DPA Sous-Traitant RGPD (Art. 28)

Le DPA Sous-Traitant RGPD (Art. 28) en Belgique est régi par Règlement (UE) 2016/679 (RGPD) art. 28 et encadre les engagements réciproques des parties contractantes sous le régime du droit belge des obligations.

Le DPA délimite précisément les responsabilités entre le responsable de traitement — qui détermine les finalités et les moyens du traitement — et le sous-traitant — qui traite les données uniquement sur instruction du responsable. Cette distinction fondamentale, consacrée à l'article 4, points 7 et 8 du RGPD, conditionne l'ensemble du régime de responsabilité applicable. Le sous-traitant qui excède les instructions reçues et détermine lui-même les finalités du traitement devient coresponsable de traitement, avec les obligations accrues qui en découlent, notamment au regard de l'Autorité de protection des données (APD/GBA — Gegevensbeschermingsautoriteit).

En droit belge, l'article 28, paragraphe 3 du RGPD impose que le contrat stipule impérativement : la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement. La Loi du 30 juillet 2018, dans ses articles 59 à 62, précise les modalités spécifiques d'application en Belgique, notamment les pouvoirs de contrôle de l'APD/GBA, établie par la Loi du 3 décembre 2017 portant création de l'Autorité de protection des données.

L'absence ou l'insuffisance d'un DPA expose le responsable de traitement à des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial conformément à l'article 83, paragraphe 4 du RGPD. L'APD/GBA a déjà sanctionné plusieurs organisations belges pour des manquements contractuels avec leurs sous-traitants, notamment dans les secteurs des ressources humaines, de la santé et des services informatiques. L'arrêt de la Cour constitutionnelle belge du 19 août 2021 (arrêt n° 119/2021) a confirmé la pleine applicabilité de ces mécanismes de sanction dans l'ordre juridique belge.

Un DPA doit être conclu chaque fois qu'une organisation belge fait appel à un prestataire externe pour traiter des données à caractère personnel en son nom. Cette obligation couvre un spectre très large d'activités commerciales courantes. Les situations les plus fréquentes en pratique incluent le recours à des fournisseurs de services cloud (Amazon Web Services, Microsoft Azure, Google Cloud Platform), l'externalisation de la paie et de l'administration RH à des secrétariats sociaux agréés tels que Securex, Partena Professional, SD Worx ou Group S, l'utilisation de logiciels CRM et ERP hébergés chez des tiers, les services de marketing par courriel et d'automatisation marketing, les plateformes de commerce électronique et de paiement en ligne, ainsi que les prestataires de services de comptabilité ou de gestion des notes de frais.

Le critère déclencheur est l'existence d'un traitement de données pour le compte d'autrui. Un avocat qui conseille juridiquement son client n'est pas sous-traitant, mais un avocat qui gère une base de données de clients pour le compte d'une entreprise l'est. De même, une agence de communication qui conçoit une campagne n'est pas nécessairement sous-traitante, mais elle le devient dès qu'elle accède aux listes de contacts du client pour envoyer les communications.

Dans le contexte belge, la conclusion d'un DPA est également requise avec les secrétariats sociaux (ONSS/RSZ — Office national de la sécurité sociale), les organismes assureurs dans le cadre des assurances-groupe, les centres de traitement des salaires, et les prestataires informatiques ayant accès aux systèmes internes de l'organisation. Conformément à l'article 28, paragraphe 2 du RGPD, le responsable de traitement doit préalablement autoriser tout recours à un sous-sous-traitant, et cette chaîne de sous-traitance doit être encadrée par des contrats équivalents.

Le DPA doit être conclu avant tout début de traitement. En pratique, il accompagne souvent le contrat commercial principal ou en constitue une annexe. Sa révision s'impose chaque fois que les modalités de traitement changent substantiellement, notamment lors d'une migration vers un nouveau système, d'un transfert de données vers un pays tiers ou d'une modification des finalités du traitement.

Un DPA conforme à l'article 28 du RGPD et à la législation belge doit contenir plusieurs éléments essentiels. L'identification précise des parties constitue le point de départ : le responsable de traitement doit être identifié avec sa dénomination sociale, son numéro BCE/KBO, son siège social et les coordonnées de son délégué à la protection des données (DPO) si applicable, de même que le sous-traitant avec des informations équivalentes. La désignation d'un DPO est obligatoire en vertu de l'article 37 du RGPD pour les organismes publics, les entreprises dont les activités de base nécessitent un suivi régulier et systématique à grande échelle, ou qui traitent des données sensibles à grande échelle.

