En bref
L'article 28 du RGPD exige un contrat écrit entre responsable de traitement et sous-traitant détaillant instructions, sécurité et restitution des données. L'absence de contrat conforme expose les deux parties à des amendes pouvant atteindre dix millions d'euros.
Qualification du sous-traitant au sens du RGPD
Art. 4, point 8, Règlement (UE) 2016/679
« Le sous-traitant est défini comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». Cette qualification fonctionnelle s'apprécie in concreto. »
L'exigence d'un contrat écrit conforme à l'article 28
Art. 28, §9, Règlement (UE) 2016/679
« Le contrat ou l'acte juridique liant le responsable du traitement et le sous-traitant se présente sous une forme écrite, y compris en format électronique. Cette exigence formelle est une condition de conformité impérative. »
Confondre clause de confidentialité et contrat RGPD
Une clause de confidentialité dans les conditions générales du prestataire ne satisfait pas l'article 28 du règlement. Le contrat de sous-traitance RGPD exige des clauses impératives spécifiques et exhaustives.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Les clauses impératives du contrat de sous-traitance
Art. 28, §3, Règlement (UE) 2016/679
« Le contrat prévoit notamment que le sous-traitant traite les données uniquement sur instruction documentée, garantit la confidentialité, met en œuvre la sécurité de l'article 32 et supprime ou restitue les données au terme de la prestation. »
Utiliser les clauses contractuelles types de la CNIL
La CNIL met à disposition un guide du sous-traitant accompagné de clauses types couvrant l'ensemble des exigences de l'article 28. Ce socle est librement adaptable aux spécificités de chaque prestation.
Sous-traitance ultérieure : autorisation et responsabilité en cascade
Art. 28, §2 et §4, Règlement (UE) 2016/679
« Le sous-traitant ne recrute aucun autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable. Les mêmes obligations sont imposées au sous-traitant ultérieur et le sous-traitant initial reste pleinement responsable. »
Sous-traitance ultérieure non déclarée hors Union européenne
Un sous-traitant qui recourt à un hébergeur situé dans un État tiers sans autorisation ni garanties adéquates cumule deux infractions : sous-traitance non autorisée et transfert international illicite de données personnelles.
Sécurité, sanctions et bonnes pratiques contractuelles
Art. 83, §4, Règlement (UE) 2016/679
« Les violations des obligations de l'article 28 sont passibles d'amendes administratives pouvant atteindre dix millions d'euros ou deux pour cent du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. »
Rendre la clause d'audit opérationnelle
Précisez dans le contrat les modalités concrètes d'exercice du droit d'audit : fréquence, préavis, accès aux locaux et systèmes, prise en charge des coûts. Une clause vague sera inexploitable en cas de litige.
Questions fréquentes
Un sous-traitant RGPD peut-il faire appel à un autre sous-traitant pour traiter les données ?
Oui, mais uniquement avec l'autorisation écrite préalable du responsable de traitement, qu'elle soit spécifique ou générale. En cas d'autorisation générale, le responsable doit être informé de tout changement et dispose d'un droit d'opposition. Le sous-traitant initial demeure pleinement responsable des actes du tiers et doit lui imposer contractuellement les mêmes obligations.
Quelles sanctions encourt-on en cas d'absence de contrat de sous-traitance conforme au RGPD ?
L'absence de contrat conforme à l'article 28 du règlement constitue un manquement passible d'une amende administrative pouvant atteindre dix millions d'euros ou deux pour cent du chiffre d'affaires annuel mondial. Le responsable et le sous-traitant sont tous deux susceptibles d'être sanctionnés par la CNIL. Au-delà de l'amende, cette carence fragilise toute défense en cas de contentieux avec une personne concernée.
Le contrat de sous-traitance RGPD peut-il être intégré comme avenant au contrat commercial ?
Oui, le contrat de sous-traitance au sens du RGPD peut prendre la forme d'un avenant, d'une annexe dédiée ou de conditions particulières rattachées au contrat de prestation principal. L'essentiel est que toutes les clauses impératives de l'article 28 figurent de manière explicite et complète, sous forme écrite ou électronique. Un simple renvoi aux conditions générales du prestataire ne satisfait pas cette exigence.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Cholet
- Procédure à Vannes
- Procédure à Pessac
- Procédure à Charleville Mezieres
- Procédure à Cergy
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours