Sous-traitant : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le sous-traitant désigne, au sens de l'article 4 paragraphe 8 du Règlement (UE) 2016/679 (RGPD), la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement.

Le sous-traitant désigne, au sens de l'article 4 paragraphe 8 du Règlement (UE) 2016/679 (RGPD), la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement. Cette qualification recouvre une grande variété d'acteurs économiques : prestataires d'hébergement informatique, éditeurs de logiciels en mode SaaS, agences de communication, cabinets comptables, prestataires de paie, plateformes d'envoi de campagnes marketing, services de support client externalisés.

Le sous-traitant se distingue du responsable de traitement par son absence de pouvoir de décision sur les finalités et les moyens essentiels du traitement. Il agit sur instructions documentées du responsable de traitement et n'utilise les données reçues que dans le cadre de la mission qui lui est confiée. La qualification de sous-traitant repose sur une analyse factuelle de la relation : le seul intitulé contractuel ne suffit pas si la réalité opérationnelle révèle un partage du pouvoir décisionnel.

L'enjeu pratique de cette qualification est considérable. Le RGPD impose au responsable de traitement de ne recourir qu'à des sous-traitants présentant des garanties suffisantes (article 28 paragraphe 1) et d'encadrer la relation par un contrat conforme à des exigences strictes (article 28 paragraphe 3). Le sous-traitant lui-même supporte des obligations directes et peut faire l'objet de sanctions administratives prononcées par la CNIL.

Vous êtes sous-traitant ou vous avez recours à des sous-traitants ? Le Cabinet Aurore Bonavia rédige les contrats de sous-traitance conformes à l'article 28 du RGPD et accompagne vos audits de conformité. → Voir l'accompagnement en droit du numérique

La distinction entre responsable de traitement et sous-traitant

La frontière entre les deux qualifications repose sur l'analyse des finalités et des moyens essentiels du traitement. Le responsable de traitement définit pourquoi et comment les données sont traitées (objectif poursuivi, durée de conservation, catégories de personnes concernées, mesures de sécurité majeures). Le sous-traitant exécute le traitement selon ces paramètres sans disposer du pouvoir d'en modifier la substance.

Plusieurs cas de figure demandent une analyse minutieuse :

  • plateformes SaaS : un éditeur de logiciel qui fournit son outil à un client conserve la qualité de sous-traitant tant que le client garde le contrôle sur les données saisies dans l'outil et leurs finalités d'usage ;
  • plateformes de marketing automation : la plateforme est sous-traitante du responsable qui définit les segments et les contenus de campagne, mais elle peut basculer en responsable de traitement si elle utilise les données pour ses propres finalités (analyses agrégées, amélioration du produit) ;
  • prestataires de paie ou de comptabilité : ils sont en principe sous-traitants pour les données qu'ils traitent au nom de leur client, mais responsables de traitement pour leurs propres obligations légales (déclarations sociales et fiscales en leur qualité d'expert) ;
  • plateformes d'analytique web : les configurations dans lesquelles le prestataire enrichit les données collectées avec ses propres bases ou les utilise pour proposer des services à d'autres clients caractérisent souvent une responsabilité conjointe au sens de l'article 26 du RGPD.

L'EDPB a publié en juillet 2021 ses Lignes directrices 07/2020 sur les notions de responsable de traitement, sous-traitant et responsable conjoint, qui constituent la référence d'analyse en cas de doute.

Les obligations directes du sous-traitant

Le RGPD met à la charge du sous-traitant un ensemble d'obligations propres, sans qu'il puisse se retrancher derrière les seules instructions du responsable de traitement. Ces obligations directes incluent :

  • la sécurité du traitement (article 32) : mise en œuvre de mesures techniques et organisationnelles appropriées au risque, telles que chiffrement, sauvegarde, gestion des accès, journalisation ;
  • la tenue d'un registre des activités de traitement (article 30 paragraphe 2) listant les responsables de traitement pour le compte desquels le sous-traitant agit, les catégories de traitements effectués et les transferts éventuels ;
  • la désignation d'un délégué à la protection des données (DPO) lorsque les conditions de l'article 37 sont réunies du côté sous-traitant ;
  • la notification des violations de données au responsable de traitement dans les meilleurs délais après en avoir pris connaissance (article 33 paragraphe 2) ;
  • la coopération avec les autorités de contrôle (article 31) ;
  • le respect des règles de transfert de données hors UE (chapitre V du RGPD) lorsque le sous-traitant ou ses propres sous-traitants opèrent depuis un pays tiers.

