Notifications de changement de sous-traitant (RGPD) : le processus de l'article 28

Notifications de changement de sous-traitant (RGPD) : le processus de l'article 28

Une notification de changement de sous-traitant ultérieur est l'information préalable qu'un sous-traitant doit adresser avant d'ajouter ou de remplacer un sous-traitant ultérieur sous autorisation écrite générale. L'article 28(2) du RGPD impose que le responsable du traitement soit informé des changements envisagés et qu'il dispose d'une véritable possibilité de s'y opposer avant que le nouveau sous-traitant ultérieur ne commence à traiter les données. Le règlement ne fixe aucun délai de préavis — c'est une question contractuelle — mais l'avis 22/2024 du CEPD (adopté le 7 octobre 2024) a resserré ce que recouvre désormais une notification effective : un niveau de détail et un délai suffisants pour une opposition éclairée, étayés par une liste de sous-traitants ultérieurs tenue à jour en permanence. Ce guide porte sur le processus lui-même : ce que la notification doit contenir, la durée du délai, la gestion des oppositions et les personnes à notifier.

Les notifications de changement de sous-traitant en un coup d'œil

Question	Réponse courte
Quand une notification est-elle requise ?	Avant d'ajouter ou de remplacer un sous-traitant ultérieur sous autorisation écrite générale (art. 28(2)).
Délai de préavis légal ?	Aucun. Le délai (en Europe, généralement ~15 jours) est fixé dans le DPA, pas dans le RGPD.
Que doit-elle contenir ?	Identité + contact, description du traitement, localisation/mécanisme de transfert, garanties de sécurité.
Le silence vaut-il consentement ?	Uniquement sous autorisation générale, et seulement avec une information réelle, éclairée et en temps utile. Jamais sous autorisation spécifique.
Qui la reçoit ?	Chaque responsable du traitement dont les données seront concernées par le sous-traitant ultérieur — de manière proactive, et non sur demande.
Où réside-t-elle ?	Un registre des sous-traitants à jour + un canal d'alerte actif (abonnement e-mail / Trust Center).

À retenir

1. L'article 28 fixe le déclencheur, le DPA fixe l'horloge. L'obligation de notifier et de permettre l'opposition est légale ; le nombre de jours est contractuel — rendez-le opérationnellement applicable, et non une simple clause.
2. Une notification de changement est un document à champs obligatoires, pas un e-mail d'une ligne. Après l'avis 22/2024 du CEPD, « nous avons ajouté le prestataire X » ne suffit plus pour un traitement non anodin.
3. Le parcours d'opposition doit exister avant que quelqu'un ne s'oppose. Définissez à l'avance ce qui se passe : solution de contournement, ou résiliation des services concernés.
4. La notification se fait en « push », pas en « pull ». Les responsables du traitement doivent être informés à temps pour s'opposer ; attendre d'eux qu'ils surveillent une page web ne décharge pas de l'obligation.
5. Il s'agit d'un processus, pas d'une page. Registre, notification, alerte aux abonnés, gestion des oppositions et piste d'audit forment un système unique et connecté — c'est précisément ce qu'un Trust Center rend opérationnel.

Ce que l'article 28 du RGPD exige réellement

Les notifications de changement de sous-traitant ultérieur découlent d'une seule phrase de l'article 28(2) du RGPD :

« Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements. »

Trois obligations en découlent, et une quatrième du texte environnant :

• Informer des changements envisagés. La notification doit être adressée pour des ajouts ou remplacements envisagés — c'est-à-dire préalables — et par écrit (l'article 28(9) exige que l'arrangement de l'article 28, y compris sous forme électronique, soit établi par écrit).
• Donner une véritable possibilité de s'opposer. Le droit d'opposition ne peut être théorique. Le responsable du traitement doit disposer de suffisamment d'informations et de temps pour évaluer le nouveau sous-traitant ultérieur et décider.
• Imposer des obligations équivalentes tout au long de la chaîne (article 28(3)(d) et 28(4)). Lorsqu'un sous-traitant ultérieur est engagé, le sous-traitant doit lui répercuter les mêmes obligations de protection des données et demeure responsable envers le responsable du traitement de la conformité de ce sous-traitant ultérieur.

