L'article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit Règlement général sur la protection des données (RGPD), encadre les relations entre le responsable du traitement et le sous-traitant. Il impose au responsable du traitement de ne recourir qu'à des sous-traitants présentant des garanties suffisantes et de conclure avec eux un contrat écrit définissant l'objet, la durée, la nature et la finalité du traitement, ainsi que les obligations et les droits de chacune des parties.
Cette disposition constitue une innovation majeure du RGPD par rapport à la directive 95/46/CE, en imposant des exigences contractuelles détaillées et en conférant au sous-traitant des obligations directes découlant du règlement, indépendamment des instructions du responsable du traitement. Elle vise à renforcer la protection des données personnelles dans les chaînes de traitement complexes impliquant plusieurs intervenants.
L'article 28 est fondamental pour la gouvernance des données personnelles dans les organisations modernes, qui recourent de manière croissante à des prestataires externes pour la gestion de leurs systèmes d'information, l'hébergement de leurs données, ou la réalisation de traitements spécifiques.
Texte officiel de l'article 28 du RGPD (extraits principaux)
L'article 28 du RGPD dispose notamment :
1. Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
2. Le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. [...]
3. Les traitements effectués par un sous-traitant sont régis par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, qui définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit notamment que le sous-traitant :
a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement [...]
b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité [...]
c) prenne toutes les mesures requises en vertu de l'article 32 [sécurité du traitement] ;
d) respecte les conditions visées aux paragraphes 2 et 4 pour le recrutement d'un autre sous-traitant ;
e) compte tenu de la nature du traitement, aide le responsable du traitement [...] à garantir le respect des obligations [...] ;
f) aide le responsable du traitement à garantir le respect des obligations [...] en tenant compte de la nature du traitement et des informations à la disposition du sous-traitant ;
g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services [...]
h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits [...]
4. Lorsqu'un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection des données que celles fixées dans le contrat [...] entre le responsable du traitement et le sous-traitant sont imposées à cet autre sous-traitant [...]
10. Sans préjudice d'un contrat individuel entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique [...] peut être fondé, en tout ou en partie, sur les clauses contractuelles types [...] y compris lorsqu'elles font partie d'une certification [...]
Ce texte établit ainsi un cadre contractuel rigoureux pour les relations entre responsable du traitement et sous-traitant, en imposant des garanties substantielles et des obligations détaillées.
La notion de sous-traitant au sens du RGPD
L'article 4, point 8, du RGPD définit le sous-traitant comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». Le sous-traitant se caractérise par le fait qu'il agit sur instruction du responsable du traitement et qu'il ne détermine pas lui-même les finalités et les moyens essentiels du traitement.
La qualification de sous-traitant relève d'une analyse factuelle et non de la qualification contractuelle retenue par les parties. Ainsi, un prestataire qui se qualifie de « fournisseur de services » ou de « partenaire » peut être requalifié en sous-traitant s'il traite, de fait, des données à caractère personnel pour le compte du responsable du traitement, conformément à ses instructions.
Il est essentiel de bien distinguer le sous-traitant, qui agit pour le compte du responsable du traitement, du responsable conjoint du traitement (article 26), qui participe à la détermination conjointe des finalités et des moyens du traitement. Cette distinction conditionne le régime juridique applicable et les obligations respectives des parties.
Les garanties suffisantes exigées du sous-traitant
L'article 28, paragraphe 1, impose au responsable du traitement de faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Cette exigence impose au responsable du traitement de procéder à une évaluation préalable des capacités du sous-traitant à respecter les exigences du RGPD.
Les garanties à vérifier incluent notamment l'expertise technique du sous-traitant en matière de protection des données, la mise en œuvre de mesures de sécurité appropriées, la formation du personnel, l'existence de politiques et de procédures internes de gestion des données personnelles, la capacité à répondre aux demandes d'exercice de droits des personnes concernées, et la mise en place de mécanismes de gestion des violations de données.
