RGPD Article 28 : Obligations du sous-traitant & DPA (2026)
Published 6 juil. 2026
By Anna Bley

RGPD Article 28 : Obligations du sous-traitant & DPA (2026)

RGPD Article 28 expliqué : les clauses obligatoires du DPA, le devoir de diligence du responsable, l'autorisation des sous-traitants ultérieurs, l'avis 22/2024 du CEPD et comment le prouver.

RGPD
GDPR
Protection des données
DPA
Conformité

RGPD Article 28 : obligations du sous-traitant & exigences du DPA

L'article 28 du RGPD régit la relation entre un responsable du traitement et un sous-traitant. Il impose au responsable de ne recourir qu'à des sous-traitants présentant des « garanties suffisantes » de sécurité appropriée, et exige que la relation soit encadrée par un contrat contraignant — le contrat de sous-traitance (DPA) — comportant huit ensembles de clauses obligatoires énumérés à l'article 28(3). Il fixe aussi les règles de la sous-traitance ultérieure : un sous-traitant ne peut recruter un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable, et demeure responsable de la conformité de ce sous-traitant ultérieur.

Pour toute entreprise SaaS B2B, l'article 28 est celui qui apparaît dans chaque contrat grand compte. Vos clients sont responsables du traitement ; vous êtes leur sous-traitant ; et le DPA est le contrat qui rend la relation licite. Cette page est la référence juridique de ce qu'exige l'article 28 — les clauses obligatoires, le devoir de diligence continu du responsable et les règles de sous-traitance ultérieure que l'avis 22/2024 du CEPD a durcies. Pour le volet opérationnel — comment tenir une liste publique de sous-traitants ultérieurs et un flux de notification de changement auxquels les responsables font réellement confiance — voyez notre guide complémentaire sur la gestion des sous-traitants au titre de l'article 28.

Points clés à retenir

  • L'article 28 impose un contrat écrit (le DPA) avec chaque sous-traitant, comportant les huit engagements obligatoires de l'article 28(3).
  • Les « garanties suffisantes » sont une obligation continue. Au titre de l'article 28(1) et de l'avis 22/2024 du CEPD, le responsable doit vérifier les garanties du sous-traitant à intervalles appropriés — et non une seule fois à la signature.
  • Les sous-traitants ultérieurs requièrent une autorisation (article 28(2)) — spécifique ou générale — et les mêmes obligations de protection des données doivent être répercutées par contrat (article 28(4)).
  • La responsabilité reste au sous-traitant initial. Si un sous-traitant ultérieur faillit, c'est le sous-traitant — et non le sous-traitant ultérieur — qui répond envers le responsable (article 28(4)).
  • L'avis 22/2024 du CEPD a relevé la barre : les responsables doivent pouvoir identifier à tout moment chaque sous-traitant et sous-traitant ultérieur de la chaîne, et demeurent responsables des garanties encadrant les transferts ultérieurs.
  • Une infraction au DPA est sanctionnable au titre de l'article 83(4) : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.

Aller à :


Ce qu'exige l'article 28

L'article 28 du Règlement (UE) 2016/679 est la réponse du RGPD à un fait structurel simple : la plupart des données à caractère personnel ne sont pas traitées par l'organisation qui décide pourquoi elles le sont. Un responsable du traitement (l'organisation qui détermine les finalités et les moyens) s'appuie presque toujours sur des sous-traitants — hébergement cloud, analytique, paiement, CRM, outils de support — pour réaliser concrètement le traitement. L'article 28 encadre cette relation afin que la responsabilité ne s'évapore pas lorsque les données sont confiées à un tiers.

Il fait trois choses :

  1. Il pose un devoir de sélection — le responsable ne peut recourir qu'à des sous-traitants offrant des « garanties suffisantes » (article 28(1)).
  2. Il impose un contrat — le traitement doit être encadré par un DPA au contenu prescrit (article 28(3)).
  3. Il régule la chaîne — un sous-traitant ne peut recruter des sous-traitants ultérieurs que selon des règles d'autorisation définies, et en demeure responsable (article 28(2) et (4)).

Pour les entreprises SaaS B2B, le constat est incontournable : vous êtes presque toujours à la fois responsable du traitement (pour vos propres données de salariés et de comptes clients) et sous-traitant (pour les données que vos clients stockent dans votre plateforme). L'article 28 vous s'applique donc dans les deux sens — en entrée, lorsque vous évaluez vos propres fournisseurs, et en sortie, lorsque vos clients vous évaluent.