Ce que l'article 28 s'abstient délibérément de faire, c'est de fixer un chiffre. Il n'existe pas de « 30 jours » légaux. Le règlement exige une information préalable et une possibilité de s'opposer ; l'échéance concrète figure dans votre accord de traitement des données. C'est ce que confirment les lignes directrices de l'ICO britannique, qui invitent les sous-traitants à préciser « la date à laquelle le responsable du traitement doit soulever toute objection » — la nécessité d'indiquer une date tient précisément au fait que le RGPD n'en fixe aucune.

Pour une vue d'ensemble de l'articulation entre listes de sous-traitants ultérieurs, diligence raisonnable et clauses contractuelles de l'article 28, consultez notre guide complémentaire sur la gestion des sous-traitants au titre de l'article 28 du RGPD. La présente page approfondit l'élément que la plupart des équipes traitent mal : la notification de changement elle-même.

Autorisation spécifique ou générale — et pourquoi cela change la notification

L'article 28(2) offre deux voies, qui produisent des processus différents :

• Autorisation spécifique. Le responsable du traitement approuve chaque sous-traitant ultérieur individuellement avant son engagement. Il n'y a pas de « notification et opposition » — il y a « demande et approbation ». De manière déterminante, l'avis 22/2024 du CEPD énonce que, sous autorisation spécifique, le silence doit être assimilé à une absence de consentement : si le responsable du traitement ne répond pas dans le délai demandé, le sous-traitant ne peut pas poursuivre.
• Autorisation générale. Le responsable du traitement donne une approbation globale, sous réserve d'être informé des changements et de conserver le droit de s'y opposer. C'est le modèle qu'utilisent la plupart des entreprises SaaS B2B, et c'est lui qui génère un processus récurrent de notification de changement.

Les deux ne sont pas interchangeables. Un DPA sous autorisation générale peut prévoir qu'un responsable du traitement qui ne s'oppose pas dans le délai est réputé accepter le changement — mais, selon l'avis 22/2024 du CEPD, uniquement lorsque ce responsable du traitement a reçu une information réelle, éclairée et un délai suffisant pour agir. Une acceptation présumée fondée sur une notification que personne ne pouvait raisonnablement évaluer relève précisément du droit d'opposition « théorique » que le règlement exclut.

Ce que doit contenir une notification de changement de sous-traitant

Avant octobre 2024, beaucoup de notifications tenaient en une seule ligne : un nom d'entreprise et une catégorie de service. L'avis 22/2024 du CEPD a relevé ce niveau plancher. L'avis impose aux sous-traitants de tenir à jour une liste de tous les sous-traitants ultérieurs et de fournir proactivement aux responsables du traitement les informations dont ils ont besoin pour remplir leurs propres obligations au titre de l'article 28. Pour chaque (sous-)traitant, cela signifie :

Champ	Pourquoi il est requis
Nom et adresse	Identification de base de l'entité qui traite les données.
Personne de contact (nom, fonction, coordonnées)	Pour que le responsable du traitement puisse adresser ses questions de diligence raisonnable.
Description du traitement	Ce que fait le sous-traitant ultérieur, et une délimitation claire des responsabilités lorsque plusieurs sous-traitants interviennent.
Localisation du traitement + mécanisme de transfert	Si les données quittent l'EEE et sur quelle base (CCT, adéquation) — essentiel après l'arrêt Schrems II.
Garanties de sécurité	Certifications (ISO 27001, SOC 2) ou synthèse des mesures techniques et organisationnelles, afin que le responsable du traitement apprécie les « garanties suffisantes » au sens de l'article 28(1).

Le niveau de détail est fonction du risque. Pour un traitement à faible risque, le responsable du traitement peut raisonnablement se contenter d'informations synthétiques ; pour un traitement à risque plus élevé, le CEPD attend davantage — ce qui signifie que votre notification relative à un nouveau pixel d'analyse et celle relative à un nouveau sous-traitant ultérieur traitant des catégories particulières de données ne devraient pas se ressembler. Une simple mention du nom n'est plus défendable pour quoi que ce soit de non anodin.

Quelle doit être la durée du délai de notification ?

