Article 28 du RGPD : Sous-traitants

L’Article 28 du RGPD encadre les relations entre un responsable de traitement et un sous-traitant qui traite des données pour son compte. Il impose des obligations contractuelles strictes pour garantir la conformité des traitements sous-traités.

L’Article 28 du RGPD expliqué

Le responsable du traitement ne peut faire appel qu’à des sous-traitants offrant des garanties suffisantes en matière de protection des données.

Un contrat écrit doit encadrer la relation et contenir notamment :

L’objet, la durée, la nature et la finalité du traitement ;
Les types de données et les catégories de personnes concernées ;
Les obligations du sous-traitant, y compris confidentialité, sécurité, aide en cas de demande, restitution ou suppression des données, auditabilité, etc.

Pourquoi cet article est-il important pour votre conformité RGPD ?

Les responsables du traitement restent entièrement responsables des données, même en cas de sous-traitance. Le choix et le suivi des sous-traitants sont donc des éléments cruciaux pour garantir la conformité globale de votre organisation.

Comment se mettre en conformité avec l’Article 28 du RGPD ?

Évaluez les garanties apportées par vos sous-traitants (certifications, pratiques documentées…).
Concluez un contrat de sous-traitance RGPD conforme.
Suivez régulièrement les pratiques des sous-traitants (audits, revues de conformité).
Assurez-vous qu’aucun traitement ne soit effectué sans l’autorisation du responsable.

Exemples d’application de l’Article 28 du RGPD

Une entreprise confie l’hébergement de ses données à un prestataire cloud : un contrat de sous-traitance RGPD est signé.
Un cabinet RH externalise le traitement de paie auprès d’un prestataire : il vérifie les garanties de sécurité et de confidentialité.
Une société utilise un CRM externalisé : elle encadre les traitements par une clause spécifique du contrat.