Choisir un sous-traitant : les « garanties suffisantes »

L'article 28(1) pose la condition seuil :

« Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. »

Il s'agit d'une obligation de diligence, et non d'une case à cocher lors de l'intégration. L'avis 22/2024 du CEPD (adopté le 9 octobre 2024) est explicite : les « garanties suffisantes » constituent une obligation continue — le responsable « devrait, à intervalles appropriés, vérifier les garanties du sous-traitant ». La profondeur de la vérification est proportionnée au risque — un traitement à haut risque appelle davantage de scrutin — mais le devoir lui-même s'applique quel que soit le niveau de risque.

En pratique, c'est sur les « garanties suffisantes » que les certifications prennent toute leur valeur. Un certificat ISO 27001, un rapport SOC 2 ou un Trust Center tenu à jour donnent au responsable une base défendable et reproductible pour conclure qu'un sous-traitant est adéquat — c'est précisément pourquoi les équipes achats européennes les réclament avant toute autre chose.


Les 8 clauses obligatoires du DPA (article 28(3))

L'article 28(3) impose que le traitement soit encadré par « un contrat ou un autre acte juridique » contraignant pour le sous-traitant, et il prescrit huit engagements que le DPA doit contenir. C'est la partie de l'article 28 la plus scrutée lors d'une revue achats — un DPA auquel manque l'un de ces éléments est non conforme :

#Engagement obligatoire du DPABase juridique
1Ne traiter les données à caractère personnel que sur instructions documentées du responsable (y compris pour les transferts internationaux)Art. 28(3)(a)
2Veiller à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialitéArt. 28(3)(b)
3Prendre toutes les mesures de sécurité requises par l'article 32Art. 28(3)(c)
4Respecter les conditions de recrutement de sous-traitants ultérieurs prévues à l'art. 28(2) et (4)Art. 28(3)(d)
5Aider le responsable à répondre aux demandes d'exercice des droits des personnes concernéesArt. 28(3)(e)
6Aider le responsable à satisfaire ses obligations de sécurité, de notification de violation et d'AIPD (articles 32 à 36)Art. 28(3)(f)
7Supprimer ou restituer toutes les données à caractère personnel à la fin de la prestation (au choix du responsable)Art. 28(3)(g)
8Mettre à disposition toutes les informations nécessaires pour démontrer la conformité, et permettre les audits et inspections et y contribuerArt. 28(3)(h)

Deux de ces clauses ont un poids opérationnel démesuré. La clause 1 (instructions documentées) explique pourquoi la formule « ne traiter que sur instruction » figure dans chaque DPA — l'avis 22/2024 du CEPD confirme qu'une formulation alternative telle que « sauf obligation légale ou ordre gouvernemental contraignant » n'enfreint pas l'article 28, mais n'exonère pas non plus l'une ou l'autre partie de ses obligations RGPD. La clause 8 (droits d'audit et d'information) est celle que les acheteurs grands comptes exercent le plus : c'est la base juridique du questionnaire de sécurité, de la demande d'audit et de l'exigence de voir vos preuves — le coût récurrent qu'un Trust Center en libre-service est conçu pour éliminer.

L'article 28(5) ajoute que l'adhésion à un code de conduite approuvé (article 40) ou à un mécanisme de certification (article 42) peut servir d'élément pour démontrer les garanties suffisantes exigées par l'article 28(1).


L'autorisation des sous-traitants ultérieurs (article 28(2) & (4))

Un sous-traitant travaille rarement seul. Lorsqu'il recrute un autre sous-traitant — un sous-traitant ultérieur — l'article 28 impose deux règles.

Autorisation (article 28(2)). Le sous-traitant « ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement ».

  • Autorisation spécifique — le responsable approuve chaque sous-traitant ultérieur individuellement, par écrit, avant son recrutement.
  • Autorisation générale — le responsable donne une approbation préalable à condition que le sous-traitant « informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections ».

La plupart des entreprises SaaS B2B fonctionnent sous autorisation générale, car l'autorisation spécifique est lourde à gérer pour les deux parties. Mais l'autorisation générale n'est pas un blanc-seing : elle est conditionnée à une notification de changement transparente et proactive et à une réelle possibilité d'objecter.