Le RGPD ne le dit pas, et la pratique comble donc le vide. Les repères qui reviennent le plus souvent dans les DPA :

• ~15 jours — le délai de préavis européen typique et le standard pratique dans la plupart des DPA de l'UE. Assez long pour évaluer un changement, assez court pour ne pas ralentir l'intégration des sous-traitants.
• 30 à 60 jours — la fourchette négociée habituelle, demandée par les responsables du traitement de type grand compte et soumis à régulation, qui ont besoin de temps pour mener des revues internes ou des analyses d'impact des transferts.
• 90 jours — de plus en plus rare. À l'ère de la revue fournisseur accélérée par l'IA, les responsables du traitement ont rarement besoin de trois mois pour évaluer un seul changement de sous-traitant, et les sous-traitants refusent de bloquer l'intégration aussi longtemps.

Quel que soit votre choix, l'avis 22/2024 du CEPD recadre le critère : le délai doit être suffisamment long pour permettre une opposition éclairée et effective, et pas seulement assez long pour satisfaire une clause. Un délai de quelques jours seulement pour un changement de sous-traitant ultérieur à risque élevé, signifié pendant une période de congés, est le type d'arrangement qu'une autorité de contrôle pourrait juger insuffisant, quand bien même le chiffre figure au contrat.

Le processus d'opposition : que se passe-t-il quand un responsable du traitement dit non

Un droit d'opposition n'est réel que s'il existe une conséquence définie. Votre DPA doit en détailler le parcours avant que quiconque ne l'emprunte. Le modèle standard :

1. Le responsable du traitement s'oppose par écrit dans le délai de notification, idéalement en motivant son opposition.
2. Le sous-traitant déploie des efforts raisonnables pour en tenir compte — par exemple en n'acheminant pas les données de ce responsable du traitement vers le nouveau sous-traitant ultérieur, ou en proposant une configuration alternative.
3. Si aucune solution de contournement n'est possible, le responsable du traitement peut résilier les services concernés sans pénalité, généralement assortie d'une période de désengagement définie.

L'objectif est de lever toute ambiguïté. Une opposition doit déclencher un processus connu, et non une négociation qui repart de zéro à chaque fois. Documentez chaque opposition et sa résolution — cela fait partie de la piste d'audit que votre DPO et ceux de vos clients voudront tous deux consulter.

Qui notifier — et pourquoi le « push » l'emporte sur le « pull »

Une notification de changement ne compte que si elle atteint les responsables du traitement concernés, et à temps. Deux modes de défaillance sont fréquents :

• L'e-mail enterré. Une notification envoyée à une boîte achats générique que personne ne surveille n'offre pas de « véritable possibilité de s'opposer ».
• La page web silencieuse. Beaucoup de sous-traitants publient une liste publique de sous-traitants ultérieurs et considèrent sa mise à jour comme valant notification. L'avis 22/2024 du CEPD est explicite : une page web n'est acceptable que si elle est tenue à jour en permanence, comporte le niveau de détail requis et s'accompagne d'une alerte active — un abonnement e-mail ou équivalent — afin que les responsables du traitement soient réellement informés, plutôt que de devoir surveiller eux-mêmes la page.

Le schéma viable est un modèle d'abonnement : les responsables du traitement (et leurs DPO) s'inscrivent aux notifications relatives à votre liste de sous-traitants ultérieurs, et chaque ajout ou remplacement déclenche une alerte structurée comportant les champs requis et une date limite d'opposition claire. C'est exactement le type de communication récurrente et encadrée que le processus de mises à jour de confiance d'un Trust Center est conçu pour piloter — et qui sert de surcroît de preuve attestant que vous avez notifié, quand, et avec quel contenu.

