiblit substantiellement l'un de ces huit éléments ne satisfait pas à l'article 28.
| Clause | Ce qu'elle exige |
|---|---|
| Article 28, § 3, a) | Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts vers un pays tiers ou une organisation internationale, à moins d'y être obligé par le droit de l'Union ou d'un État membre ; dans ce cas, il informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public. |
| Article 28, § 3, b) | Le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. |
| Article 28, § 3, c) | Le sous-traitant prend toutes les mesures requises en vertu de l'article 32, c'est-à-dire qu'il met en œuvre des mesures techniques et organisationnelles appropriées, proportionnées au risque. |
| Article 28, § 3, d) | Le sous-traitant respecte les conditions visées à l'article 28, paragraphes 2 et 4, pour recruter un autre sous-traitant (sous-traitant ultérieur), notamment l'obtention d'une autorisation préalable du responsable du traitement et l'imposition d'obligations équivalentes au sous-traitant ultérieur. |
| Article 28, § 3, e) | Le sous-traitant aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées prévus aux articles 15 à 22. |
| Article 28, § 3, f) | Le sous-traitant aide le responsable du traitement à garantir le respect des obligations de sécurité de l'article 32, de notification des violations au titre des articles 33 et 34, des analyses d'impact relatives à la protection des données au titre de l'article 35, et de consultation préalable au titre de l'article 36, compte tenu de la nature du traitement et des informations à sa disposition. |
| Article 28, § 3, g) | Au choix du responsable du traitement, le sous-traitant supprime ou restitue toutes les données à caractère personnel au responsable du traitement au terme de la prestation de services de traitement, et supprime les copies existantes, à moins que le droit de l'Union ou d'un État membre n'exige leur conservation. |
| Article 28, § 3, h) | Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28, et permet la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribue à ces audits. Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du règlement ou d'autres dispositions du droit de l'Union ou d'un État membre relatives à la protection des données. |
Au-delà des huit clauses obligatoires, l'article 28, paragraphe 3, exige également que le contrat précise l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel, les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement. Ces paramètres définissent le cadre à l'intérieur duquel le sous-traitant opère licitement.
Clause a) : instructions exclusivement documentées
L'exigence d'instructions documentées prévue à l'article 28, paragraphe 3, point a), constitue le mécanisme de contrôle fondamental de la relation de sous-traitance. « Documenté » signifie écrit ou enregistré sous une autre forme ; les instructions verbales sont insuffisantes pour toute instruction significative quant à la portée du traitement.
Le DPA lui-même fixe les instructions principales (catégories de données, opérations de traitement autorisées, durées de conservation), et l'accord de service les complète avec des détails opérationnels. Les instructions ponctuelles allant au-delà de la portée initiale doivent être documentées. L'obligation du sous-traitant de signaler toute instruction qu'il estime contraire au RGPD (prévue dans la dernière phrase de l'article 28, paragraphe 3) complète cette clause : un sous-traitant qui suit une instruction illicite sans la signaler risque de perdre la protection de responsabilité que confère le respect des instructions au titre de l'article 82, paragraphe 3.
Lorsque le sous-traitant ou ses sous-traitants ultérieurs exploitent une infrastructure hors de l'EEE, le DPA doit expressément autoriser ces transferts et identifier le mécanisme de transfert applicable au titre du chapitre V du RGPD. Voir le guide sur les transferts internationaux de données RGPD.
Clause c) : la sécurité au titre de l'article 32
L'article 28, paragraphe 3, point c), impose directement au sous-traitant les obligations de l'article 32. L'article 32, paragraphe 1, précise ce que ces mesures de sécurité doivent couvrir : la pseudonymisation et le chiffrement ; la capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes de traitement ; la capacité à rétablir la disponibilité et l'accès aux données à caractère personnel dans des délais appropriés en cas d'incident physique ou technique ; et une procédure de test, d'analyse et d'évaluation régulières de l'efficacité des mesures techniques et organisationnelles.
