Article 28 du RGPD : Le guide complet de la sous-traitance (Mise à jour 2026)

L'article 28 du RGPD définit les règles d'or de la relation entre un responsable de traitement et ses prestataires. En 2026, avec l'explosion des services Cloud et de l'IA, la maîtrise de votre chaîne de sous-traitance n'est plus une option, c'est une condition de survie juridique.

Ce qu'il faut retenir : L’article 28 impose la signature d'un contrat écrit, internationalement connu sous le nom de DPA (Data Processing Agreement). Ce document est le pilier de votre conformité : il formalise les instructions du client et les obligations de sécurité du prestataire. Sans DPA valide, le responsable de traitement et le sous-traitant s'exposent à une co-responsabilité en cas de faille.

Qu’est-ce qu’un sous-traitant au sens de l'article 28 du RGPD ?

L’article 28 du RGPD ne définit pas les notions de sous-traitant et de responsable de traitement qu’il utilise. Pour cela, il faut se rendre à l’article 4 du RGPD qui contient les définitions.

Ainsi, la définition du sous-traitant précise qu’il s’agit de :

la personne physique ou morale, l’autorité publique, le service ou autre organisme...

Avant d’aller plus loin, notons que cette définition est donc extrêmement large. Vous pouvez d’ailleurs très bien être à la fois responsable de traitement et sous-traitant, selon votre activité, pour des opérations différentes.

...qui traite des données à caractère personnel pour le compte du responsable de traitement.

C’est donc le fait de mener une opération de traitement, pour le compte d’un tiers, qui fait de vous un sous-traitant. Le responsable de traitement est alors l’entreprise qui décide de l’opération de traitement.

Un sous-traitant est donc toute entité (société, consultant, service SaaS) qui traite des données personnelles pour le compte et selon les instructions d'un responsable de traitement.

Exemples :

• Votre hébergeur Cloud.

• Votre logiciel de paie.

• Votre agence de marketing digital.

• Une API d'IA générative intégrée à votre outil métier.

Les mentions obligatoires du contrat de sous-traitance

Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.

Pour être conforme à l'article 28, votre DPA ne doit pas être une simple annexe juridique générique. Il doit refléter la réalité opérationnelle du traitement. Ce contrat de protection des données doit impérativement détailler les missions confiées au prestataire, les types de données traitées et, surtout, les mesures de sécurité spécifiques au projet.

1. L’identification des rôles et des contacts

• Qualification des parties : Ne vous contentez pas des termes « client » et « prestataire ». Le contrat doit identifier clairement qui est le Responsable de Traitement et qui est le Sous-traitant.

• Le pilotage DPO : Indiquez les coordonnées directes des délégués à la protection des données (DPO) ou des référents conformité de chaque partie. En cas de faille de sécurité, chaque minute compte : la communication doit être directe.

2. La description précise du traitement

Pour éviter tout flou juridique, le contrat doit détailler l'objet de la prestation :

• La mention "Pour le compte de" : Elle doit apparaître explicitement pour confirmer la relation de sous-traitance.

• La nature et la finalité : Pourquoi les données sont-elles traitées ? S'agit-il d'hébergement, de tri, d'archivage ou de numérisation ?

• La durée du traitement : Elle est généralement calée sur la durée de la prestation. Le contrat doit stipuler que le sous-traitant ne peut conserver les données au-delà de ce qui est strictement nécessaire à l'exécution du contrat.

• Les catégories de données : Dressez une liste précise (données d'identification, vie pro, données de connexion, etc.). Si des données sensibles (santé, opinions politiques, NIR) sont traitées, mentionnez-les impérativement.

• Les personnes concernées : Qui est visé ? (Collaborateurs, clients, patients, prospects).

3. Les obligations strictes du prestataire

Le sous-traitant doit s'engager contractuellement sur plusieurs piliers critiques :

• Confidentialité et Privacy by Design : Le personnel du prestataire doit être soumis à une obligation de secret, et ses outils doivent intégrer la protection des données dès la conception.

• La sous-traitance ultérieure : Le prestataire ne peut pas faire appel à un "sous-sous-traitant" sans votre autorisation écrite préalable. Une liste exhaustive de ses propres prestataires doit être fournie.

• Gestion des violations de données : C’est la clause la plus critique. Le sous-traitant doit vous informer dans un délai maximum (ex: 24h ou 48h) de tout incident de sécurité.

📌 Focus 2026 : La sous-traitance à l'heure de l'IA Act

L'intégration de services d'intelligence artificielle transforme la sous-traitance classique.

Le point de vigilance : Un fournisseur d'IA (via API ou logiciel) est un sous-traitant article 28. En 2026, vos contrats doivent garantir que vos données ne sont pas utilisées pour l'entraînement "général" de ses modèles sans votre accord explicite. De plus, le sous-traitant IA doit vous fournir les informations nécessaires pour remplir vos propres obligations de transparence liées à l'IA Act.

Sécurité, transferts et fin de contrat

Sécurité et Transferts hors UE

Le sous-traitant doit s'engager à mettre en œuvre toutes les mesures techniques (chiffrement, contrôle d'accès) et organisationnelles (PRA/PCA). Attention : L'hébergement doit idéalement se situer en Union Européenne. Tout transfert hors UE requiert votre approbation préalable et des garanties juridiques solides (Clauses Contractuelles Types).

Le droit d'audit et de contrôle

Le responsable de traitement doit pouvoir vérifier le respect du RGPD par le sous-traitant pendant toute la durée du contrat. Cela peut se traduire par :

• L'envoi de questionnaires de sécurité.

• La demande du registre des traitements du sous-traitant.

• La réalisation d'audits sur site ou de tests d'intrusion.

Le sort des données à l’issue de la prestation

Une fois la mission terminée, le contrat doit permettre au client de choisir entre :

• La destruction : Le prestataire fournit alors un certificat de suppression définitive.

• La restitution : Les données sont rendues dans un format structuré et couramment utilisé.

Gérer manuellement des dizaines de contrats de sous-traitance est une source d'erreurs majeures et de perte de temps.

Le Conseil Witik : Ne vous contentez pas de stocker des PDF. Utilisez Witik pour centraliser vos questionnaires de sécurité tiers, générer des clauses Article 28 automatisées et piloter vos audits fournisseurs. Passez d'une gestion subie à une chaîne de confiance maîtrisée.

FAQ : Article 28 du RGPD

Un simple e-mail peut-il faire office de contrat

Non, l'article 28 exige un acte juridique écrit (sous format papier ou électronique). Les conditions générales peuvent suffire si elles intègrent toutes les mentions obligatoires citées ci-dessus.

Quelles sont les obligations du responsable de traitement ?

Le client a aussi des devoirs : fournir les données, donner des instructions écrites documentées et veiller à ce que le sous-traitant respecte bien ses engagements.

Le droit d'opposition s'applique-t-il chez le sous-traitant ?

Oui, le sous-traitant doit assister le responsable de traitement pour que ce dernier puisse répondre aux demandes d'opposition reçues des personnes concernées.

Quelle est la différence entre l'article 28 et un DPA ?

L'article 28 désigne la règle de droit inscrite dans le règlement européen. Le DPA (Data Processing Agreement) est le contrat physique ou électronique qui permet de respecter cette règle. En résumé : l'article 28 est l'obligation légale, et le DPA est l'outil contractuel qui prouve votre mise en conformité.