Le sous-traitant ne peut recourir à un autre sous-traitant (sous-traitance dite « ultérieure ») qu'avec l'autorisation écrite, préalable, spécifique ou générale du responsable de traitement, et en imposant à son sous-traitant les mêmes obligations contractuelles que celles qui lui sont imposées (article 28 paragraphe 4).

Les exigences contractuelles de l'article 28 du RGPD

L'article 28 paragraphe 3 du RGPD impose la formalisation de la relation de sous-traitance par un contrat ou un autre acte juridique au sens du droit de l'Union ou du droit de l'État membre, qui lie le sous-traitant à l'égard du responsable de traitement. Ce contrat doit comporter sept mentions obligatoires :

  1. l'objet, la durée, la nature et la finalité du traitement ;
  2. le type de données à caractère personnel et les catégories de personnes concernées ;
  3. les obligations et droits du responsable de traitement ;
  4. l'engagement du sous-traitant de ne traiter les données que sur instruction documentée du responsable de traitement ;
  5. l'engagement de garantir la confidentialité par les personnes autorisées à traiter les données ;
  6. l'engagement de prendre toutes les mesures de sécurité requises par l'article 32 ;
  7. les conditions de la sous-traitance ultérieure, l'assistance au responsable de traitement pour répondre aux demandes des personnes concernées et pour les obligations RGPD, ainsi que les modalités de suppression ou de restitution des données au terme du contrat.

Le contrat peut prendre la forme d'un avenant aux conditions générales de prestation, d'un Data Processing Agreement (DPA) annexé, ou d'un module spécifique intégré au contrat principal. La Commission européenne a publié en juin 2021 un modèle de clauses contractuelles types (CCT) pour les relations entre responsables et sous-traitants (décision d'exécution 2021/915), qui peut être utilisé directement ou adapté aux besoins de chaque relation.

Spécificité juridique sur la responsabilité du sous-traitant

L'article 82 du Règlement (UE) 2016/679 organise un régime de responsabilité civile dans lequel le sous-traitant peut être directement attrait par une personne ayant subi un dommage du fait du traitement :

« 2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n'est tenu pour responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu'il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. »

Le sous-traitant qui agit hors du périmètre des instructions reçues du responsable de traitement est requalifié en responsable de traitement pour les opérations litigieuses (article 28 paragraphe 10) et supporte alors l'intégralité des obligations qui pèsent sur le responsable, y compris en termes de sanctions administratives. Cette requalification expose à des amendes pouvant atteindre 4 % du chiffre d'affaires annuel mondial, selon le régime de l'article 83 paragraphe 5.

La délibération CNIL n° SAN-2021-012 du 16 juillet 2021 a précisé les exigences concrètes pesant sur le responsable de traitement dans le choix de son sous-traitant. La CNIL a souligné que les garanties suffisantes au sens de l'article 28 paragraphe 1 du RGPD imposent au responsable une vérification effective des mesures techniques et organisationnelles déployées, de la capacité du sous-traitant à assister le responsable dans l'exercice des droits des personnes, et de la robustesse de ses dispositifs de sécurité. La simple production d'un contrat conforme à l'article 28 ne suffit pas : le responsable doit pouvoir démontrer une diligence concrète dans la sélection et le suivi de son sous-traitant.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de sous-traitant

  • la qualification de la relation entre votre organisation et vos prestataires (responsable de traitement seul, sous-traitant, responsabilité conjointe) ;
  • la rédaction et la négociation des contrats de sous-traitance conformes à l'article 28 du RGPD ;
  • l'audit des contrats existants et leur mise en conformité par voie d'avenants ;
  • l'élaboration de modèles de Data Processing Agreement (DPA) adaptés à votre activité ;
  • la formalisation des autorisations de sous-traitance ultérieure et leur suivi ;
  • l'accompagnement en cas de violation de données impliquant un sous-traitant ;
  • les actions contentieuses contre un sous-traitant défaillant ou la défense face aux reproches d'un responsable de traitement ;
  • la formation des équipes achats et juridiques aux exigences contractuelles RGPD.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 4.8, art. 26, art. 28, art. 32, art. 33, art. 82, art. 83, considérant 81, EDPB Lignes directrices 07/2020 sur les notions de responsable de traitement et de sous-traitant, Commission européenne décision d'exécution 2021/915 (clauses contractuelles types entre responsables et sous-traitants), CNIL délibération n° SAN-2021-012 du 16 juillet 2021, CNIL guide du sous-traitant. Fiche mise à jour le 4 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.