Sous-traitance IT & RGPD : Le guide du contrat de sous-traitance IT pour le Responsable de traitement
Lorsqu’un responsable de traitement confie tout ou partie d’un traitement de données personnelles à un prestataire IT, il ne se contente pas de déléguer une opération technique. Il engage sa responsabilité juridique.
Le RGPD impose que cette relation soit strictement encadrée par un contrat de sous-traitance, souvent désigné sous le terme de DPA (Data Processing Agreement).
Ce contrat ne constitue pas une formalité documentaire. Il est un instrument central de conformité, destiné à organiser la répartition des obligations, à limiter les risques juridiques et à permettre au responsable de traitement de démontrer son respect du principe d’accountability.
Le livre blanc "Livre blanc du DPA/RGPD - Le contrat de sous-traitance IT conforme au RGPD" approfondit ces points et propose une analyse détaillée des clauses essentielles, accompagnée d’un modèle de DPA structuré du point de vue du responsable de traitement.
Il s’adresse aux juristes, DPO et décideurs souhaitant sécuriser contractuellement leurs relations avec les prestataires IT.
Pourquoi le responsable de traitement demeure juridiquement responsable ?
Le recours à un sous-traitant n’a jamais pour effet de transférer la responsabilité au sens du RGPD.
Le responsable de traitement demeure l’acteur qui détermine les finalités et les moyens du traitement, y compris lorsque l’exécution matérielle est externalisée.
L’article 28 du RGPD impose une obligation de vigilance continue. Le responsable de traitement doit sélectionner un prestataire offrant des garanties suffisantes, formaliser la relation contractuellement et contrôler dans la durée le respect des engagements pris. En cas de contrôle, l’autorité de protection des données examine prioritairement les contrats conclus, leur contenu et leur adéquation avec les traitements réellement mis en œuvre.
Un contrat imprécis, standardisé ou déconnecté des réalités opérationnelles est susceptible d’être considéré comme non conforme, indépendamment de la bonne foi des parties.
Les exigences minimales imposées par l’article 28 du RGPD
Le RGPD fixe un socle contractuel impératif. Le contrat de sous-traitance doit avant tout décrire précisément le traitement confié. Cela implique de définir l’objet du traitement, sa durée, sa nature, ses finalités, les catégories de données traitées et les personnes concernées.
Cette description n’est pas purement déclarative. Elle délimite le périmètre d’intervention du sous-traitant et interdit toute utilisation des données en dehors du cadre contractuel. À défaut, le prestataire s’expose à une requalification, et le responsable de traitement à une perte de maîtrise juridique du traitement.
Le contrat doit également rappeler que le sous-traitant agit exclusivement sur instruction documentée du responsable de traitement. Cette exigence permet de garantir que les décisions relatives aux finalités et aux moyens ne sont jamais transférées de facto au prestataire. Il est essentiel de prévoir une obligation d’alerte lorsque le sous-traitant estime qu’une instruction contrevient au droit applicable.
Exemple de jurisprudence :
Une société qui choisit d'implémenter sur son site une fonctionnalité d'un prestataire (ex: mesure d'audience) demeure responsable car elle a déterminé la finalité et les moyens de l'intégration de cet outil : CNIL, P, 3 février 2022, Mise en demeure, Société X, n° MED-2022-005, non publié.
Confidentialité, sécurité et assistance du sous-traitant
La confidentialité des données ne peut être présumée. Le contrat doit imposer des engagements explicites, tant à l’égard du personnel du sous-traitant que de ses éventuels sous-traitants ultérieurs. Ces engagements doivent être opposables et contrôlables.
S’agissant de la sécurité, l’article 32 du RGPD impose la mise en œuvre de mesures techniques et organisationnelles appropriées au regard des risques. Le contrat doit traduire cette obligation générale en engagements concrets. Il est recommandé de décrire les mesures retenues et, surtout, de clarifier la répartition des responsabilités entre le responsable de traitement et le prestataire. À défaut, toute violation de données donne lieu à des incertitudes préjudiciables sur l’imputation des manquements.
Le sous-traitant doit également assister le responsable de traitement dans le respect de ses obligations réglementaires. Cette assistance couvre notamment la gestion des demandes d’exercice des droits, la réalisation des analyses d’impact, la notification des violations de données et la coopération avec l’autorité de contrôle. Ces obligations doivent être prévues contractuellement, avec des modalités opérationnelles précises.
