Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Lundi 25 mai 2026
Accueil/RGPD/Article 29 RGPD : traitement sous l'autorité décrypté
RGPD

Article 29 RGPD : traitement sous l'autorité décrypté

Article 29 RGPD : interdiction de traiter sans instruction, qui est concerné, charte informatique, sanctions CNIL et pénales. Guide pratique 2026.

Par Thiebaut DevergrannePublie le 22 mai 2026Mis a jour le 22 mai 202612 min de lecture
Sommaire
  1. Ce que dit l’article 29 du RGPD
  2. Qui est concerné par l’article 29 RGPD
  3. L’interdiction de traiter sans instruction
  4. L’exception du droit de l’Union ou national
  5. La sanction des manquements à l’article 29
  6. Le plan d’action opérationnel pour appliquer l’article 29
  7. L’articulation avec les autres articles du RGPD
  8. Ce qu’il faut retenir
  9. FAQ

L’article 29 du RGPD est l’un des plus courts du règlement — une seule phrase — mais c’est aussi l’un des plus structurants pour le quotidien des entreprises. Il interdit à toute personne ayant accès à des données personnelles d’en faire usage sans instruction du responsable de traitement. Concrètement, c’est cet article qui fonde la charte informatique, les clauses de confidentialité dans les contrats de travail, les procédures d’habilitation et l’engagement de confidentialité des sous-traitants. Et c’est aussi sur son fondement, combiné avec l’article 226-13 du Code pénal, que les magistrats sanctionnent les détournements de fichiers par d’anciens salariés. Voici l’analyse, paragraphe par paragraphe — ou plutôt phrase par phrase, puisqu’il n’y en a qu’une — et le plan d’action opérationnel qui en découle.

Ce que dit l’article 29 du RGPD

L’Art. 29 RGPD énonce, dans sa version consolidée :

« Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre. »

Cette phrase paraît anodine. Elle pose en réalité trois règles fondamentales dont l’articulation détermine la conformité de toute organisation à fort enjeu de personnel : un principe d’interdiction de traitement, un canal unique d’autorisation (l’instruction du responsable de traitement), et une exception strictement légale. Aucune autre source d’autorisation n’est admise — ni la coutume interne, ni l’usage métier, ni même l’accord informel d’un supérieur hiérarchique non habilité.

L’Art. 29 doit être lu en parallèle de l’Art. 32 RGPD — dont le paragraphe 4 reprend exactement la même règle au titre des mesures de sécurité — et de l’Art. 5(1)(f) qui pose le principe d’intégrité et de confidentialité. Trois articles, une même logique : seul le responsable de traitement décide des finalités, et nul ne peut s’en écarter sans son instruction explicite.

Qui est concerné par l’article 29 RGPD

Le périmètre est délibérément large. L’article vise « toute personne agissant sous l’autorité » du responsable ou du sous-traitant — c’est-à-dire, dans mon expérience de conseil, toutes les personnes physiques qui, à un titre ou à un autre, accèdent à des données personnelles dans le cadre de leur activité.

Sont notamment concernés :

  • Les salariés du responsable de traitement (CDI, CDD, alternants, stagiaires) ;
  • Les intérimaires et portages salariaux intervenant dans les locaux ou sur les systèmes ;
  • Les freelances et consultants détachés sur une mission, lorsqu’ils n’agissent pas en qualité de sous-traitant indépendant ;
  • Les administrateurs systèmes et prestataires de support informatique dont l’accès aux serveurs implique nécessairement un accès aux données qu’ils hébergent ;
  • Les bénévoles dans le secteur associatif ;
  • Les mandataires sociaux et dirigeants, qui n’échappent évidemment pas à la règle qu’ils édictent.