Répercussion et responsabilité (article 28(4)). Lorsqu'un sous-traitant ultérieur est recruté, « les mêmes obligations en matière de protection des données que celles fixées dans le contrat… sont imposées à cet autre sous-traitant », et — c'est essentiel — « lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations ». La responsabilité ne se dilue pas en descendant la chaîne ; elle reste au sous-traitant avec lequel le responsable a contracté.

La mise en œuvre concrète de ces règles — la liste publique des sous-traitants ultérieurs, le délai de préavis et le flux d'objection — fait l'objet de notre guide opérationnel complémentaire, la gestion des sous-traitants au titre du RGPD Article 28 : ce qu'attendent réellement les responsables, ainsi que du flux de notification de changement de sous-traitant au titre du RGPD, prêt à l'emploi.


Ce qu'a changé l'avis 22/2024 du CEPD

En octobre 2024, le CEPD a rendu l'avis 22/2024 sur les obligations découlant du recours à des sous-traitants et à des sous-traitants ultérieurs. Il n'a pas modifié le texte de l'article 28, mais il a clarifié la manière dont les autorités de contrôle l'appliqueront — et sa lecture est stricte :

  • Visibilité sur toute la chaîne. Les responsables « devraient disposer à tout moment des informations relatives à l'identité (nom, adresse, personne de contact) de tous les sous-traitants, sous-traitants ultérieurs, etc. ». Le sous-traitant doit fournir ces informations de manière proactive et les tenir à jour. Divulguer uniquement le premier rang de sous-traitants ultérieurs ne suffit pas — c'est toute la chaîne qui doit être identifiable.
  • La vérification est continue mais proportionnée. Le responsable n'a pas à exiger systématiquement chaque contrat de sous-traitance ultérieure ; il peut s'appuyer sur les informations fournies par le sous-traitant, appréciées au cas par cas, avec une vérification plus poussée pour les traitements à plus haut risque. Mais la responsabilité ultime de prouver les garanties suffisantes incombe au responsable.
  • Les transferts ultérieurs restent le problème du responsable. Même lorsque le sous-traitant initial est situé dans l'EEE, le responsable demeure responsable de garantir des garanties suffisantes — y compris des analyses d'impact des transferts — pour tout transfert ultérieur de données hors de l'EEE par un sous-traitant ultérieur.

L'avis n'est pas juridiquement contraignant, mais il est immédiatement applicable et les autorités nationales l'appliqueront dans leurs enquêtes. Son effet pratique est de faire d'une liste de sous-traitants ultérieurs à jour, complète et exploitable par machine — et non d'une annexe PDF périmée — le socle qu'un responsable doit désormais atteindre pour satisfaire son propre devoir de responsabilité. C'est une exigence que vos clients répercuteront sur vous.


Comment prouver la conformité du sous-traitant

L'article 28 est une obligation à deux faces, et c'est la moitié démontrable qui fait gagner les contrats. Votre client (le responsable) doit prouver qu'il a fait preuve de diligence à votre égard ; vous (le sous-traitant) devez le lui faciliter. Les sous-traitants qui convertissent leur pipeline grand compte sont ceux qui transforment l'article 28 en preuve en libre-service plutôt qu'en exercice juridique sur mesure à chaque contrat.

Obligation de l'article 28Ce que le responsable veut voirComment le fournir
28(1) Garanties suffisantesCertifications et posture de sécurité actuelleRapports ISO 27001 / SOC 2 dans un Trust Center
28(3) Un DPA conformeUn DPA signable comportant les huit clausesUn DPA standard prépublié, hébergé pour téléchargement
28(3)(c) Mesures de l'article 32Vos MTO / livre blanc de sécuritéUn document mesures de l'article 32 tenu à jour
28(2) Autorisation des sous-traitants ultérieursUne liste de sous-traitants ultérieurs à jour et complète + notifications de changementUne page publique de sous-traitants ultérieurs avec notifications automatisées
28(3)(h) Droits d'audit & d'informationRéponses aux questionnaires de sécurité, dossiers de preuvesPreuve en libre-service dans un Trust Center — et non un fil de courriels par contrat

Le fil conducteur est le même que pour le reste du RGPD : la responsabilité au titre de l'article 5(2) signifie que la réponse à « prouvez-le » doit être récupérable à la demande. Pour un sous-traitant, l'endroit le moins coûteux pour rendre la preuve de l'article 28 récupérable est une surface hébergée unique que chaque client peut atteindre — ce qui est précisément la vocation d'un Trust Center.