Les mesures appropriées doivent tenir compte de l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque pour les droits et libertés des personnes physiques. Ce qui est approprié pour un sous-traitant traitant des données d'analyse anonymisées diffère de ce qui est exigé pour des données de santé ou des données financières. Un DPA qui ne précise pas les normes de sécurité attendues du sous-traitant pour les catégories de données particulières en cause est insuffisant.
Clause f) : l'assistance en matière de notification des violations et d'AIPD
L'article 28, paragraphe 3, point f), impose une obligation de coopération soumise à des délais contraignants. En vertu de l'article 33, paragraphe 1, un responsable du traitement doit notifier à son autorité de contrôle une violation de données à caractère personnel dans les meilleurs délais et, si possible, dans les 72 heures. Un responsable du traitement ne peut respecter ce délai que si son sous-traitant dispose de systèmes lui permettant de détecter, documenter et notifier rapidement.
Le DPA doit préciser l'obligation du sous-traitant de notifier au responsable du traitement toute violation potentielle de données dans un délai défini (de nombreux DPA retiennent 24 à 48 heures), et de fournir les informations prévues à l'article 33, paragraphe 3 : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les catégories et le nombre approximatif d'enregistrements concernés, les conséquences probables, et les mesures prises ou proposées. Un renvoi vague et général à l'article 33 est insuffisant.
L'obligation d'assistance pour les AIPD est également importante en pratique. En vertu de l'article 35, un responsable du traitement doit réaliser une analyse d'impact relative à la protection des données avant tout traitement susceptible d'engendrer un risque élevé pour les personnes concernées. Les sous-traitants détiennent souvent les informations techniques nécessaires pour compléter l'analyse de risque, et le DPA doit préciser l'obligation de coopération du sous-traitant.
Clause h) : le droit d'audit
Les sous-traitants proposent fréquemment de satisfaire à l'article 28, paragraphe 3, point h), au moyen de certifications d'audit tierces (ISO 27001 ou SOC 2 de type II), plutôt que d'accorder au responsable du traitement un accès direct aux systèmes et registres. Les lignes directrices 07/2020 du CEPD confirment que les certifications tierces peuvent constituer un élément de preuve de conformité, mais qu'elles ne peuvent pas exclure le droit du responsable du traitement de procéder à son propre audit lorsqu'il a des préoccupations spécifiques en matière de conformité. Une clause de DPA qui remplace intégralement le droit d'audit par une simple référence à une certification ne satisfait pas à l'article 28, paragraphe 3, point h), et a été critiquée par les autorités de contrôle.
Les sous-traitants ultérieurs et l'obligation de répercussion
Un sous-traitant ultérieur est tout tiers qu'un sous-traitant engage pour réaliser des activités de traitement spécifiques pour le compte du responsable du traitement. L'article 28, paragraphe 2, impose au sous-traitant d'obtenir l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement avant d'engager tout sous-traitant ultérieur.
Lorsque le responsable du traitement accorde une autorisation générale, l'article 28, paragraphe 2, impose au sous-traitant d'informer le responsable du traitement de tout changement envisagé concernant l'ajout ou le remplacement de sous-traitants ultérieurs, en lui donnant la possibilité de s'y opposer. Le DPA doit prévoir un délai de préavis suffisant pour permettre au responsable du traitement d'exercer ce droit ; de nombreux DPA fixent un préavis de 30 jours.
L'article 28, paragraphe 4, prévoit la règle de répercussion : lorsqu'un sous-traitant engage un sous-traitant ultérieur, il doit lui imposer les mêmes obligations de protection des données que celles prévues dans le contrat entre le responsable du traitement et le sous-traitant. Si le sous-traitant ultérieur ne respecte pas ses obligations, le sous-traitant initial demeure pleinement responsable envers le responsable du traitement.
Chaque maillon d'une chaîne de traitement doit être lié par un contrat conforme à l'article 28. La responsabilité remonte intégralement vers le sous-traitant, qui doit à son tour veiller à des protections contractuelles adéquates dans les accords conclus avec les sous-traitants ultérieurs.