Ce que l'avis 22/2024 du CEPD a changé

L'avis 22/2024 du CEPD, adopté le 7 octobre 2024, constitue l'évolution récente la plus importante pour ce processus. Il ne réécrit pas l'article 28, mais il en précise les attentes :

• Visibilité sur l'ensemble de la chaîne. Les responsables du traitement doivent pouvoir identifier chaque sous-traitant et sous-traitant ultérieur de la chaîne — pas seulement le premier niveau — et vérifier que chacun présente des garanties suffisantes, l'intensité de la vérification étant proportionnée au risque.
• Des listes proactives, toujours à jour. Les sous-traitants doivent « tenir à jour en permanence ces informations relatives à tous les sous-traitants ultérieurs engagés » et les fournir sans attendre qu'on les leur demande.
• Pas de notifications minimalistes. Pour un traitement à risque plus élevé, une notification qui omet la localisation, le mécanisme de transfert ou les informations de sécurité ne permet pas au responsable du traitement de prendre la décision éclairée qu'exige l'avis.
• Silence ≠ consentement sous autorisation spécifique. L'acceptation présumée se limite aux véritables scénarios d'autorisation générale assortis d'une information adéquate.

L'effet net : le modèle courant « page de sous-traitants plus fenêtre e-mail de 30 jours » fonctionne toujours, mais seulement s'il est enrichi et intégré. Les noms sur une page, c'est terminé ; des enregistrements structurés, actuels et notifiés en « push », c'est la norme.

La position du Royaume-Uni et de la Norvège/EEE

L'obligation de notification de changement n'est pas une particularité de l'UE-27 — elle parcourt l'ensemble du paysage européen de la conformité :

• Royaume-Uni. Sous le UK GDPR (conservé après le Brexit et supervisé par l'ICO), l'article 28 s'applique dans la même forme : pas de sous-traitant ultérieur sans autorisation écrite préalable spécifique ou générale, information préalable des changements envisagés sous autorisation générale, un contrat de protection équivalente tout au long de la chaîne, et une responsabilité continue du sous-traitant. Les lignes directrices de l'ICO sur les contrats et responsabilités reflètent la position de l'UE, y compris l'instruction d'indiquer par écrit une date limite d'opposition.
• Norvège et EEE. La Norvège applique le RGPD au travers de la personopplysningsloven, sous la supervision du Datatilsynet, en vertu de l'accord sur l'EEE. Le mécanisme d'autorisation et d'opposition de l'article 28 s'applique à l'identique ; il n'existe aucune règle nationale distincte qui assouplirait l'obligation de notification de changement. Les responsables du traitement de l'EEE qui vendent vers l'UE attendent la même qualité de notification que leurs homologues de l'UE.

Pour un responsable du traitement opérant à la fois dans l'UE, l'EEE et le Royaume-Uni, la conclusion pratique est : un seul processus, et non trois. Un processus unique de notification de changement satisfaisant à la lecture la plus stricte les couvre tous.

Transformer l'obligation en processus

La raison pour laquelle les notifications de changement de sous-traitant ultérieur échouent tient rarement à une clause manquante — c'est l'absence d'un système pour exécuter la clause. Le registre se désynchronise, un changement est mis en production avant l'envoi de la notification, le délai d'opposition est appliqué de façon incohérente, et il n'existe aucune trace de qui a été informé de quoi.

Un Trust Center comble cette lacune en faisant de toute la séquence un processus connecté unique : une liste publique de sous-traitants ultérieurs toujours à jour ; une base d'abonnés composée de responsables du traitement et de DPO ; des notifications de changement structurées comportant les champs attendus par le CEPD ; un délai d'opposition appliqué ; et une piste d'audit inaltérable de chaque notification et opposition. Pour les équipes juridiques en particulier, cela fait sortir la gouvernance des sous-traitants ultérieurs de la liste de tâches manuelles — voyez le Trust Center pour les équipes juridiques pour savoir comment la même couche gère les DPA et le contrôle d'accès sous NDA. Et parce que NIS2 et DORA poussent dans le même sens (sécurité de la chaîne d'approvisionnement de l'article 21(2)(d) de NIS2, règles de sous-traitance informatique de DORA aux articles 28 à 30), le processus que vous construisez pour les notifications RGPD remplit un double office au regard de vos obligations européennes.

Si vous souhaitez le voir fonctionner, le processus de mises à jour de confiance d'Orbiq émet les notifications de changement de sous-traitant ultérieur aux responsables du traitement abonnés, applique le délai d'opposition et tient automatiquement la piste d'audit.

Foire aux questions

Qu'est-ce qu'une notification de changement de sous-traitant ultérieur au sens du RGPD ?