La distinction avec le sous-traitant au sens de l’Art. 28 RGPD est ici essentielle. Le sous-traitant agit pour le compte du responsable mais conserve une personnalité juridique et une autonomie d’organisation. La personne « agissant sous l’autorité » désigne, elle, une personne physique intégrée dans la chaîne hiérarchique ou fonctionnelle, sans autonomie de décision sur les finalités. Un freelance peut ainsi basculer d’une catégorie à l’autre selon les termes contractuels : sous-traitant lorsqu’il pilote sa mission, personne sous autorité lorsqu’il est intégré comme un salarié temporaire.

L’interdiction de traiter sans instruction

Le cœur du dispositif est négatif : interdiction de traiter, sauf instruction. Cette formulation inverse la logique habituelle. Ce n’est pas la consultation injustifiée qui doit être prouvée par la victime, c’est l’instruction qui doit être documentée par l’organisation.

Concrètement, trois exigences en découlent :

D’abord, le principe du besoin d’en connaître (need-to-know). Aucun salarié ne devrait pouvoir accéder à des données dont il n’a pas besoin pour sa mission. C’est précisément ce que la CNIL contrôle systématiquement dans les sanctions liées aux accès non habilités. La SAN-2024-008 SAF Logistics du 5 décembre 2024 a ainsi sanctionné l’attribution généralisée de droits d’administration. La SAN-2017-006 Hertz du 26 janvier 2017 avait déjà condamné des accès non tracés à des fichiers clients par des employés.

Ensuite, la traçabilité de l’instruction. L’instruction ne se présume pas. Elle doit pouvoir être documentée — par une fiche de poste, une procédure interne, une habilitation nominative dans le SI, un workflow de validation. À défaut, la CNIL considère l’accès comme non autorisé, même si le salarié pouvait techniquement le réaliser.

Enfin, la limitation aux finalités fixées. Une personne habilitée à consulter un dossier client pour une finalité commerciale ne peut pas, sur la base de cette habilitation, l’utiliser pour une finalité étrangère — par exemple satisfaire une curiosité personnelle ou exercer une pression. Cette dérive, fréquente dans les administrations publiques et les grandes entreprises de service, est précisément ce que l’Art. 29 interdit.

L’exception du droit de l’Union ou national

L’article 29 prévoit une exception unique : l’obligation imposée par le droit de l’Union ou par le droit d’un État membre. En pratique, elle couvre les hypothèses où la loi impose à la personne d’agir indépendamment des instructions du responsable de traitement.

Trois cas typiques :

  • Le signalement obligatoire : article L. 313-24 du Code monétaire et financier (TRACFIN), article 40 du Code de procédure pénale pour les agents publics, signalement d’enfance en danger. Le salarié qui transmet une information à l’autorité compétente n’a pas besoin d’une instruction du responsable de traitement — il est légalement obligé de le faire.
  • L’accès accordé aux autorités dans le cadre d’une réquisition judiciaire ou administrative. L’agent qui communique des données à l’officier de police judiciaire muni d’une commission rogatoire agit sur fondement légal.
  • Les obligations liées à la protection des lanceurs d’alerte (loi Sapin II du 9 décembre 2016, modifiée par la loi du 21 mars 2022), qui autorisent à signaler des manquements y compris en dérogeant à des consignes hiérarchiques.

Hors ces hypothèses légales, aucune autorisation extérieure ne supplée l’instruction du responsable. Ni le consentement de la personne concernée — qui appartient au responsable, pas au salarié —, ni un ordre hiérarchique non rattaché à une finalité autorisée.

La sanction des manquements à l’article 29

La sanction des manquements à l’Art. 29 RGPD s’organise sur trois niveaux que les organisations sous-estiment fréquemment.

Au niveau administratif, la CNIL peut sanctionner le responsable de traitement pour défaut d’organisation, sur le fondement combiné des Art. 5(1)(f), 24, 29 et 32 RGPD. Les montants atteignent les plafonds de l’Art. 83 RGPD — 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Voir la synthèse des sanctions CNIL 2026.

