Article 28 RGPD décryptage pour agences marketing et freelances

La relation entre une entreprise et ses prestataires qui traitent des données personnelles est au cœur de la conformité, et l’article 28 du RGPD en constitue la pierre angulaire. Naviguer ses exigences peut sembler complexe, transformant la gestion des sous-traitants en un véritable défi. Cet article n’est pas une simple retranscription du texte de loi ; c’est un guide opérationnel conçu pour transformer cette obligation légale en une stratégie de résilience pour la gestion des risques liés aux tiers. Nous allons au-delà des définitions de base pour vous offrir des analyses approfondies de scénarios concrets et complexes, vous aidant à distinguer clairement les rôles de responsable de traitement et de sous-traitant dans des situations ambiguës, que ce soit avec un fournisseur SaaS, une agence marketing ou un hébergeur cloud.

Notre guide vous accompagnera pas à pas dans la maîtrise de cet article fondamental. Vous y trouverez le texte intégral de l’article 28 pour une référence précise, suivi d’un décryptage de chaque obligation imposée au sous-traitant. Nous consacrerons une section détaillée au contrat de traitement des données (DPA), en expliquant la fonction et l’importance de chaque clause obligatoire. De plus, nous aborderons les aspects cruciaux de la gestion des sous-traitants ultérieurs et analyserons les sanctions et responsabilités encourues en cas de non-conformité, afin de vous armer des connaissances nécessaires pour sécuriser l’ensemble de votre chaîne de traitement de données.

Points Clés

  • L’article 28 du RGPD impose un cadre contractuel strict et obligatoire entre un client (responsable de traitement) et son prestataire (sous-traitant), comme une agence ou un freelance.
  • Un contrat de traitement de données, ou DPA (Data Processing Agreement), est indispensable et doit détailler précisément l’objet, la durée, la finalité du traitement et les obligations de chaque partie.
  • Le sous-traitant doit agir uniquement sur instruction documentée du client, garantir la sécurité et la confidentialité des données, et l’assister pour répondre aux droits des personnes concernées.
  • Le recours à un autre sous-traitant (dit ultérieur) nécessite l’autorisation écrite préalable du client, et le sous-traitant initial demeure pleinement responsable de la conformité de toute la chaîne.
  • Le non-respect des obligations de l’article 28 engage la responsabilité du responsable de traitement et du sous-traitant, les exposant à des sanctions pouvant atteindre 10 M€ ou 2% du chiffre d’affaires mondial.

Texte intégral de l article 28 du RGPD

Voici les dispositions fondamentales de l’article 28. 1. Un traitement pour un responsable du traitement impose le choix de sous-traitants offrant des garanties suffisantes. 2. Le sous-traitant ne recrute pas d’autre sous-traitant sans autorisation écrite préalable, spécifique ou générale. En cas d’autorisation générale, il informe le responsable de traitement de tout changement, lui donnant ainsi la possibilité d’émettre des objections.

  1. Le traitement par un sous-traitant est régi par un contrat (ou DPA) qui lie les parties et définit l’objet, la durée, la nature, la finalité du traitement, le type de données et les personnes concernées. Ce contrat doit prévoir que le sous-traitant : a) traite les données uniquement sur instruction documentée ; b) veille à ce que les personnes autorisées s’engagent à respecter la confidentialité ; c) prend toutes les mesures requises par l’article 32.

Le contrat de traitement (DPA) doit également stipuler que le sous-traitant : d) respecte les conditions pour recruter un sous-traitant ultérieur ; e) aide le responsable du traitement à donner suite aux demandes d’exercice des droits ; f) l’assiste pour garantir le respect des obligations prévues aux articles 32 à 36 (sécurité, notification de violation, AIPD).

Au-delà des clauses, l’article 28 précise des points cruciaux. 4. Si un sous-traitant recrute un partenaire, il doit lui imposer les mêmes obligations contractuelles et reste pleinement responsable. 9. Le contrat doit impérativement être écrit (format électronique valide). 10. Si un sous-traitant outrepasse son rôle en déterminant les finalités et moyens, il devient responsable du traitement.

Un contrat DPA conforme n’est pas une option. C’est l’exigence centrale de l’article 28 pour sécuriser toute la chaîne de traitement.