Amendes et application

Les infractions à l'article 28 relèvent de la catégorie inférieure d'amendes prévue à l'article 83(4) : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Les constats au titre de l'article 28 accompagnent fréquemment ceux des articles 32 (sécurité) et 5 (responsabilité), car une relation de sous-traitance déficiente révèle généralement une sécurité et une documentation tout aussi déficientes. L'ensemble d'amendes de 45 millions d'euros infligé à Vodafone en Allemagne en 2025, par exemple, incluait une surveillance inadéquate des sous-traitants.

Le contexte plus large est un environnement d'application qui n'est plus sporadique : le cumul des amendes RGPD atteignait 7,1 milliards d'euros en janvier 2026, dont environ 1,2 milliard d'euros prononcés en 2025, selon le DLA Piper GDPR Fines and Data Breach Survey (janvier 2026). Alors que l'avis 22/2024 du CEPD affûte les attentes en matière de transparence sur les sous-traitants ultérieurs, la relation de sous-traitance est un domaine d'attention croissante des autorités de contrôle, plutôt qu'une question réglée.


La position du Royaume-Uni et de la Norvège

L'article 28 est une norme paneuropéenne, et les règles responsable-sous-traitant sont cohérentes dans l'ensemble du paysage européen de la conformité.

Royaume-Uni. Le UK GDPR conserve l'article 28 et son contenu obligatoire de DPA dans une substance identique, sous la supervision de l'Information Commissioner's Office (ICO). Le Data (Use and Access) Act 2025 (sanction royale le 19 juin 2025) a réformé certains pans de la protection des données britannique mais a laissé intact le cadre responsable-sous-traitant, et la Commission européenne s'est engagée à renouveler la décision d'adéquation du Royaume-Uni après examen des réformes — de sorte que les flux de données UE-RU, et les DPA transfrontaliers, se poursuivent sans interruption.

Norvège et EEE. La Norvège applique le RGPD via l'accord EEE (en vigueur depuis juillet 2018), de sorte que l'article 28 lie les responsables du traitement et sous-traitants norvégiens dans des termes identiques, sous la supervision du Datatilsynet. Les clauses du DPA, le devoir de garanties suffisantes et les règles de sous-traitance ultérieure sont les mêmes — ce qui signifie qu'un cadre de DPA unique conforme à l'article 28 et un processus unique de gestion des sous-traitants ultérieurs servent à la fois l'UE, l'EEE et le Royaume-Uni.


Mettre en œuvre l'article 28 dans un Trust Center

L'article 28 est une obligation de contrat et de preuve, et il se gagne en retirant la friction des deux moments où il mord : la signature du DPA et la démonstration de conformité qui suit. Trois capacités font l'essentiel du travail :

  1. Un DPA standard prépublié comportant les huit clauses de l'article 28(3), hébergé pour un téléchargement en libre-service — pour que le DPA cesse d'être une négociation par contrat et devienne un document qu'un client peut accepter.
  2. Une liste de sous-traitants ultérieurs à jour et complète avec notifications de changement automatisées et un délai d'objection défini — le socle qu'attend désormais l'avis 22/2024 du CEPD, délivré via une page publique de Trust Center plutôt qu'une annexe périmée. Notre flux de notification de changement de sous-traitant précise exactement ce que chaque notification doit contenir.
  3. Des preuves de conformité en libre-service — certifications, MTO et éléments de support d'audit en un seul endroit — pour que le droit d'audit et d'information de l'article 28(3)(h) soit satisfait par un lien, et non par un cycle de questionnaire.

C'est le modèle SMSI-et-Trust-Center appliqué à la relation de sous-traitance : un SMSI produit les garanties suffisantes qu'exige l'article 28(1), et un Trust Center les rend démontrables à chaque responsable qui les demande. La plateforme Trust Center d'Orbiq conserve le DPA, la liste des sous-traitants ultérieurs, les certifications et les preuves à jour et accessibles — transformant l'article 28 d'un coût juridique récurrent en un actif commercial permanent.