Au niveau pénal, le détournement de finalité par un salarié constitue une infraction autonome. L’article 226-21 du Code pénal punit de cinq ans d’emprisonnement et de 300 000 euros d’amende le fait, pour toute personne détentrice de données à caractère personnel, de les détourner de leur finalité. L’article 226-13 sanctionne par ailleurs la violation du secret professionnel d’un an d’emprisonnement et 15 000 euros d’amende. La jurisprudence des chambres criminelles est constante depuis l’arrêt Crim. 11 mai 2004 : la consultation pour curiosité personnelle suffit à caractériser l’infraction, sans qu’il soit besoin de prouver une diffusion.

Au niveau disciplinaire enfin, la consultation non autorisée constitue une faute grave susceptible de justifier un licenciement immédiat. La Cour de cassation l’a rappelé dans plusieurs arrêts récents (Cass. soc. 18 mars 2020 n° 18-25.360), notamment lorsque le salarié a violé la charte informatique ou consulté des fichiers de personnes connues à titre privé.

Le plan d’action opérationnel pour appliquer l’article 29

L’application concrète de l’Art. 29 repose, dans mon expérience d’audit, sur quatre piliers que je structure ci-dessous.

1. La charte informatique

La charte informatique est l’instrument de premier rang. Elle pose, par écrit et opposable, le principe de l’interdiction d’accès non autorisé et précise les conditions d’utilisation des outils. Pour être opposable au salarié, elle doit être annexée au règlement intérieur ou intégrée au contrat de travail. Le guide détaillé figure dans mon article charte informatique RGPD : guide pratique et un modèle prêt à l’emploi dans charte informatique 2026 : modèle gratuit.

2. Les clauses de confidentialité contractuelles

Tout salarié ayant accès à des données personnelles doit signer une clause de confidentialité explicite rappelant l’Art. 29 et l’article 226-13 du Code pénal. Pour les consultants et freelances, la même obligation passe par un accord de confidentialité distinct. Cinq modèles sont disponibles dans mon dossier clause de confidentialité : 5 modèles à copier.

3. La gestion des habilitations

Aucune politique d’accès ne tient sans trois mécanismes techniques : un référentiel d’habilitations nominatives à jour (qui peut accéder à quoi), une revue périodique des droits (au moins annuelle, idéalement trimestrielle pour les comptes à privilèges), et une procédure de désactivation immédiate à la sortie d’un collaborateur. L’oubli des comptes d’anciens salariés est l’un des manquements les plus systématiquement relevés par la CNIL. Le sujet est connecté à l’authentification forte MFA.

4. La sensibilisation et la traçabilité

Ayant travaillé six ans au sein de la DCSSI, je sais que la sensibilisation ne se résume pas à un e-learning annuel. Elle implique : des sessions adaptées au profil métier (RH, support, commerciaux), des rappels lors d’événements clés (arrivée, changement de poste), des exercices pratiques sur la détection de consultations anormales, et des indicateurs de suivi remontés au comité de pilotage RGPD. Sur la dimension RH spécifiquement, voir RGPD et RH : obligations de l’employeur et données personnelles et droit du travail.

L’articulation avec les autres articles du RGPD

L’Art. 29 ne se comprend bien qu’inséré dans le faisceau d’obligations qui structurent la sécurité du traitement.

  • L’Art. 5(1)(f) RGPD pose le principe général d’intégrité et de confidentialité : l’Art. 29 en est une application opérationnelle.
  • L’Art. 28 RGPD régit le sous-traitant en tant qu’entité ; l’Art. 29 régit les personnes physiques qui agissent en son sein.
  • L’Art. 32(4) RGPD reprend mot pour mot la règle de l’Art. 29 mais l’inscrit dans les mesures de sécurité — ce qui permet à la CNIL de cumuler les fondements en cas de manquement.
  • L’Art. 88 RGPD ouvre aux États membres la possibilité d’adopter des règles spécifiques sur les données en contexte professionnel ; en France, c’est notamment la jurisprudence sociale et la doctrine CNIL qui complètent l’Art. 29.

