Guide pratique
Le contrat de sous-traitance RGPD,
expliqué.
Que vous fassiez appel à un hébergeur, un CRM ou un prestataire de paie — ou que vous soyez vous-même agence, ESN ou éditeur SaaS agissant pour le compte de vos clients — l'article 28 du RGPD impose un contrat écrit. Ce qu'il doit contenir, et ce que chaque partie doit vérifier.
Responsable de traitement ou sous-traitant ?
Le RGPD distingue deux rôles, qui n'entraînent pas les mêmes obligations. Une même organisation peut d'ailleurs être responsable de traitement pour ses propres données (RH, clients) et sous-traitant pour les données qu'elle traite au nom d'un client.
Responsable de traitement
C'est l'entité qui détermine pourquoi et comment les données sont traitées : elle décide des finalités et des moyens. Une entreprise qui collecte les données de ses clients ou de ses salariés en est responsable, même si l'outil utilisé est fourni par un tiers.
Sous-traitant
C'est l'entité qui traite des données personnelles pour le compte d'un responsable de traitement, selon ses instructions : hébergeur, CRM, prestataire de paie, agence marketing, ESN, éditeur SaaS... Il n'a pas de pouvoir de décision sur les finalités du traitement.
Que vous soyez une PME qui encadre ses prestataires ou une association qui externalise la gestion de ses adhérents, les mêmes règles s'appliquent dès qu'un tiers traite des données pour votre compte — dans un sens comme dans l'autre.
Ce que le contrat doit obligatoirement contenir.
Quatre familles de clauses, imposées par le RGPD, quel que soit le prestataire concerné.
Objet, durée, nature et finalité
Ce que le sous-traitant fait exactement, pendant combien de temps, et dans quel but.
Données & personnes concernées
Le type de données traitées et les catégories de personnes concernées (salariés, clients, prospects...).
Obligations du sous-traitant
Agir uniquement sur instruction documentée, garantir la confidentialité et la sécurité, assister le responsable pour les droits des personnes et en cas de violation.
Fin de contrat & contrôle
Suppression ou restitution des données à l'issue du contrat, et droit d'audit du responsable de traitement.
Autre point souvent oublié : si votre sous-traitant fait lui-même appel à un autre prestataire (sous-traitance ultérieure — par exemple l'hébergeur cloud derrière votre CRM), il doit obtenir votre autorisation écrite préalable, générale ou spécifique, avant de le faire. Et côté sous-traitant, l'article 30 impose de tenir son propre registre des traitements effectués pour le compte de ses clients — voir notre guide sur le registre des traitements.
Besoin d'aide pour cadrer vos contrats de sous-traitance ?
VIGIL vous aide à identifier vos sous-traitants, sécuriser vos contrats article 28 et tenir votre registre à jour, avec un juriste de magistère disponible pour relire chaque document sensible.
Faire le point avec nousContenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.