Comprendre les rôles clés responsable de traitement et sous traitant

L’article 4 du RGPD pose les fondations en définissant clairement les deux acteurs principaux. Le “responsable du traitement” (Art. 4(7)) est l’entité, comme votre client, qui détermine les finalités et les moyens du traitement des données. C’est le décisionnaire du “pourquoi” et du “comment”. À l’inverse, le “sous-traitant” (Art. 4(8)) est la personne morale ou physique qui traite ces données pour le compte exclusif du responsable.

La distinction est fondamentale en pratique. Une entreprise qui engage une agence marketing pour une campagne est le responsable de traitement. Elle fournit le fichier client et définit la finalité. L’agence, qui exécute la campagne en utilisant ces données selon les instructions reçues, est le sous-traitant. De même, un freelance développant un site pour un e-commerçant est sous-traitant des données clients qu’il manipule pour le projet.

La situation se complexifie avec les modèles SaaS B2B. Prenons un fournisseur de plateforme d’analyse marketing. Pour les données que ses clients téléversent et qu’il traite pour leur générer des rapports, il est clairement sous-traitant. Il agit sur instruction. Cependant, si ce même fournisseur agrège et anonymise les données de tous ses clients pour améliorer ses propres algorithmes ou publier des études de marché, il détermine alors une nouvelle finalité et des moyens propres. Pour ce traitement d’analyse agrégée, il devient responsable de traitement, car il n’agit plus pour le compte exclusif de son client mais pour son propre intérêt.

Cette requalification est cruciale. L’article 28.10 du RGPD est très clair : si un sous-traitant outrepasse les instructions du client et détermine ses propres finalités, il est alors considéré comme responsable du traitement pour cette opération. Il endosse ainsi toutes les obligations et la pleine responsabilité qui en découle.

Décryptage des obligations clés du sous traitant RGPD

L’article 28.1 du RGPD impose au responsable de traitement de ne choisir que des sous-traitants présentant des “garanties suffisantes”. Loin d’être une simple formalité, cela impose une diligence active avant toute collaboration. Vous devez évaluer la maturité de votre prestataire en examinant ses politiques de sécurité internes et sa capacité à protéger les données confiées.

Le sous-traitant doit agir exclusivement sur la base de vos instructions documentées. Il ne peut utiliser les données pour ses propres finalités. Il doit aussi garantir que son personnel autorisé à traiter les données est soumis à une obligation de confidentialité.

La sécurité est une obligation fondamentale. Le sous-traitant doit implémenter les mesures techniques et organisationnelles appropriées exigées par l’article 32 du RGPD (chiffrement, résilience des systèmes). Il doit aussi vous assister pour répondre aux demandes des personnes concernées (accès, effacement).

L’assistance du sous-traitant est cruciale pour la notification des violations et la conduite des AIPD.

  • Obtenir une autorisation écrite, générale ou spécifique, du responsable de traitement avant de faire appel à un sous-traitant ultérieur.

  • Imposer contractuellement les mêmes obligations de protection des données au sous-traitant ultérieur, le sous-traitant initial restant pleinement responsable.

Au terme de la prestation, le sous-traitant doit, selon votre choix, supprimer ou vous restituer toutes les données. Il est aussi tenu de mettre à votre disposition les informations nécessaires pour prouver sa conformité et permettre des audits.

Le contrat de traitement DPA pierre angulaire de la conformité

Le contrat de traitement des données, ou DPA (Data Processing Agreement), est bien plus qu’une simple formalité juridique. C’est la feuille de route opérationnelle qui régit la relation. L’article 28.9 du RGPD impose qu’il soit écrit, format électronique inclus, pour encadrer chaque prestation de services.

L’anatomie d’un DPA conforme est précisément dictée par l’article 28.3. Il doit d’abord définir l’objet, la durée, la nature et la finalité du traitement confié au prestataire. Il faut ensuite décrire le type de données personnelles concernées (par exemple, emails, noms, adresses) et les catégories de personnes (clients, prospects, employés). Cette clarté initiale est absolument cruciale pour délimiter le périmètre.

