Article 28 RGPD: quand un prestataire est sous-traitant (AEPD SEUR/Citibox)

En bref — Le 8 juin 2026, l’Autorité espagnole (AEPD) a clos, par paiement volontaire, deux procédures visant SEUR GEOPost, S.L. et CITIBOX Smart Services, S.L., pour absence de contrat conforme à l’article 28 RGPD dans un dispositif de livraisons via casiers connectés intégrés aux systèmes du transporteur. L’Autorité rappelle que la qualification « responsables indépendants » ne vaut pas face à la réalité: si un acteur traite pour le compte d’un autre, un DPA robuste s’impose.

L’affaire

L’AEPD constate que l’opérateur de casiers notifiait les destinataires par SMS, gérait les retraits et interfaçait ses systèmes avec ceux du transporteur selon des modalités décidées par ce dernier. Malgré un contrat de prestation mentionnant des « responsables distincts », Citibox agissait matériellement comme sous-traitant pour une partie des opérations sans qu’aucun contrat de sous-traitance conforme n’ait été signé. Les deux sociétés ont reconnu la qualification et procédé au paiement volontaire, clôturant PS‑00247‑2024 (Citibox) et PS‑00248‑2024 (SEUR). Références officielles: résumé AEPD du 8 juin 2026, PS‑00247‑2024, PS‑00248‑2024.

Point clef — SEUR détermine la finalité « livraison du colis » et les moyens essentiels (recours aux casiers, modalités de contact). Citibox exécute des instructions au service de cette finalité: relation responsable/sous‑traitant, donc contrat article 28 requis. L’AEPD relève aussi des réutilisations ultérieures par Citibox pour des finalités propres, marquant ponctuellement un rôle de responsable.

Le raisonnement juridique

• Bases et rôles. Le responsable détermine finalités et moyens essentiels; le sous‑traitant traite pour le compte du responsable. Les Lignes directrices EDPB 07/2020 imposent une approche matérielle: on qualifie par finalité et par opération; le libellé contractuel ne prime pas. Source: EDPB 07/2020.
• Contrat article 28. Le DPA doit couvrir objet/durée, nature/finalité, catégories de données et personnes, instructions, confidentialité, sécurité, sous‑traitants ultérieurs, assistance droits/sécurité/notification, fin de prestation, alertes sur instructions illicites, et audits. Texte: RGPD art. 28(1)–(10).
• Application AEPD. « Mutación funcional »: Citibox est sous‑traitant tant qu’elle permet la remise selon les instructions de SEUR; elle devient responsable si elle poursuit des finalités propres. Double manquement: (i) absence de DPA, (ii) traitements ultérieurs sans base adéquate. Cas d’école pour chaînes logistiques, marketplaces, clouds intégrés et écosystèmes « plateforme + opérateur ». Voir la doctrine AEPD.
• Convergence européenne. Lecture alignée EDPB: rôles dynamiques et fonctionnels. La CNPD rappelle les exigences minimales et l’usage de clauses types Commission (art. 28(7)–(8)). Réf.: EDPB 07/2020, CNPD Chapitre IV.

Ce que ça change pour les organisations au Luxembourg

• Écosystèmes intégrés. Externalisation « ops + applicatif » (casiers, KYC, cloud managé, IA embarquée, last‑mile): qualifiez qui décide de la finalité et des moyens essentiels opération par opération. Si c’est vous, un DPA est requis au titre de l’alignement RGPD Luxembourg. À défaut, infraction formelle, même sans préjudice. Cas SEUR/Citibox à l’appui (AEPD).
• Contrats hybrides. Un partenaire peut être sous‑traitant pour la remise et responsable pour ses statistiques/amélioration/marketing. Le DPA doit borner l’usage « pour le compte de »; toute réutilisation exige une base séparée, souvent intérêt légitime (LIA solide) ou consentement, et une information claire. Voir PS‑00247‑2024.
• Due diligence et audits. L’art. 28(3)(h) impose informations et possibilité d’audit. Une attestation ISO/ISAE hors périmètre ne suffit pas. Préparez des check‑lists: registres, journaux d’accès, traçabilité des instructions, isolation par client, effacement en fin de contrat, gestion des sous‑traitants ultérieurs. Réf.: RGPD art. 28. Un mandat DPO peut cadrer ces exigences et la rédaction du DPA.
• Pratique CNPD. La CNPD admet les clauses types Commission comme socle, sous réserve de couvrir l’intégralité du 28(3). Applicable aux prestataires établis au Luxembourg et dans l’UE. Réf.: CNPD Chapitre IV.

Pièges fréquents observés en audit

1. « Responsables indépendants » par clause. Écrire « responsables distincts » pour éviter un DPA est inefficace si, matériellement, le partenaire suit vos instructions (livraison/notification/support). La réalité prime. Réf.: AEPD 08/06/2026 et EDPB 07/2020.
2. Finalités d’« amélioration » floues. Réutiliser numéros ou événements de livraison pour optimiser le réseau ou prospecter sans base dédiée ni information séparée bascule vers un rôle de responsable. Voir PS‑00247‑2024.
3. DPA incomplets. Oublis sur mesures de sécurité concrètes, délais d’effacement/restauration, assistance aux droits. L’art. 28(3) est prescriptif; un référentiel non annexé ne suffit pas. Voir EUR‑Lex et rappel CNPD.
4. « Certification = audit ». Substituer la faculté d’audit par une attestation ISO générique et hors périmètre contrevient à l’art. 28(3)(h).
5. Sous‑traitants de second rang non maîtrisés. Absence d’accord écrit préalable et non‑alignement du 28(4). Texte: art. 28(2) et (4) RGPD.

Sources officielles

• AEPD — Criterio jurídico (8 juin 2026)
• AEPD — PS‑00247‑2024 (Citibox)
• AEPD — PS‑00248‑2024 (SEUR)
• EDPB — Lignes directrices 07/2020
• RGPD (consolidé) — Article 28
• CNPD Luxembourg — Chapitre IV

Besoin d’aligner vos contrats de sous‑traitance et vos audits fournisseurs au Luxembourg? Parlez‑en avec notre équipe via la page contact.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.