Hébergez votre DPA et votre liste de sous-traitants ultérieurs dans un Trust Center. Découvrez comment Orbiq gère les preuves de l'article 28 →


Sources et références

  1. Règlement (UE) 2016/679 (RGPD) — Texte intégral (EUR-Lex ELI) — Journal officiel de l'Union européenne ; l'article 28 dans son contexte.
  2. gdpr-info.eu — Article 28 (Sous-traitant) — Texte de l'article et considérants.
  3. Avis 22/2024 du CEPD sur le recours aux sous-traitants et sous-traitants ultérieurs (PDF) — Adopté le 9 octobre 2024 ; identification de toute la chaîne, vérification continue, transferts ultérieurs.
  4. CEPD — Lignes directrices 07/2020 sur les notions de responsable du traitement et de sous-traitant — Version 2.1 ; relations responsable-sous-traitant et sous-traitance ultérieure.
  5. DLA Piper GDPR Fines and Data Breach Survey : janvier 2026 — 7,1 milliards d'euros cumulés ; 1,2 milliard d'euros en 2025.
  6. ICO — Contracts and liabilities between controllers and processors (UK GDPR) — Orientations britanniques sur l'article 28.
  7. Datatilsynet — autorité norvégienne de protection des données — Orientations relatives aux sous-traitants (Norvège / EEE).

Lectures complémentaires

Questions fréquentes

Qu'exige l'article 28 du RGPD ?

L'article 28 régit la relation entre le responsable du traitement et le sous-traitant. Il impose au responsable de ne recourir qu'à des sous-traitants présentant des « garanties suffisantes » quant à la mise en œuvre de mesures de sécurité appropriées, et exige que la relation soit encadrée par un contrat contraignant — le contrat de sous-traitance (DPA) — comportant huit ensembles de clauses obligatoires énoncés à l'article 28(3). Il encadre aussi le recours à des sous-traitants ultérieurs : un sous-traitant ne peut recruter un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement.

Que doit contenir un contrat de sous-traitance (DPA) au titre de l'article 28(3) ?

L'article 28(3) impose au DPA de lier le sous-traitant à huit engagements : (a) ne traiter que sur instructions documentées ; (b) garantir la confidentialité du personnel ; (c) prendre toutes les mesures de sécurité de l'article 32 ; (d) respecter les conditions de recrutement de sous-traitants ultérieurs ; (e) aider le responsable à répondre aux demandes d'exercice des droits ; (f) l'aider à satisfaire ses obligations de sécurité, de notification de violation et d'AIPD (articles 32 à 36) ; (g) supprimer ou restituer les données à la fin de la prestation ; et (h) mettre à disposition toutes les informations nécessaires pour démontrer la conformité et permettre les audits et inspections.

Quelle est la différence entre autorisation spécifique et autorisation générale d'un sous-traitant ultérieur ?

Au titre de l'article 28(2), un sous-traitant ne peut recruter un sous-traitant ultérieur qu'avec l'autorisation du responsable. L'autorisation spécifique signifie que le responsable approuve chaque sous-traitant ultérieur individuellement avant son recrutement. L'autorisation générale signifie que le responsable donne une approbation préalable et globale, à condition que le sous-traitant l'informe de tout ajout ou remplacement envisagé et lui donne la possibilité d'émettre des objections. La plupart des entreprises SaaS B2B fonctionnent sous autorisation générale.

Qui est responsable si un sous-traitant ultérieur enfreint le RGPD ?

Au titre de l'article 28(4), lorsqu'un sous-traitant recrute un sous-traitant ultérieur, les mêmes obligations de protection des données doivent être imposées par contrat à ce dernier — et le sous-traitant initial demeure pleinement responsable envers le responsable du traitement de l'exécution des obligations du sous-traitant ultérieur. La responsabilité ne se transfère pas le long de la chaîne. L'avis 22/2024 du CEPD confirme que le responsable doit pouvoir identifier à tout moment chaque sous-traitant et sous-traitant ultérieur de la chaîne.

L'article 28 du RGPD s'applique-t-il au Royaume-Uni et en Norvège ?

Oui, sous une forme équivalente. Le UK GDPR conserve l'article 28 et ses clauses obligatoires de DPA, sous la supervision de l'ICO. La Norvège applique le RGPD via l'accord EEE, sous la supervision du Datatilsynet. Les exigences relatives au contenu du DPA et les règles d'autorisation des sous-traitants ultérieurs sont cohérentes dans l'ensemble de l'UE, de l'EEE et du Royaume-Uni : un cadre de DPA unique, conforme à l'article 28, fonctionne donc pour les trois.

RGPD Article 28 : Obligations du sous-traitant & DPA (2026)