Les responsables du traitement gérant des chaînes de fournisseurs complexes devraient cartographier leurs sous-traitants et les sous-traitants ultérieurs déclarés par chacun dans le cadre de leur registre des activités de traitement (article 30). De nombreux sous-traitants publient des listes de sous-traitants ultérieurs et s'engagent à notifier à l'avance tout changement.
Les clauses contractuelles types de l'article 28 de la Commission
Le RGPD permet que les DPA soient fondés, en tout ou en partie, sur des clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle (article 28, paragraphes 6 et 7).
La décision d'exécution (UE) 2021/914 de la Commission, publiée au Journal officiel L 199/31 le 7 juin 2021, a adopté les CCT pour les transferts internationaux de données. Cette décision comporte quatre modules, dont le module 2 (responsable du traitement vers sous-traitant) et le module 3 (sous-traitant vers sous-traitant), régissant les obligations de transfert du chapitre V lorsque le traitement implique un transfert hors de l'EEE. Ces CCT de transfert international sont distinctes des CCT de l'article 28, mais compatibles avec elles. Pour une explication complète, voir le guide sur les transferts internationaux de données RGPD.
La décision d'exécution (UE) 2021/915 de la Commission, également publiée le 4 juin 2021, a adopté des clauses contractuelles types autonomes spécifiquement destinées aux accords responsable-sous-traitant au sein de l'UE et de l'EEE (les « CCT de l'article 28 »). Les parties qui les adoptent sans modification peuvent se prévaloir de la détermination d'adéquation de la Commission pour ces clauses. Elles sont structurées de manière modulaire et adaptable, avec des dispositions optionnelles clairement identifiées et des annexes dans lesquelles les parties renseignent les paramètres de traitement propres à leur relation (catégories de données, finalités, mesures de sécurité, liste des sous-traitants ultérieurs).
Les parties peuvent ajouter des clauses commerciales supplémentaires aux CCT de l'article 28, à condition que ces ajouts ne contredisent pas les clauses obligatoires ni ne réduisent la protection des personnes concernées. Lorsque les parties souhaitent intégrer à la fois les CCT de l'article 28 et les CCT de transfert du chapitre V dans un seul contrat, les orientations de la Commission confirment que les deux ensembles de clauses peuvent être combinés.
Les DPA et les transferts internationaux de données
Chaque fois que le traitement effectué dans le cadre d'un DPA implique un transfert de données à caractère personnel hors de l'EEE, le DPA doit traiter la conformité au chapitre V. L'article 28, paragraphe 3, point a), exige déjà que le DPA couvre toute instruction de transfert de données vers un pays tiers.
Lorsque l'ensemble de la relation de traitement se situe au sein de l'EEE, les CCT de l'article 28 couvrent intégralement la relation. Lorsque le sous-traitant exploite une infrastructure hors de l'EEE mais que le pays de destination bénéficie d'une décision d'adéquation de l'UE (par exemple, le Royaume-Uni, le Japon, ou une organisation américaine certifiée DPF), le DPA doit identifier cette décision d'adéquation comme fondement du transfert et confirmer que le sous-traitant et tout sous-traitant ultérieur recevant les données en bénéficient. En l'absence de décision d'adéquation, le DPA doit intégrer le mécanisme du chapitre V applicable : pour une relation transfrontalière responsable-sous-traitant, le module 2 des CCT de transfert international de 2021, qui impose également une analyse d'impact relative aux transferts au titre de la clause 14.
Un responsable du traitement qui exécute un DPA conforme à l'article 28 avec un fournisseur de cloud américain, mais omet d'intégrer séparément le module 2 des CCT de transfert international, n'est que partiellement conforme : la relation de traitement est encadrée, mais le transfert lui-même est dépourvu de base légale valide. La liste de contrôle de conformité RGPD couvre les étapes nécessaires pour traiter ces deux niveaux.
Qui rédige le DPA ?
Le RGPD impose au responsable du traitement de veiller à la mise en place d'un DPA. En pratique, les grands sous-traitants (éditeurs SaaS et fournisseurs de cloud) rédigent généralement le DPA type, car ils traitent avec des centaines, voire des milliers, de responsables du traitement et ne peuvent négocier un contrat sur mesure avec chacun d'eux.
