Chaque fois qu’une organisation confie des données personnelles à un prestataire externe — hébergeur cloud, éditeur SaaS, prestataire RH, cabinet de conseil — elle crée une relation de sous-traitance au sens du RGPD. Cette relation doit être formalisée par un contrat de sous-traitance conforme à l’article 28 du RGPD. Sans ce contrat, les deux parties s’exposent à des sanctions et à une responsabilité non maîtrisée.
Pourtant, beaucoup d’organisations signent des contrats de service sans jamais vérifier si les clauses RGPD obligatoires sont présentes. Le prestataire envoie ses CGV. Le client les accepte. Personne ne vérifie si l’article 28 est respecté. Jusqu’au contrôle de la CNIL.
Ce guide explique ce qu’est un contrat de sous-traitance RGPD, ce qu’il doit obligatoirement contenir, comment le négocier — et les obligations spécifiques applicables aux données de santé en France.
Qu’est-ce qu’un contrat de sous-traitance RGPD ?
Un contrat de sous-traitance RGPD (aussi appelé DPA — Data Processing Agreement, ou accord de traitement des données) est un contrat contraignant entre un responsable de traitement et un sous-traitant, imposé par l’article 28 du Règlement Général sur la Protection des Données (RGPD).
Ce contrat encadre les conditions dans lesquelles le sous-traitant traite les données personnelles pour le compte du responsable de traitement : finalités autorisées, mesures de sécurité, droits d’audit, obligations en cas de violation de données, et sort des données à la fin du contrat.
Le RGPD le rend obligatoire — pas optionnel. Tout traitement de données personnelles confié à un tiers doit être encadré par ce contrat, quelle que soit la taille de l’organisation ou le volume de données concerné.
Responsable de traitement vs Sous-traitant : qui est qui ?
| RESPONSABLE DE TRAITEMENT | SOUS-TRAITANT | |
|---|---|---|
| Définition | Détermine les finalités et les moyens du traitement | Traite les données pour le compte du responsable |
| Exemples | Entreprise cliente, employeur, établissement de santé | Hébergeur cloud, éditeur SaaS, prestataire paie/RH |
| Obligation principale | S’assurer que le sous-traitant offre des garanties suffisantes | Traiter les données uniquement selon les instructions du responsable |
| Responsabilité | Responsable en premier lieu vis-à-vis des personnes concernées | Responsable directement envers le responsable de traitement et, depuis le RGPD, potentiellement envers la CNIL |
Cas concrets :
- Une entreprise confie sa paie à un prestataire RH → la société est responsable, le prestataire est sous-traitant
- Un cabinet d’avocats utilise un logiciel CLM en SaaS → le cabinet est responsable, l’éditeur est sous-traitant
- Un hôpital stocke ses dossiers patients chez un hébergeur certifié HDS → l’hôpital est responsable, l’hébergeur est sous-traitant
Les 8 mentions obligatoires du contrat de sous-traitance (Art. 28.3 RGPD)
L’article 28.3 du RGPD liste explicitement ce que le contrat doit contenir. Ces mentions ne sont pas négociables — leur absence expose les deux parties à des sanctions.
- Traitement uniquement sur instruction documentée — le sous-traitant ne peut traiter les données qu’aux fins définies par le responsable de traitement, et sur ses instructions écrites. Aucun traitement pour ses propres finalités.
- Obligation de confidentialité — les personnes autorisées à traiter les données doivent s’engager à la confidentialité, ou être soumises à une obligation légale de confidentialité appropriée.
- Mesures de sécurité — le sous-traitant doit mettre en œuvre les mesures techniques et organisationnelles appropriées (art. 32 RGPD). Le contrat doit les préciser ou y renvoyer.
- Conditions de recours aux sous-traitants ultérieurs — le sous-traitant ne peut faire appel à un autre sous-traitant sans autorisation préalable écrite du responsable de traitement. La liste des sous-traitants ultérieurs doit être fournie.
- Assistance pour les droits des personnes — le sous-traitant aide le responsable à répondre aux demandes d’exercice des droits (accès, rectification, effacement, portabilité, opposition).
- Assistance pour les obligations de sécurité et de notification — le sous-traitant aide le responsable à respecter ses obligations en matière de sécurité (art. 32), d’AIPD (art. 35) et de notification des violations (art. 33-34).
- Sort des données en fin de contrat — à l’issue du contrat, le sous-traitant doit, au choix du responsable, supprimer toutes les données ou les lui restituer, et détruire les copies existantes (sauf obligation légale de conservation).
- Mise à disposition des informations et droit d’audit — le sous-traitant doit permettre au responsable de réaliser des audits ou des inspections, directement ou via un auditeur mandaté.
Sous-traitants ultérieurs : la chaîne de responsabilité
L’article 28.4 du RGPD impose une obligation de « flux descendant » : lorsqu’un sous-traitant fait appel à un autre sous-traitant (cloud provider, CDN, outil d’analyse…), il doit lui imposer les mêmes obligations de protection des données que celles qui lui sont imposées.