Exemple de jurisprudence :
Le défaut d'acte juridique formalisant les relations entre un responsable de traitement et son sous-traitant, ou entre ce dernier et un sous-traitant de second rang, constitue un manquement à l'article 28 du RGPD : CNIL, P, 4 mars 2021, Mise en demeure, n° MED-2021-009, non publié.
Gestion des violations de données et continuité de la conformité
La gestion des incidents constitue un point critique du contrat de sous-traitance. Le RGPD impose une notification sans délai au responsable de traitement en cas de violation de données personnelles. En pratique, il est indispensable de fixer contractuellement un délai maximum et de préciser le contenu des informations attendues.
Un retard ou une information incomplète peut compromettre la capacité du responsable de traitement à respecter son propre délai de notification à l’autorité de contrôle. Le contrat doit donc organiser une coordination effective, fondée sur des procédures claires et des points de contact identifiés.
Exemple de jurisprudence :
L’article 28-3-f du RGPD impose que le contrat prévoie explicitement que le sous-traitant aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 (sécurité et notification des violations), en tenant compte de la nature du traitement et des informations dont il dispose : CNIL, FR, 8 janvier 2021, Sanction, Société X, n°SAN-2021-002, non publié
Droit d’audit et démonstration de la conformité
Le responsable de traitement doit pouvoir démontrer que son sous-traitant respecte ses obligations. Le droit d’audit constitue à cet égard un outil essentiel. Le contrat doit prévoir les modalités d’exercice de ce droit, en conciliant les impératifs de contrôle avec les contraintes opérationnelles du prestataire.
Il est également recommandé d’imposer la mise à disposition d’une documentation de conformité, telle que des politiques internes, des registres ou des rapports d’audit tiers. Sans accès à ces éléments, le principe d’accountability reste théorique.
Exemple de jurisprudence :
La responsabilité d'un acteur a été retenue pour n'avoir pas mis en œuvre un contrôle régulier sur les mesures techniques et organisationnelles de son sous-traitant chargé de la sécurité, ce qui a entraîné une vulnérabilité et une violation de données massive : CE, 10ème chambre, 26 avril 2022, Optical Center, n° 449284, Inédit., point 5 (https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2022-04-26/449284)
Sous-traitance ultérieure et chaînes de traitement
La sous-traitance en cascade est fréquente dans les prestations IT. Elle constitue toutefois une source majeure de risques juridiques si elle n’est pas strictement encadrée. Le RGPD impose une autorisation préalable du responsable de traitement et l’imposition d’obligations équivalentes aux sous-traitants ultérieurs.
Le contrat doit organiser cette transparence et rappeler que le sous-traitant principal demeure pleinement responsable des manquements commis par les acteurs intervenant en aval. L’absence de clauses adaptées expose le responsable de traitement à une perte de visibilité sur la circulation des données.
Exemple de jurisprudence :
Absence d'autorisation pour le second rang : La CNIL sanctionne le fait qu'un sous-traitant recrute une autre société pour l'hébergement ou la maintenance d'un service sans qu'une autorisation écrite préalable du responsable de traitement n'ait été obtenue. Défaut d'acte juridique : Le manquement est caractérisé dès lors qu'aucun acte juridique ne formalise les relations entre le sous-traitant principal et le sous-traitant de second rang. Transparence de la chaîne : Le responsable de traitement doit conserver une visibilité totale sur les acteurs intervenant dans le traitement pour respecter ses propres obligations de sécurité : CNIL, P, 4 mars 2021, Mise en demeure, n° MED-2021-009, non publié
Transferts de données hors de l’Union européenne
Les transferts internationaux de données doivent être anticipés contractuellement. Ils ne se limitent pas à l’hébergement, mais peuvent résulter d’accès distants, de maintenance ou de support technique.
Le contrat de sous-traitance doit interdire tout transfert non autorisé et imposer la mise en place de mécanismes conformes au chapitre V du RGPD. Depuis la jurisprudence Schrems II, cette obligation implique également une coopération du prestataire pour l’évaluation des risques et la mise en œuvre de mesures supplémentaires lorsque cela est nécessaire.