Du point de vue du responsable du traitement, cela crée une obligation de diligence plutôt qu'une obligation de rédaction. Un responsable du traitement qui contresigne le DPA d'un sous-traitant sans en vérifier le contenu ne s'est pas acquitté de ses obligations de responsabilité au titre de l'article 5, paragraphe 2, même si ce DPA s'avère conforme. Si le DPA type du sous-traitant est déficient, le responsable du traitement doit négocier des modifications ou rechercher un sous-traitant proposant un contrat conforme.
Les responsables du traitement qui font appel à de petits prestataires ne proposant pas leur propre DPA type doivent rédiger l'accord eux-mêmes ou utiliser les CCT de l'article 28 de la Commission comme base. Les CCT de l'article 28 sont disponibles gratuitement sur le site de la Commission.
Dans le cadre d'un accord de responsabilité conjointe au titre de l'article 26, les obligations de l'article 28 ne s'appliquent pas entre les responsables conjoints. L'article 26 exige un arrangement transparent distinct régissant leurs responsabilités respectives, soumis à des règles différentes de celles d'un DPA.
Conséquences de l'absence de DPA
L'absence de DPA conforme constitue une violation autonome du RGPD. L'article 83, paragraphe 4, cite l'article 28 parmi les dispositions dont la violation est passible d'amendes administratives pouvant atteindre 10 000 000 euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Lorsque l'absence de DPA est le symptôme de défaillances plus larges en matière de responsabilité, les autorités de contrôle ont également appliqué le seuil supérieur de l'article 83, paragraphe 5, au titre des articles 5 et 25.
Les autorités de contrôle peuvent également exercer leurs pouvoirs correctifs au titre de l'article 58, paragraphe 2 : émettre des avertissements, des rappels à l'ordre et des injonctions de mise en conformité ; limiter ou interdire, temporairement ou définitivement, un traitement ; et ordonner la suspension des flux de données vers un sous-traitant. Une interdiction temporaire de traitement peut être opérationnellement plus dommageable qu'une amende lorsque le sous-traitant fournit une infrastructure critique à l'activité.
La responsabilité civile au titre de l'article 82 constitue un risque distinct. En l'absence de DPA définissant la portée et les obligations du sous-traitant, le responsable du traitement peut avoir des difficultés à établir que le traitement était licite. Les décisions de sanction sont publiques ; le constat qu'une société traitait des données à caractère personnel par l'intermédiaire d'un prestataire sans aucun DPA révèle des défaillances systémiques de gouvernance et tend à attirer un examen plus large.
Parmi les sanctions documentées figurent celles de l'autorité suédoise de protection des données (IMY), qui a sanctionné des responsables du traitement pour absence de contrats de sous-traitance adéquats avec leurs fournisseurs, et celles de la Commission irlandaise de protection des données, qui a constaté des arrangements contractuels responsable-sous-traitant inadéquats dans le cadre d'enquêtes majeures visant de grandes entreprises technologiques.
Étapes pratiques essentielles pour les responsables du traitement
Cartographier les sous-traitants. Identifier chaque tiers qui traite des données à caractère personnel pour le compte du responsable du traitement. Le registre des activités de traitement exigé par l'article 30 constitue le vecteur naturel de cet exercice. Un DPA écrit et conforme doit être en place avant tout transfert de données à chaque sous-traitant identifié.
Évaluer l'adéquation. L'article 28, paragraphe 1, exige une diligence raisonnable sur les mesures techniques et organisationnelles de sécurité de chaque sous-traitant, ses arrangements avec des sous-traitants ultérieurs, ses procédures de notification des violations, sa posture de coopération en matière d'audit, et sa capacité à assister le responsable du traitement dans le traitement des demandes des personnes concernées. Cette diligence peut consister à examiner les certifications d'audit tierces, à compléter des questionnaires de sécurité fournisseur, et à examiner la documentation de confidentialité du sous-traitant.
