RGPD – Article 28: le contrat sous-traitant sans angle mort

Excerpt: En 2026, chaque DPO/CISO doit savoir “blinder” ses contrats de sous-traitance. Voici, article par article, les clauses obligatoires, la doctrine EDPB/CNPD et un mode opératoire d’audit des sous-traitants.

La règle générale

Le RGPD impose qu’un traitement réalisé “pour le compte” d’un responsable du traitement soit encadré par un contrat ou autre acte juridique écrit, définissant précisément l’objet, la durée, la nature et la finalité du traitement, les types de données, les catégories de personnes concernées, ainsi que les obligations et droits du responsable. Ces exigences figurent à l’article 28, notamment 28(1), 28(3) et 28(9) du RGPD. Le texte prévoit aussi la “cascade” contractuelle vers tout sous‑sous‑traitant (28(4)) et la possibilité d’utiliser des clauses types adoptées par la Commission (28(7)). Voir le texte officiel: Article 28 RGPD sur EUR‑Lex. (eur-lex.europa.eu)

Le cœur de 28(3)(a) à (h) impose des obligations minimales au sous‑traitant: traiter uniquement sur instructions documentées (y compris pour les transferts), garantir la confidentialité, appliquer des mesures de sécurité conformes à l’article 32, n’utiliser un autre sous-traitant qu’avec autorisation (spécifique ou générale), aider le responsable à répondre aux droits des personnes et à réaliser des AIPD, aider en cas de violation, à la fin du contrat supprimer/retourner les données, et se soumettre à des audits/démonstrations de conformité. Voir l’énumération complète à l’article 28(3) RGPD. (eur-lex.europa.eu)

Depuis le 4 juin 2021, la Commission a adopté des clauses contractuelles types (CCT) “responsable‑sous‑traitant” utilisables au sein de l’UE/EEE: Décision d’exécution (UE) 2021/915. Elles peuvent être intégrées dans un contrat plus large, à condition de ne pas contredire l’article 28(3) et (4). (eur-lex.europa.eu)

Pour replacer ces obligations dans le contexte local, consultez le cadre RGPD et sa mise en œuvre pratique au Luxembourg.

Ce que dit le régulateur

• CNPD (Luxembourg). La CNPD rappelle que le contrat doit lier les parties, interdire tout usage propre par le sous‑traitant, et peut s’appuyer sur les CCT de la Commission comme “modèles” à condition de respecter l’article 28(3). Voir “Sous‑traitants – Professionnels” sur le site CNPD: page officielle. (cnpd.public.lu)
• EDPB (Comité européen). Les Lignes directrices 07/2020 (version finale 2021, mise à jour 2022) précisent notamment: le sous‑traitant doit refuser (ou signaler) toute instruction illicite du responsable; l’“autorisation générale” de sous‑traitants suppose une information préalable et un droit d’objection effectif du responsable; les droits d’audit doivent être concrets et praticables; les “certifications/codes de conduite” peuvent être des éléments de preuve, pas des substituts aux audits. Référence: EDPB – Guidelines 07/2020. (edpb.europa.eu)
• Commission européenne. Outre l’article 28, la Décision (UE) 2021/915 fournit un jeu de clauses équilibré et à jour, compatible avec l’architecture RGPD et les pratiques d’audit, et qui prévoit, par exemple, des obligations de “flow‑down” vers les sous‑traitants et des remèdes en cas de disparition/insolvabilité du sous‑traitant. Voir la décision et ses annexes (CCT): Publications Office. (op.europa.eu)

Comment l’appliquer en pratique

1) Avant le traitement (sélection et due diligence)

• Cartographier le rôle exact des parties (responsable vs. sous‑traitant) à la lumière de l’EDPB 07/2020; en cas d’offres “standard” où l’éditeur impose ses finalités (analytics, amélioration produit), requalifier certaines opérations en “responsabilité conjointe” ou exiger une désactivation contractuelle. Référence: EDPB 07/2020. (edpb.europa.eu)
• Vérifier les “garanties suffisantes” (art. 28(1)): sécurité (ISO 27001/27018), localisation, journalisation, chiffrement, gestion des accès, PRA/PCA, tests; collecter preuves et rapports. Pour un pilotage opérationnel, un mandat DPO peut structurer ces contrôles.
• Pré‑approuver les sous‑traitants ultérieurs (hébergeur cloud, support) via autorisation spécifique ou générale avec mécanisme d’information et droit d’objection (art. 28(2)). Base légale: article 28 RGPD. (eur-lex.europa.eu)