Exemple de jurisprudence :
Pour des transferts vers les États-Unis, la CNIL a jugé que la simple publication d’un rapport de transparence ou d’une politique de gestion des demandes d’accès gouvernementales par le prestataire est insuffisante car elle ne permet pas concrètement d’empêcher l'accès des services de renseignement : CNIL, P, 3 février 2022, Mise en demeure, Société X, n° MED-2022-005, non publié
Responsabilité contractuelle et équilibre des risques
Le RGPD n’interdit pas la négociation de clauses limitatives de responsabilité entre le responsable de traitement et le sous-traitant. En revanche, ces clauses ne peuvent avoir pour effet de neutraliser les obligations essentielles de protection des données.
Le contrat doit donc rechercher un équilibre. Il est fréquent de prévoir des plafonds de responsabilité, tout en excluant certaines violations graves, notamment celles relatives à la confidentialité ou à la sécurité. L’exigence d’une assurance adaptée constitue également un élément important de sécurisation.
Les limites des modèles de DPA standardisés
Les modèles génériques présentent un intérêt pratique, ils tendent à reproduire les exigences légales sans les traduire opérationnellement. Pour le responsable de traitement, le risque est de disposer d’un contrat formellement conforme mais matériellement inapprorié.
Un contrat de sous-traitance efficace est un contrat contextualisé, aligné sur les traitements réels, l’architecture technique et les risques identifiés. Il constitue un outil de gouvernance, non un simple document de conformité.
Pour aller plus loin
Le livre blanc Le contrat de sous-traitance IT à l’ère du RGPD approfondit ces points et propose une analyse détaillée des clauses essentielles, accompagnée d’un modèle de DPA structuré du point de vue du responsable de traitement.
Il s’adresse aux juristes, DPO et décideurs souhaitant sécuriser contractuellement leurs relations avec les prestataires IT.
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
FAQ – Questions fréquentes des responsables de traitement
Peut-on utiliser le DPA standard proposé par un prestataire IT ?
Oui, en principe. Toutefois, ces DPA sont rédigés dans l’intérêt du prestataire et ne reflètent que rarement la réalité des traitements confiés. Ils doivent donc faire l’objet d’un audit juridique et opérationnel. En pratique, ils comportent souvent des périmètres de traitement trop larges, des obligations de sécurité imprécises ou des limitations de responsabilité excessives. En l’état, ils sont rarement suffisants pour démontrer la conformité du responsable de traitement.
Le DPA doit-il obligatoirement être un document distinct du contrat principal ?
Non. Le RGPD n’impose pas la conclusion d’un document autonome. Le DPA peut être intégré au contrat principal ou aux conditions générales du prestataire, à condition que les clauses relatives à la protection des données soient clairement identifiables, complètes et juridiquement opposables. Il est également recommandé de prévoir une clause de hiérarchie afin d’éviter toute contradiction avec d’autres stipulations contractuelles.
Le responsable de traitement est-il responsable des sous-traitants ultérieurs de son prestataire ?
Oui. Le recours à une sous-traitance en cascade ne fait pas disparaître la responsabilité du responsable de traitement. Celui-ci doit s’assurer que chaque sous-traitant ultérieur offre des garanties suffisantes et que des obligations équivalentes sont contractuellement imposées tout au long de la chaîne. En cas de manquement d’un sous-traitant ultérieur, la responsabilité du responsable de traitement peut être engagée s’il n’a pas exercé une vigilance adéquate.
Le responsable de traitement peut-il refuser un audit sur site de son prestataire ?
Oui, sous certaines conditions. Le droit d’audit prévu par l’article 28 du RGPD n’implique pas nécessairement un accès physique systématique aux locaux ou aux centres de données du prestataire. Une alternative crédible peut être proposée, telle qu’un audit documentaire, la fourniture de rapports de certification ou des attestations tierces, à condition que ces mécanismes permettent effectivement de démontrer le respect des obligations contractuelles et réglementaires.
Un DPA insuffisant ou mal rédigé peut-il justifier une sanction RGPD ?
Oui. L’absence de contrat de sous-traitance conforme ou la présence de clauses manifestement insuffisantes constitue un manquement autonome aux obligations du RGPD. Lors d’un contrôle, l’autorité peut sanctionner le responsable de traitement indépendamment de l’existence ou non d’un incident de sécurité, dès lors que le cadre contractuel ne permet pas d’assurer une protection effective des données personnelles.