Conclure un DPA conforme. L'utilisation des CCT de l'article 28 de la Commission constitue la voie la plus simple pour satisfaire aux clauses obligatoires. Lorsque le traitement implique des transferts internationaux, le module 2 des CCT de transfert international de la Commission doit également être intégré ou exécuté séparément.
Gérer les changements de sous-traitants ultérieurs. Lorsque le DPA prévoit une autorisation générale de sous-traitance ultérieure, mettre en place une procédure de réception et d'examen des notifications de changement de sous-traitant ultérieur, et exercer le droit d'opposition lorsqu'un sous-traitant proposé soulève des préoccupations de conformité.
Maintenir les DPA à jour. Les sous-traitants mettent à jour leurs services, ajoutent des sous-traitants ultérieurs, changent de centres de données et révisent leurs mesures de sécurité. Les DPA doivent être réexaminés à chaque changement significatif dans les activités de traitement couvertes.
Pour savoir comment le DPA s'intègre dans le programme de mise en conformité RGPD plus large, voir la liste de contrôle de conformité RGPD.
Portée juridictionnelle : Cet article traite de l'exigence de contrat de sous-traitance au titre du RGPD, règlement (UE) 2016/679, qui s'applique au sein de l'Union européenne et de l'Espace économique européen, y compris à son application aux sous-traitants et responsables du traitement établis hors de l'UE/EEE mais soumis à la portée extraterritoriale du RGPD au titre de l'article 3. Il ne traite pas séparément du UK GDPR (qui conserve des exigences équivalentes au titre de l'article 28 après le Brexit), ni des contrats de traitement sectoriels relevant des règles de protection des données des institutions de l'Union au titre du règlement (UE) 2018/1725.
Avertissement : Cet article fournit des informations juridiques générales sur l'article 28 du RGPD et les contrats de sous-traitance, à jour au mois de juin 2026. Il ne constitue pas un conseil juridique et ne saurait être invoqué comme tel. Les exigences juridiques décrites reflètent le RGPD ainsi que les orientations officielles de la Commission et du CEPD à la date de publication. Les lois et les orientations peuvent évoluer. Il convient de consulter un avocat qualifié et inscrit au barreau compétent pour obtenir des conseils adaptés à la situation spécifique de votre organisation.
Frequently Asked Questions
Qu'est-ce qu'un contrat de sous-traitance au titre du RGPD ?
Un contrat de sous-traitance (DPA) est un contrat écrit que l'article 28 du RGPD impose à un responsable du traitement de conclure avec chaque sous-traitant avant que celui-ci ne traite des données à caractère personnel pour son compte. Le DPA doit préciser l'objet, la durée, la nature et la finalité du traitement, et doit inclure les huit catégories d'obligations obligatoires énumérées à l'article 28, paragraphe 3, notamment le devoir du sous-traitant de ne suivre que des instructions documentées, de préserver la confidentialité, de mettre en œuvre des mesures de sécurité, de gérer les sous-traitants ultérieurs, d'assister l'exercice des droits des personnes concernées, d'assister la notification des violations et les AIPD, de supprimer ou restituer les données à la fin de la relation, et de coopérer aux audits.
Quand a-t-on besoin d'un DPA RGPD ?
Un DPA est requis chaque fois qu'un sous-traitant traite des données à caractère personnel pour le compte d'un responsable du traitement. Cette obligation s'applique quels que soient le secteur d'activité, la taille de l'organisation ou la sensibilité des données concernées. Elle s'applique avant tout début de traitement. Parmi les exemples courants nécessitant un DPA figurent les fournisseurs de stockage en nuage hébergeant les données d'un responsable du traitement, les plateformes SaaS traitant les dossiers clients, les prestataires de paie traitant les données des salariés, les fournisseurs d'analyse traitant les données des visiteurs d'un site, et les prestataires de support informatique ayant accès à des systèmes contenant des données à caractère personnel. Un DPA n'est pas requis entre responsables conjoints du traitement (soumis à une obligation distincte au titre de l'article 26), ni lorsque le tiers traite les données de manière entièrement indépendante pour ses propres finalités.