Cette articulation explique pourquoi la CNIL fonde rarement une décision sur l’Art. 29 seul : elle l’invoque en combinaison avec les Art. 5(1)(f) et 32. La logique est cohérente — l’Art. 29 est l’obligation, les Art. 5 et 32 fournissent les standards qui en mesurent l’effectivité.

Ce qu’il faut retenir

  • L’article 29 RGPD interdit à toute personne agissant sous l’autorité du responsable ou du sous-traitant de traiter des données personnelles sans instruction explicite — sauf obligation légale.
  • Le périmètre couvre salariés, intérimaires, freelances intégrés, prestataires de support et bénévoles. Il diffère du sous-traitant de l’Art. 28 par l’absence d’autonomie sur les finalités.
  • L’interdiction se met en œuvre par quatre instruments : charte informatique opposable, clauses de confidentialité, gestion des habilitations, sensibilisation continue.
  • La sanction est triple : CNIL (jusqu’à 20 M€ ou 4 % du CA), pénale (articles 226-13 et 226-21 du Code pénal), disciplinaire (licenciement pour faute grave).
  • L’Art. 29 se lit toujours avec l’Art. 5(1)(f), l’Art. 28 et l’Art. 32 : la CNIL combine ces fondements pour caractériser le manquement.

FAQ

Un salarié peut-il consulter un fichier client par curiosité personnelle sans risque ?

Non. La consultation sans finalité légitime constitue un détournement de finalité au sens de l’article 226-21 du Code pénal et un manquement à l’article 29 du RGPD. La jurisprudence pénale est constante : la simple consultation suffit, sans qu’il soit nécessaire de prouver une diffusion ou un dommage. Sur le plan disciplinaire, la Cour de cassation a confirmé que ce comportement peut justifier un licenciement pour faute grave.

Quelle est la différence entre une personne « sous autorité » et un sous-traitant au sens de l’article 28 ?

Le sous-traitant de l’Art. 28 RGPD est une entité juridique distincte qui agit pour le compte du responsable mais conserve une autonomie d’organisation. La personne « sous autorité » de l’Art. 29 est une personne physique intégrée dans la chaîne hiérarchique ou fonctionnelle, sans autonomie de décision sur les finalités. Un freelance peut basculer d’une catégorie à l’autre selon les termes de sa mission.

La charte informatique est-elle obligatoire pour appliquer l’article 29 ?

La charte n’est pas obligatoire en tant que telle, mais elle est, dans la pratique, la principale preuve qu’une organisation a effectivement encadré les accès. La CNIL la considère comme un élément structurant lorsqu’elle apprécie l’organisation interne du responsable de traitement. Voir mon guide charte informatique RGPD : guide pratique pour la rédaction et l’opposabilité.

L’article 29 s’applique-t-il aux dirigeants et mandataires sociaux ?

Oui. L’Art. 29 ne prévoit aucune exception pour les dirigeants. Un président ou un directeur général ne peut pas plus qu’un salarié traiter des données pour une finalité étrangère à celle du traitement, même s’il a édicté la politique interne. Cette précision est utile dans les contentieux où des dirigeants ont consulté des fichiers RH ou commerciaux à des fins personnelles.

Restez à jour sur le RGPD et la conformité. Chaque semaine, je publie une analyse pratique des décisions CNIL, des évolutions du droit européen et des cas concrets rencontrés par les DPO et juristes. Inscrivez-vous à la newsletter en bas de cette page pour la recevoir directement.

Articles lies

RGPD

Article 63 RGPD : le mécanisme de cohérence décrypté

25 mai 2026 · 18 min
RGPD

Article 64 RGPD : l'avis du CEPD décrypté

24 mai 2026 · 18 min
RGPD

Article 65 RGPD : la décision contraignante du CEPD

24 mai 2026 · 18 min