En pratique, cela signifie :
- Obtenir une autorisation préalable du responsable de traitement (générale ou spécifique)
- Conclure un contrat de sous-traitance avec le sous-traitant ultérieur
- Rester responsable envers le responsable de traitement si le sous-traitant ultérieur manque à ses obligations
Exemple : un éditeur SaaS français utilise AWS (Amazon Web Services) pour héberger ses données. L’éditeur doit avoir un contrat RGPD avec AWS, obtenir l’autorisation de ses clients, et pouvoir prouver que les données sont hébergées en conformité avec le RGPD (en l’occurrence, dans des datacenters EU ou avec des mécanismes de transfert adéquats).
Droits d’audit et de contrôle
Le droit d’audit est souvent le point de friction dans la négociation d’un contrat de sous-traitance. Les sous-traitants — notamment les grands prestataires cloud — tentent de le substituer par des certifications tierces (ISO 27001, SOC 2…). C’est acceptable si les certifications couvrent effectivement le périmètre de traitement concerné.
Trois éléments à négocier :
- Modalités de l’audit : sur place, sur pièces, via questionnaire ou via rapport de tiers certifié ?
- Délai de préavis : raisonnable (15 à 30 jours) mais pas excessif (éviter les 90 jours qui vident le droit d’audit de sa substance)
- Fréquence : une fois par an est standard ; en cas d’incident, à tout moment
Section spéciale : données de santé en France
Les données de santé constituent une catégorie particulière de données sensibles au sens de l’article 9 du RGPD. Leur traitement est en principe interdit, sauf exceptions (consentement explicite, intérêt public en matière de santé, finalités médicales). En France, leur protection est renforcée par des obligations spécifiques qui vont au-delà du RGPD.
Qu’est-ce qu’une donnée de santé ?
Les données de santé incluent toutes les informations relatives à l’état de santé physique ou mentale d’une personne, passé, présent ou futur — dossiers médicaux, ordonnances, résultats d’analyses, données de dispositifs médicaux connectés, informations génétiques.
La certification HDS (Hébergeurs de Données de Santé)
En France, l’article L.1111-8 du Code de la santé publique impose que tout hébergement de données de santé à caractère personnel soit confié à un hébergeur certifié HDS (Hébergeurs de Données de Santé). Cette certification est délivrée par l’Agence du Numérique en Santé (ANS).
La certification HDS s’applique à :
- Les hébergeurs d’infrastructure (cloud, serveurs dédiés)
- Les opérateurs de plateformes applicatives de santé
- Les éditeurs de logiciels de santé hébergeant des données patients
Conséquence pratique : si votre organisation traite des données de santé et externalise leur hébergement, votre prestataire doit être certifié HDS. Cette exigence s’ajoute — et ne remplace pas — les obligations du contrat de sous-traitance RGPD Art. 28.
La chaîne de responsabilité dans le secteur santé
| ACTEUR | EXEMPLE | STATUT RGPD | OBLIGATION HDS |
|---|---|---|---|
| Établissement de santé | Hôpital, clinique, médecin | Responsable de traitement | Doit faire appel à un hébergeur certifié HDS |
| Éditeur de logiciel santé | DPI, télémedecine, SaaS médical | Sous-traitant | Certification HDS obligatoire si hébergement des données |
| Hébergeur cloud | AWS Health, OVHcloud HDS… | Sous-traitant ultérieur | Certification HDS obligatoire |
Mesures de sécurité spécifiques aux données de santé
- Chiffrement de bout en bout obligatoire
- Journalisation des accès aux données patients
- Cloisonnement des environnements de production et de test
- Plan de continuité d’activité (PCA) et plan de reprise d’activité (PRA) documentés
- Notification CNIL en cas de violation dans les 72 heures (RGPD Art. 33) + notification aux patients concernés si risque élevé (Art. 34)
Checklist de négociation d’un contrat de sous-traitance RGPD
Utilisez cette liste lors de la revue ou la négociation d’un DPA avec un prestataire :
☐ Les finalités et instructions de traitement sont décrites avec précision
☐ Les catégories de données et de personnes concernées sont listées
☐ La durée de conservation et le sort des données en fin de contrat sont précisés
☐ Les mesures de sécurité (art. 32) sont détaillées ou font l’objet d’une annexe
☐ La liste des sous-traitants ultérieurs est fournie et mise à jour
☐ Le mécanisme d’autorisation pour tout nouveau sous-traitant ultérieur est défini
☐ Le délai de notification des violations de données est inférieur à 48 heures (pour permettre la notification CNIL dans les 72 heures)
☐ Les modalités d’exercice du droit d’audit sont claires et opérationnelles
☐ Les transferts hors UE sont encadrés (clauses contractuelles types, règles d’entreprise contraignantes)
☐ Pour les données de santé : certification HDS du prestataire vérifiée et à jour
Sanctions : ce que risquent les deux parties
Le RGPD ne punit pas seulement le responsable de traitement. Depuis 2018, le sous-traitant peut être tenu directement responsable par les autorités de contrôle.