Que doit contenir un DPA RGPD ?
L'article 28, paragraphe 3, précise huit catégories de clauses obligatoires : a) ne traiter les données que sur instruction documentée du responsable du traitement ; b) veiller à ce que le personnel autorisé soit tenu à la confidentialité ; c) mettre en œuvre les mesures de sécurité de l'article 32 ; d) respecter les exigences d'autorisation et de répercussion applicables aux sous-traitants ultérieurs ; e) assister le responsable du traitement dans les demandes d'exercice des droits des personnes concernées ; f) assister la notification des violations au titre des articles 33 et 34, les AIPD au titre de l'article 35, et la consultation préalable au titre de l'article 36 ; g) supprimer ou restituer toutes les données à caractère personnel à la fin des services ; et h) mettre des informations à disposition pour les audits et inspections, et informer immédiatement le responsable du traitement de toute instruction paraissant contraire au RGPD. Au-delà de ces clauses, le DPA doit également préciser l'objet, la durée, la nature et la finalité du traitement, les types de données et les catégories de personnes concernées.
Qui fournit le DPA : le responsable du traitement ou le sous-traitant ?
L'obligation légale de veiller à la mise en place d'un DPA incombe au responsable du traitement au titre de l'article 28, paragraphe 1. En pratique, les grands sous-traitants (fournisseurs de cloud et éditeurs SaaS) rédigent et publient généralement des DPA types que les responsables du traitement sont invités à accepter. Le responsable du traitement ne peut pas déléguer son obligation légale au sous-traitant en contresignant un DPA sans en examiner le contenu. Il doit vérifier que tout DPA fourni par le sous-traitant satisfait aux huit éléments de l'article 28, paragraphe 3. Lorsque le sous-traitant ne propose pas de DPA type, le responsable du traitement doit en rédiger un ou utiliser les clauses contractuelles types de l'article 28 de la Commission (décision d'exécution (UE) 2021/915) comme base.
Quelle est la différence entre un responsable du traitement et un sous-traitant au sens du RGPD ?
L'article 4, paragraphe 7, définit le responsable du traitement comme l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel, c'est-à-dire qu'elle décide pourquoi les données sont traitées et comment. L'article 4, paragraphe 8, définit le sous-traitant comme une entité qui traite des données à caractère personnel pour le compte du responsable du traitement, en suivant ses instructions sans déterminer de manière autonome la finalité du traitement. Les lignes directrices 07/2020 du CEPD confirment que cette distinction est fonctionnelle et factuelle : qualifier une partie de sous-traitant dans un contrat ne suffit pas si elle exerce un contrôle indépendant sur les finalités. Un sous-traitant qui commence à déterminer lui-même les finalités du traitement devient responsable du traitement au titre de l'article 28, paragraphe 10, et assume la pleine responsabilité correspondante.
Les clauses contractuelles types de la Commission peuvent-elles servir de DPA ?
Oui. La décision d'exécution (UE) 2021/915 de la Commission, du 4 juin 2021, a adopté des clauses contractuelles types spécifiquement destinées aux relations responsable-sous-traitant au titre de l'article 28. Ces CCT de l'article 28 fournissent un modèle préapprouvé qui satisfait automatiquement aux exigences obligatoires de l'article 28, paragraphe 3, lorsqu'elles sont utilisées sans modification. Les parties complètent les annexes avec leurs paramètres de traitement spécifiques (catégories de données, finalités, mesures de sécurité, liste des sous-traitants ultérieurs). Les CCT de l'article 28 sont distinctes des CCT de transfert international de 2021 au titre de la décision (UE) 2021/914 ; lorsque des transferts internationaux sont également en cause, les deux ensembles de clauses peuvent être nécessaires.
Quelles sont les conséquences de l'absence de DPA ?