Le responsable du traitement peut s'appuyer sur des certifications, des labels, ou des codes de conduite pour évaluer les garanties présentées par le sous-traitant. Toutefois, ces éléments ne dispensent pas le responsable du traitement de procéder à sa propre évaluation et de s'assurer, de manière continue, que le sous-traitant respecte les exigences du RGPD.
Le contrat ou acte juridique liant le sous-traitant
L'article 28, paragraphe 3, impose que les traitements effectués par un sous-traitant soient régis par un contrat ou un autre acte juridique qui définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement.
Ce contrat doit impérativement être écrit, y compris sous forme électronique. Il doit prévoir, de manière détaillée, les huit obligations minimales énoncées aux points a) à h) du paragraphe 3, notamment l'obligation pour le sous-traitant de ne traiter les données que sur instruction documentée du responsable du traitement, de veiller à la confidentialité des données, de prendre toutes les mesures de sécurité requises, d'aider le responsable du traitement à garantir le respect de ses obligations, et de supprimer ou de restituer les données au terme de la prestation de services.
Le contrat peut être fondé, en tout ou en partie, sur des clauses contractuelles types élaborées par la Commission européenne ou par une autorité de contrôle. Ces clauses facilitent la rédaction du contrat et garantissent un niveau élevé de conformité au RGPD. Toutefois, il est souvent nécessaire de compléter ces clauses par des dispositions spécifiques adaptées à la nature du traitement et aux risques identifiés.
La sous-traitance ultérieure
L'article 28, paragraphe 2, prévoit que le sous-traitant ne peut recruter un autre sous-traitant (sous-traitant ultérieur) sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. En cas d'autorisation écrite générale, le sous-traitant doit informer le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.
L'article 28, paragraphe 4, impose que les mêmes obligations en matière de protection des données que celles fixées dans le contrat entre le responsable du traitement et le sous-traitant soient imposées au sous-traitant ultérieur. Le sous-traitant initial demeure pleinement responsable à l'égard du responsable du traitement de l'exécution par le sous-traitant ultérieur de ses obligations en matière de protection des données.
En pratique, cela signifie que le sous-traitant doit conclure un contrat avec le sous-traitant ultérieur reprenant l'ensemble des obligations prévues à l'article 28, paragraphe 3, et qu'il doit s'assurer du respect de ces obligations par le sous-traitant ultérieur. Le responsable du traitement conserve, quant à lui, le droit de vérifier que les sous-traitants ultérieurs présentent des garanties suffisantes et respectent les exigences du RGPD.
Les obligations directes du sous-traitant
L'article 28 confère au sous-traitant des obligations directes découlant du RGPD, indépendamment des instructions du responsable du traitement. Ainsi, le sous-traitant est directement tenu de respecter les obligations prévues aux articles 32 à 36 du RGPD, notamment en matière de sécurité du traitement (article 32), de notification des violations de données à caractère personnel à l'autorité de contrôle (article 33), et de réalisation d'analyses d'impact relatives à la protection des données (article 35).
Le sous-traitant doit également aider le responsable du traitement à garantir le respect de ses obligations, notamment en matière de réponse aux demandes d'exercice de droits des personnes concernées, de réalisation d'analyses d'impact, ou de coopération avec les autorités de contrôle. Cette obligation d'assistance impose au sous-traitant de mettre en place des procédures et des outils permettant au responsable du traitement de remplir ses obligations en temps utile.
La restitution ou la suppression des données
L'article 28, paragraphe 3, point g), impose au sous-traitant, selon le choix du responsable du traitement, de supprimer toutes les données à caractère personnel ou de les renvoyer au responsable du traitement au terme de la prestation de services relatifs au traitement, et de supprimer les copies existantes, à moins que le droit de l'Union ou le droit d'un État membre n'exige la conservation des données.
Cette obligation vise à garantir que le sous-traitant ne conserve pas les données au-delà de la durée nécessaire à l'exécution de la prestation et qu'il ne les utilise pas à d'autres fins que celles prévues par le contrat. Elle suppose que le responsable du traitement indique clairement au sous-traitant, au terme de la prestation, s'il souhaite récupérer les données ou s'il demande leur suppression définitive.