| MANQUEMENT | SANCTION MAXIMALE |
|---|---|
| Absence de contrat de sous-traitance Art. 28 | Jusqu’à 10 M€ ou 2 % du CA mondial annuel |
| Violation grave (traitement sans base légale, transfert illicite, sécurité insuffisante) | Jusqu’à 20 M€ ou 4 % du CA mondial annuel |
| Absence de notification de violation dans les 72 heures (CNIL) | Jusqu’à 10 M€ ou 2 % du CA mondial annuel |
| Hébergement de données de santé sans certification HDS (France) | Sanctions pénales + amendes administratives |
La CNIL a prononcé plusieurs sanctions significatives en France ces dernières années — notamment contre des prestataires qui traitaient des données au-delà des instructions reçues ou qui ne disposaient pas de garanties suffisantes. Consulter le registre public des sanctions sur cnil.fr avant de sélectionner un prestataire est une bonne pratique.
Gérer les contrats de sous-traitance RGPD à grande échelle
Une organisation de taille intermédiaire peut facilement avoir 50 à 100 sous-traitants actifs : SaaS RH, outil de signature électronique, hébergeur cloud, prestataire de traduction, cabinet d’audit… Chacun doit faire l’objet d’un contrat de sous-traitance RGPD valide, à jour et accessible en cas de contrôle.
Sans centralisation, la conformité contractuelle devient un exercice de fouille : e-mails, SharePoint, dossiers locaux. Quand la CNIL demande « Montrez-moi votre DPA avec ce prestataire », la réponse ne peut pas prendre trois jours.
La plateforme de Gestion du Cycle de Vie des Contrats DiliTrust centralise l’ensemble des contrats de sous-traitance dans un référentiel unique et sécurisé. L’IA extrait automatiquement les clauses clés — durée, sous-traitants ultérieurs, dates d’audit — et signale les DPAs qui ne contiennent pas les 8 mentions obligatoires de l’Art. 28. Des alertes automatisées rappellent les échéances de renouvellement et les revues annuelles de conformité.
Résultat : en cas de contrôle, vous localisez n’importe quel DPA en quelques secondes. En cas de violation, vous savez exactement quels prestataires sont concernés et quelles obligations de notification s’appliquent.
DiliTrust est certifié ISO 27001 et ISO 27701 — les standards internationaux de sécurité de l’information et de protection de la vie privée. Nos données sont hébergées en Europe, avec une option de déploiement en France pour les organisations soumises à des exigences de souveraineté des données.
FAQ sur le contrat de sous-traitance RGPD
Le contrat de sous-traitance RGPD est-il obligatoire pour tous les prestataires ?
Oui, dès lors qu’un prestataire traite des données personnelles pour le compte de votre organisation — même de façon accessoire. Cela inclut les hébergeurs cloud, les éditeurs SaaS, les prestataires de paie, les cabinets d’audit ayant accès aux données, etc.
Quelle est la différence entre un DPA et les CGV du prestataire ?
Les conditions générales de vente régissent la relation commerciale. Le DPA (contrat de sous-traitance RGPD) régit spécifiquement le traitement des données personnelles. Les deux coexistent. Les CGV ne remplacent pas le DPA — même si certains prestataires intègrent les clauses RGPD dans leurs CGV, vérifiez que les 8 mentions obligatoires de l’Art. 28 sont bien présentes.
Que se passe-t-il si mon prestataire refuse de signer un DPA ?
Un prestataire qui refuse de signer un contrat de sous-traitance RGPD ne vous offre pas de garanties suffisantes au sens de l’Art. 28.1. Vous prenez un risque juridique et réglementaire en continuant à lui confier des données personnelles. Envisagez de changer de prestataire ou de limiter les données transmises.
Combien de temps faut-il conserver le contrat de sous-traitance ?
Le RGPD n’impose pas de durée de conservation spécifique pour les DPAs. En pratique, conservez-les pendant toute la durée de la relation contractuelle et au moins 5 ans après sa fin (délai de prescription de droit commun — Art. 2224 Code civil), voire plus si des données restent en jeu dans des contentieux potentiels.
Un sous-traitant établi hors UE peut-il traiter mes données ?
Oui, sous conditions. Les transferts hors UE/EEE doivent être encadrés par des mécanismes adéquats : décision d’adéquation de la Commission européenne (ex. : États-Unis avec le Data Privacy Framework), clauses contractuelles types (CCT) publiées par la Commission, ou règles d’entreprise contraignantes (BCR). Le DPA doit préciser le mécanisme retenu. Consultez les lignes directrices de l’EDPB pour les transferts internationaux.
Quelle est la différence entre un contrat de sous-traitance RGPD et un Business Associate Agreement (BAA) américain ?
Le RGPD Art. 28 et le HIPAA américain répondent au même besoin — encadrer contractuellement le traitement de données par un tiers — mais dans des cadres légaux distincts. Le contrat de sous-traitance RGPD s’applique à toutes les organisations opérant en Europe, tous secteurs confondus. Le Business Associate Agreement (BAA) est une obligation spécifique au secteur santé américain, imposée par le HIPAA. Les organisations multinationales actives dans les deux marchés doivent se conformer aux deux.