C'est l'information préalable qu'un sous-traitant adresse au responsable du traitement avant d'ajouter ou de remplacer un sous-traitant ultérieur sous autorisation écrite générale (article 28(2)). Elle doit identifier le nouveau sous-traitant ultérieur, décrire le traitement et tout transfert vers un pays tiers, et offrir au responsable du traitement une véritable possibilité de s'opposer avant que le changement ne prenne effet.

Quel délai de préavis le RGPD impose-t-il ?

Le RGPD ne fixe aucun délai. Il exige seulement que le responsable du traitement soit informé des changements envisagés à temps pour s'opposer avant le début du traitement. En Europe, le délai typique est d'environ 15 jours, 30 à 60 jours étant la fourchette négociée habituelle et 90 jours devenant de plus en plus rare — le tout provenant du DPA. L'avis 22/2024 du CEPD ajoute que ce délai doit être suffisamment long pour permettre une opposition éclairée et effective.

Le silence peut-il valoir consentement ?

Sous autorisation générale, un DPA peut réputer accepté un changement par un responsable du traitement qui ne s'y oppose pas — mais seulement lorsque celui-ci a reçu une information réelle, éclairée et un délai suffisant pour s'opposer. Lorsqu'une autorisation spécifique est requise, le silence ne doit jamais être assimilé à un consentement.

Que doit contenir une notification en 2026 ?

Après l'avis 22/2024 du CEPD : le nom, l'adresse et la personne de contact du sous-traitant ultérieur ; une description du traitement et la délimitation des responsabilités ; la localisation du traitement et tout mécanisme de transfert ; et des informations de sécurité suffisantes (certifications ou mesures) pour que le responsable du traitement apprécie les « garanties suffisantes » au sens de l'article 28(1).

Que se passe-t-il si un responsable du traitement s'oppose ?

Cela dépend du DPA. Le parcours standard veut que le sous-traitant déploie des efforts raisonnables pour tenir compte de l'opposition et, si aucune solution n'est possible, le responsable du traitement peut résilier les services concernés sans pénalité. Définissez cela avant même qu'une opposition ne survienne.

Une page publique de sous-traitants satisfait-elle l'obligation ?

Pas à elle seule. Une page web ne fonctionne comme mécanisme que si elle est tenue à jour en permanence, comporte le niveau de détail requis et s'accompagne d'une alerte active afin que les responsables du traitement soient réellement informés à temps pour s'opposer.

Sources et références

1. Règlement (UE) 2016/679 (RGPD) — Article 28 — obligations du sous-traitant, autorisation des sous-traitants ultérieurs (28(2)), clauses contractuelles (28(3)), répercussion des obligations et responsabilité (28(4)).
2. Avis 22/2024 du CEPD sur certaines obligations découlant du recours à des sous-traitants et sous-traitants ultérieurs — adopté le 7 octobre 2024 ; vérification sur l'ensemble de la chaîne et informations à jour sur les sous-traitants ultérieurs.
3. Lignes directrices 07/2020 du CEPD sur les notions de responsable du traitement et de sous-traitant dans le RGPD — Version 2.1 ; relations responsable du traitement-sous-traitant et sous-traitant ultérieur.
4. ICO — Contrats et responsabilités entre responsables du traitement et sous-traitants (ce que le contrat doit contenir) — position du UK GDPR sur l'autorisation et l'opposition relatives aux sous-traitants ultérieurs.
5. Décision d'exécution (UE) 2021/915 de la Commission — Clauses contractuelles types entre responsables du traitement et sous-traitants — CCT de l'article 28(7) couvrant l'engagement de sous-traitants ultérieurs.
6. Datatilsynet (Norvège) — Autorité de protection des données — supervision du RGPD via la personopplysningsloven et l'accord sur l'EEE.

Pour aller plus loin

• Gestion des sous-traitants au titre de l'article 28 du RGPD : ce que les responsables du traitement attendent réellement
• Articles 28, 32, 33 et 34 du RGPD : pourquoi un SMSI ne suffit pas
• Trust Center pour les équipes juridiques
• Qu'est-ce qu'un Trust Center ?
• Sécurité de la chaîne d'approvisionnement NIS2 : exigences, lacunes et conformité
• Conformité DORA : gestion du risque informatique lié aux tiers
• Trust Updates — informez vos clients automatiquement