En pratique, il est recommandé de prévoir, dans le contrat, les modalités de restitution ou de suppression des données (format, support, procédure de vérification de la suppression effective, certificat de destruction, etc.), afin d'éviter tout litige ou tout risque de conservation indue des données par le sous-traitant.
Le droit d'audit du responsable du traitement
L'article 28, paragraphe 3, point h), impose au sous-traitant de mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 et pour permettre la réalisation d'audits, y compris d'inspections, par le responsable du traitement ou un auditeur qu'il a mandaté, et contribuer à ces audits.
Ce droit d'audit constitue une garantie essentielle permettant au responsable du traitement de s'assurer que le sous-traitant respecte effectivement les exigences du RGPD et les stipulations du contrat. Il peut être exercé sur place, dans les locaux du sous-traitant, ou à distance, par l'examen de documents et de justificatifs.
Il est recommandé de préciser, dans le contrat, les modalités d'exercice du droit d'audit (fréquence, préavis, périmètre, modalités de prise en charge des coûts, obligations de confidentialité de l'auditeur, etc.), afin d'éviter tout litige et de garantir l'effectivité de ce droit sans perturber de manière excessive l'activité du sous-traitant.
Sanctions et jurisprudence
Le non-respect de l'article 28 est susceptible d'entraîner des sanctions administratives à l'encontre tant du responsable du traitement que du sous-traitant. Les autorités de contrôle sanctionnent régulièrement l'absence de contrat écrit entre le responsable du traitement et le sous-traitant, l'insuffisance des garanties présentées par le sous-traitant, ou le non-respect par le sous-traitant de ses obligations contractuelles et réglementaires.
La Commission nationale de l'informatique et des libertés (CNIL) a, à plusieurs reprises, rappelé que le recours à un sous-traitant ne décharge pas le responsable du traitement de ses obligations et que celui-ci demeure responsable de la conformité du traitement réalisé par le sous-traitant. Elle a également souligné que le sous-traitant peut être sanctionné directement en cas de manquement à ses obligations, indépendamment des instructions reçues du responsable du traitement.
Recommandations de la CNIL et du CEPD
La CNIL recommande aux responsables de traitement de procéder à une évaluation préalable rigoureuse de leurs sous-traitants, de conclure des contrats écrits conformes aux exigences de l'article 28, paragraphe 3, et d'exercer régulièrement leur droit d'audit afin de s'assurer du respect effectif des obligations contractuelles et réglementaires. Elle met à disposition des modèles de clauses contractuelles et des guides pratiques pour faciliter la rédaction des contrats de sous-traitance.
Le Comité européen de la protection des données (CEPD) a publié des lignes directrices sur les notions de responsable du traitement et de sous-traitant (Guidelines 07/2020), dans lesquelles il précise les critères de qualification du sous-traitant, les obligations respectives du responsable du traitement et du sous-traitant, et les modalités de mise en œuvre de l'article 28. Il souligne que le contrat de sous-traitance constitue un élément essentiel de la gouvernance des données personnelles et qu'il doit être adapté à la nature et aux risques du traitement.
L'article 28 du RGPD encadre de manière rigoureuse les relations entre le responsable du traitement et le sous-traitant, en imposant la conclusion d'un contrat écrit détaillé et en conférant au sous-traitant des obligations directes découlant du règlement. Il constitue un pilier essentiel de la gouvernance des données personnelles dans les organisations qui recourent à des prestataires externes.
Pour les responsables de traitement, le respect de l'article 28 implique une vigilance particulière dans le choix de leurs sous-traitants, la rédaction de contrats conformes aux exigences du RGPD, et l'exercice régulier de contrôles et d'audits. Pour les sous-traitants, il impose la mise en place de mesures techniques et organisationnelles appropriées, le respect des instructions du responsable du traitement, et la capacité à démontrer la conformité de leurs pratiques. La relation contractuelle entre responsable et sous-traitant constitue ainsi un élément déterminant de la conformité au RGPD et de la protection effective des droits des personnes concernées.