2) Pendant la contractualisation

• Intégrer toutes les clauses 28(3)(a)-(h). Une méthode robuste consiste à partir des CCT 2021/915, modules “responsable–sous‑traitant”, puis à compléter:
  • Instructions documentées, incluant la politique de transferts hors UE (interdiction sans instruction explicite).
  • Confidentialité (NDA + formation sécurité).
  • Mesures techniques/organisationnelles alignées sur l’art. 32 (annexe sécurité détaillée).
  • Sous‑traitance ultérieure: registre, notification N jours, droit d’objection; “flow‑down” 28(4).
  • Assistance droits des personnes (délai de réponse, canaux, coûts).
  • Assistance AIPD et gestion des violations (SLA de notification interne < 24 h, contenus minimaux).
  • Sortie: effacement/retour sous X jours, formats, preuve d’effacement.
  • Audit: droits d’audit raisonnables (préavis, périmètre, fréquence), audits tiers reconnus, accès aux résumés de tests, mécanisme “for cause”.
  Appui: Décision (UE) 2021/915 – CCT. (eur-lex.europa.eu)
• Exiger la notification si une instruction paraît contraire au RGPD, comme recommandé par l’EDPB 07/2020; prévoir un “processus d’escalade” et de suspension limitée. Source: EDPB 07/2020. (edpb.europa.eu)
• Documenter la forme écrite (électronique admise, art. 28(9)): signature électronique qualifiée et coffre‑fort probatoire. Base légale: article 28(9) RGPD. (eur-lex.europa.eu)
• Pour un acteur UE/EEE: les CCT “article 28” suffisent pour le volet “contrôleur–sous‑traitant” intra‑UE. Si des transferts vers pays tiers sont envisagés, ajouter (en plus) les CCT “transferts” 2021/914 et la TRA. Voir Décision (UE) 2021/914 et le site Commission. (eur-lex.europa.eu)

3) Pendant l’exécution

• Tenir à jour le registre des sous‑traitants ultérieurs; notifier tout changement et gérer les objections.
• Piloter les SLA sécurité/droits; tester la procédure de notification interne en 24 h; exiger des rapports périodiques (vulnérabilités, incidents, demandes personnes).
• Réaliser des audits proportionnés (annuels pour services critiques), en s’appuyant sur les rapports d’audit indépendants mais avec un droit de contrôle direct en cas de doute sérieux, conformément à l’esprit de l’EDPB 07/2020. Réf.: EDPB 07/2020. (edpb.europa.eu)

Pour solidifier ce pilotage, planifiez des audits fondés sur le risque alignés avec l’article 32.

4) À la sortie

• Mettre en œuvre la clause de réversibilité: export des données dans des formats ouverts, assistance raisonnable, effacement certifié chez le sous‑traitant et tous ses sous‑traitants ultérieurs (preuve à l’appui). Base: article 28(3)(g) et CCT 2021/915. (eur-lex.europa.eu)

Pièges fréquents

1. Clauses “audit light” ou illusoires. Limiter l’audit aux seuls rapports SOC 2 sans droit d’accès complémentaire peut contrevenir à 28(3)(h) si cela ne permet pas “de démontrer” la conformité. L’EDPB 07/2020 recommande un droit d’audit effectif et proportionné. Source: EDPB 07/2020. (edpb.europa.eu)
2. Autorisation générale de sous‑traitants sans mécanisme d’objection. L’article 28(2) exige information préalable et droit d’opposition; sans cela, la clause est incomplète. Texte: Article 28 RGPD. (eur-lex.europa.eu)
3. Mélange des rôles. Certains prestataires SaaS se disent “sous‑traitants” mais poursuivent aussi leurs propres finalités (amélioration de service via données clients, profiling usage). Vous basculez alors vers une coresponsabilité (art. 26) pour ces finalités, avec un autre cadre contractuel. Voir l’analyse EDPB 07/2020 sur le partage de finalités. Réf.: EDPB 07/2020. (edpb.europa.eu)
4. Oubli de la clause “instruction illicite”. Sans mécanisme de signalement/suspension en cas d’instruction contraire au RGPD, vous exposez à un traitement illégal. L’EDPB attend une vigilance active du sous‑traitant. Réf.: EDPB 07/2020. (edpb.europa.eu)
5. Confusion entre CCT “article 28” et CCT “transferts”. Les CCT 2021/915 encadrent le lien responsable‑sous‑traitant dans l’UE/EEE; pour des transferts vers pays tiers, il faut en plus les CCT 2021/914 (ou un autre mécanisme de l’art. 46). Voir Décisions: 2021/915 et 2021/914. (eur-lex.europa.eu)

Sources officielles

• RGPD – Article 28 (texte consolidé, EUR‑Lex): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679 (eur-lex.europa.eu)
• EDPB – Guidelines 07/2020 (controller/processor): https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en
• Commission européenne – Décision d’exécution (UE) 2021/915 (CCT “article 28”): https://eur-lex.europa.eu/eli/dec_impl/2021/915/oj et notice Publications Office: https://op.europa.eu/en/publication-detail/-/publication/2b85eb9d-c72b-11eb-a925-01aa75ed71a1
• Commission européenne – Décision d’exécution (UE) 2021/914 (CCT “transferts”): https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
• CNPD Luxembourg – “Sous‑traitants – Professionnels”: https://cnpd.public.lu/fr/professionnels/obligations/soustraitants.html

Conseil final: en mai 2026, anticipez les audits CNPD/EDPB en adoptant un “kit article 28” réutilisable: matrice de responsabilités, annexes sécurité vivantes, registre des sous‑traitants ultérieurs et calendrier d’audits fondés sur le risque, en vous appuyant sur les CCT 2021/915 et la doctrine EDPB. Pour passer à l’action, vous pouvez nous contacter.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.