Le contrat doit détailler chaque obligation via des clauses claires. Il doit stipuler que le sous-traitant agit sur instruction documentée (Clause d’Instructions), garantit la confidentialité de son personnel, et implémente les mesures de sécurité de l’article 32 (Clause de Sécurité, ex: chiffrement, contrôles d’accès). Il doit prévoir l’aide à la conformité pour les droits des personnes ou les AIPD (Clause d’Assistance), préciser les règles d’audit (Clause d’Audit), et définir le sort des données en fin de contrat (restitution ou suppression). Enfin, il encadre rigoureusement le recours à des sous-traitants ultérieurs.

Gestion des sous-traitants ultérieurs : risques et bonnes pratiques

Le recours à un autre prestataire, ou sous-traitant ultérieur, est strictement encadré par l’article 28.2 du RGPD. Votre sous-traitant ne peut déléguer une partie du traitement sans votre autorisation écrite préalable. Celle-ci peut être spécifique, pour un partenaire identifié, ou générale.

Dans le cas d’une autorisation générale, votre prestataire doit vous fournir la liste de ses sous-traitants actuels. Plus important encore, il est tenu de vous informer de tout ajout ou remplacement envisagé. Cette information n’est pas une simple formalité : elle vous confère un droit d’objection, vous permettant de refuser un nouveau maillon dans la chaîne.

L’article 28.4 instaure un principe de responsabilité en cascade. Le sous-traitant initial doit imposer contractuellement à son propre prestataire les mêmes obligations de protection des données que celles définies dans votre DPA. Il ne s’agit pas d’une simple suggestion, mais d’une obligation légale. En cas de défaillance du sous-traitant ultérieur, c’est votre prestataire direct qui demeure pleinement responsable devant vous de l’exécution de ses obligations. La chaîne de conformité ne doit avoir aucun maillon faible.

Pour maîtriser les risques, adoptez une gestion rigoureuse. Premièrement, assurez-vous d’obtenir une autorisation écrite, spécifique ou générale, avant tout engagement. Deuxièmement, vérifiez que votre DPA impose bien la répercussion de toutes vos exigences contractuelles sur le sous-traitant ultérieur. Troisièmement, mettez en place un processus de revue périodique de leur conformité, par exemple via des questionnaires annuels ou des audits, pour maintenir une vigilance constante sur toute la chaîne.

Sanctions et responsabilités : que risquez-vous vraiment ?

Le non-respect de l’article 28 RGPD engage directement votre responsabilité financière. Les manquements, comme l’absence de DPA ou le recours à un sous-traitant sans autorisation, exposent le responsable de traitement et le prestataire à des amendes administratives. Celles-ci peuvent atteindre, selon l’article 83.4 du règlement, jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Cette sanction souligne la gravité que le législateur accorde à la sécurisation de la chaîne de sous-traitance, rendant la conformité contractuelle absolument non négociable pour les agences et freelances.

Au-delà des amendes administratives infligées par les autorités de contrôle, l’article 82 du RGPD ouvre un droit à réparation pour toute personne ayant subi un dommage matériel ou moral. La responsabilité est partagée et peut être lourde de conséquences. Un responsable de traitement est tenu pour responsable du dommage causé par un traitement non conforme. Le sous-traitant, quant à lui, engage sa responsabilité s’il n’a pas respecté les obligations du RGPD qui lui incombent spécifiquement ou s’il a agi en dehors ou à l’encontre des instructions licites de son client. La victime peut ainsi se retourner contre l’une ou l’autre des parties pour obtenir une réparation intégrale.

Pour illustrer le risque, imaginons une agence marketing qui, pour optimiser une campagne, utilise un nouvel outil d’analyse de données sans obtenir l’autorisation écrite préalable de son client. Cet outil, devenant un sous-traitant ultérieur non déclaré, subit une fuite de données clients. L’autorité de contrôle, alertée, ne se contente pas de sanctionner le client. Elle sanctionne également l’agence pour une violation directe de l’article 28, pointant le défaut d’autorisation et le manquement à l’obligation de garantir la sécurité de la chaîne de traitement. Ce scénario montre que la responsabilité du prestataire est directement engagée.

Intégrer l’article 28 dans une stratégie de résilience globale

L’article 28 du RGPD ne doit pas être perçu comme une simple contrainte administrative, mais comme un levier stratégique pour la gestion des risques liés aux tiers. Sa véritable puissance se révèle lorsqu’il est intégré dans une vision globale de la gouvernance des données. Il n’est pas une île isolée ; ses exigences sont profondément interconnectées avec d’autres piliers du règlement, formant un écosystème de conformité.