L'absence de DPA conforme constitue une violation autonome du RGPD, passible d'amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total au titre de l'article 83, paragraphe 4. Lorsque l'absence de DPA s'inscrit dans des défaillances plus larges en matière de responsabilité, des amendes plus élevées au titre de l'article 83, paragraphe 5, peuvent également être imposées. Au-delà des amendes, les autorités de contrôle peuvent prononcer des interdictions de traitement au titre de l'article 58, paragraphe 2, susceptibles de paralyser l'activité de l'entreprise. Les responsables du traitement peuvent également être exposés à une responsabilité civile au titre de l'article 82 envers les personnes concernées ayant subi un préjudice. Des décisions constatant l'absence ou l'inadéquation de contrats de sous-traitance ont été prononcées par plusieurs autorités de contrôle de l'UE, notamment l'IMY suédoise et la Commission irlandaise de protection des données.
Que sont les sous-traitants ultérieurs et comment l'article 28 les encadre-t-il ?
Un sous-traitant ultérieur est un tiers qu'un sous-traitant engage pour réaliser des activités de traitement spécifiques pour le compte du responsable du traitement. L'article 28, paragraphe 2, impose au sous-traitant d'obtenir l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement avant d'engager tout sous-traitant ultérieur. Lorsqu'une autorisation générale est accordée, le sous-traitant doit notifier au responsable du traitement tout changement de sous-traitant ultérieur et lui donner la possibilité de s'y opposer. En vertu de l'article 28, paragraphe 4, le sous-traitant doit imposer à chaque sous-traitant ultérieur les mêmes obligations de protection des données que celles prévues dans le DPA responsable-sous-traitant, et il demeure pleinement responsable envers le responsable du traitement si le sous-traitant ultérieur ne respecte pas ses obligations.
Un DPA doit-il traiter des transferts internationaux de données ?
Si le sous-traitant ou l'un de ses sous-traitants ultérieurs transfère des données à caractère personnel hors de l'EEE, le DPA doit traiter la conformité au chapitre V. L'article 28, paragraphe 3, point a), exige que le DPA couvre toute instruction de transfert de données vers un pays tiers. Lorsqu'une décision d'adéquation valide couvre la destination, le DPA devrait l'identifier. En l'absence de décision d'adéquation, le DPA doit intégrer le mécanisme du chapitre V applicable, qui, pour un transfert responsable-sous-traitant, correspond généralement au module 2 des clauses contractuelles types de 2021 au titre de la décision d'exécution (UE) 2021/914. Les CCT de l'article 28 et les CCT de transfert international peuvent être combinées dans un seul contrat.
Que signifie « instructions documentées » dans un DPA RGPD ?
L'article 28, paragraphe 3, point a), impose au sous-traitant de ne traiter les données à caractère personnel que sur instruction documentée du responsable du traitement. « Documenté » signifie écrit ou enregistré sous une autre forme. Le DPA constitue en lui-même l'ensemble principal d'instructions, précisant les opérations de traitement autorisées, les catégories de données, les finalités et les durées de conservation. Les instructions ponctuelles données au cours de la relation de service doivent également être documentées pour être valides. La dernière phrase de l'article 28, paragraphe 3, impose au sous-traitant d'informer immédiatement le responsable du traitement s'il estime qu'une instruction constitue une violation du RGPD ou d'une autre [législation applicable en matière de protection des données](/us-laws/data-privacy-laws). Un sous-traitant qui suit une instruction qu'il sait illicite sans le signaler risque de perdre la protection de responsabilité que confère le respect des instructions documentées au titre de l'article 82, paragraphe 3.
Sources and References
- Règlement (UE) 2016/679 (RGPD), articles 4, 28, 32, 33, 35, 82 et 83(eur-lex.europa.eu)
- Décision d'exécution (UE) 2021/914 de la Commission, clauses contractuelles types pour les transferts internationaux(eur-lex.europa.eu)
- Décision d'exécution (UE) 2021/915 de la Commission, clauses contractuelles types entre responsables du traitement et sous-traitants(eur-lex.europa.eu)
- Lignes directrices 07/2020 du CEPD sur les notions de responsable du traitement et de sous-traitant au titre du RGPD(edpb.europa.eu)
- Commission européenne, clauses contractuelles types pour les transferts de données(commission.europa.eu)