  • Principe de responsabilité (Accountability - Art. 5.2) : Un processus rigoureux de sélection des sous-traitants et un DPA solide sont les preuves tangibles que vous respectez votre obligation de responsabilité, en démontrant que vous avez mis en place des mesures techniques et organisationnelles appropriées.

  • Notification des violations de données (Art. 33 & 34) : Votre DPA doit imposer au sous-traitant de vous notifier toute violation dans les plus brefs délais, une clause cruciale pour vous permettre de respecter votre propre échéance de 72 heures.

  • Analyse d’impact sur la protection des données (AIPD - Art. 35) : L’obligation d’assistance du sous-traitant est fondamentale pour vos AIPD. Il doit vous fournir toutes les informations sur ses processus et sa sécurité pour vous aider à évaluer les risques élevés de vos traitements.

En tissant ces liens, vous transformez l’article 28 d’une obligation contractuelle en un outil de pilotage actif de votre résilience. Chaque clause du DPA devient un point de contrôle.

FAQ

Une clause RGPD dans mes conditions générales suffit-elle

Non, une simple mention dans des conditions générales de vente est fondamentalement insuffisante. L’article 28 du RGPD exige un contrat de traitement de données (DPA) formel et détaillé qui lie spécifiquement le responsable de traitement et le sous-traitant. Ce document doit impérativement contenir les clauses obligatoires listées à l’article 28.3, décrivant précisément l’objet, la durée, la finalité du traitement, les types de données, ainsi que les obligations concrètes du sous-traitant.

Les conditions générales, par leur nature globale, n’atteignent pas ce niveau de granularité requis pour chaque mission de traitement spécifique. Elles ne peuvent se substituer à un DPA qui encadre la relation de sous-traitance pour un client donné et des finalités précises. S’appuyer sur une clause générique expose à la fois le client et le prestataire à un risque de non-conformité majeur, car l’exigence formelle du règlement n’est pas respectée.

Que faire si mon sous-traitant ultérieur est basé hors de l’UE

Les obligations de l’article 28 s’appliquent intégralement, auxquelles s’ajoutent celles du Chapitre V du RGPD sur les transferts de données. Vous devez d’abord obtenir l’autorisation écrite de votre client pour ce sous-traitant spécifique. Ensuite, le transfert hors de l’Espace Économique Européen doit être encadré par un instrument juridique garantissant un niveau de protection suffisant. Cela implique généralement la mise en place des Clauses Contractuelles Types (CCT) de la Commission européenne dans le contrat avec ce partenaire, ou la vérification que le pays de destination bénéficie d’une décision d’adéquation.

Quelle est la différence entre un co-responsable et un sous-traitant

La distinction cruciale réside dans le pouvoir décisionnel sur les finalités (le pourquoi) et les moyens (le comment) du traitement. Un sous-traitant agit uniquement pour le compte et sur instruction documentée du responsable de traitement. À l’inverse, des co-responsables de traitement (définis à l’article 26 du RGPD) sont deux entités ou plus qui déterminent conjointement ces finalités et moyens. Par exemple, deux entreprises organisant un événement commun et décidant ensemble de l’usage de la liste des inscrits sont co-responsables. Une agence qui route une campagne email sur la base d’un fichier et d’instructions précises de son client est un sous-traitant.

Conclusion

En somme, l’article 28 du RGPD est une fondation stratégique pour toute agence ou freelance. Sa maîtrise transforme la conformité en un avantage concurrentiel. Pour passer à l’action, suivez ce plan en 3 étapes : 1. Auditez vos relations existantes pour identifier tous les prestataires traitant des données pour votre compte. 2. Mettez en place des DPA conformes pour chaque relation, en vous assurant que toutes les clauses obligatoires y figurent. 3. Établissez un processus de surveillance continue et documentez vos efforts de conformité pour prouver votre diligence.

Thiébaut Devergranne
Thiébaut Devergranne
Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

Ils nous ont fait confiance

logo Deloitte
logo starbucks
logo orange bank
logo vinci
logo nokia
logo sanofi
logo sncf
Automatisez votre conformité RGPD
Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
RGPD (ressources essentielles)
VOS CGV (gratuites)