L'objet du traitement doit être défini avec précision : nature des opérations de traitement (collecte, enregistrement, organisation, structuration, conservation, adaptation, extraction, consultation, utilisation, communication, diffusion, limitation, effacement ou destruction), finalités poursuivies, types de données traitées (données ordinaires, données sensibles au sens de l'article 9 du RGPD comme les données de santé, biométriques, relatives aux convictions religieuses ou à l'orientation sexuelle), catégories de personnes concernées (clients, employés, prospects, patients) et durée du traitement.

Les instructions documentées du responsable constituent l'élément central : le sous-traitant ne peut traiter les données qu'aux seules fins déterminées par le responsable, conformément à l'article 28, paragraphe 3, point a du RGPD. Toute instruction contraire au droit de l'Union ou belge doit être signalée par le sous-traitant, qui est tenu de ne pas la suivre et d'en informer le responsable.

Les mesures de sécurité techniques et organisationnelles exigées par l'article 32 du RGPD doivent être énumérées dans le DPA ou dans une annexe technique : chiffrement des données en transit et au repos, contrôle des accès basé sur le principe du moindre privilège, pseudonymisation, journalisation des accès, procédures de sauvegarde et de restauration, et tests de pénétration périodiques. La plateforme forms-legal.com propose un modèle DPA complet intégrant ces annexes techniques.

La procédure de notification des violations de données doit être précisée : le sous-traitant doit notifier au responsable toute violation de données à caractère personnel dans les meilleurs délais, et en tout état de cause dans les 72 heures conformément à l'article 33 du RGPD, pour permettre au responsable de respecter son obligation de notification auprès de l'APD/GBA. En Belgique, l'APD/GBA dispose d'un portail de notification spécifique accessible à l'adresse www.autoriteprotectiondonnees.be.

Les conditions encadrant le recours aux sous-sous-traitants doivent être clairement stipulées. L'article 28, paragraphe 2 du RGPD impose que le responsable autorise préalablement tout sous-sous-traitant, soit de manière spécifique (liste exhaustive), soit de manière générale (autorisation générale avec obligation d'information). La liste des sous-sous-traitants autorisés doit figurer dans une annexe actualisable. Chaque sous-sous-traitant est lié par des obligations équivalentes à celles du sous-traitant principal.

Le DPA doit enfin prévoir les droits d'audit du responsable sur les activités de traitement du sous-traitant, la localisation des données (dans l'UE/EEE ou dans des pays tiers avec garanties adéquates — clauses contractuelles types de la Commission européenne adoptées par décision 2021/914/UE, règles d'entreprise contraignantes ou décision d'adéquation), et les modalités de restitution ou de destruction des données à l'issue du traitement.

Le non-respect d'une clause du DPA par le sous-traitant engage sa responsabilité civile envers le responsable et peut l'exposer directement à des amendes de l'APD/GBA conformément à l'article 83 du RGPD, notamment si le sous-traitant a agi en dehors des instructions du responsable ou en violation des obligations spécifiquement applicables aux sous-traitants (articles 28, 29, 32 du RGPD). La jurisprudence du Tribunal de l'entreprise de Bruxelles a confirmé l'engagement de la responsabilité contractuelle du sous-traitant en cas de manquement à ses obligations issues du DPA.

La rédaction d'un DPA requiert une analyse préalable du traitement envisagé, conduite idéalement dans le cadre d'une analyse d'impact relative à la protection des données (AIPD/DPIA) pour les traitements susceptibles d'engendrer un risque élevé au sens de l'article 35 du RGPD. En pratique, plusieurs entreprises belges ont recours à leur DPO interne ou à un consultant externe spécialisé pour cette démarche.

L'identification des parties doit s'appuyer sur les données officielles disponibles dans la Banque-Carrefour des Entreprises (BCE/KBO), accessible à l'adresse kbo.economie.fgov.be. Le numéro BCE doit être mentionné au format 0xxx.xxx.xxx. Si l'organisation dispose d'un DPO désigné conformément à l'article 37 du RGPD, ses coordonnées complètes (nom, numéro de téléphone, adresse électronique professionnelle) doivent figurer dans le contrat et dans le registre des activités de traitement.

La description de l'objet du traitement doit être suffisamment précise pour permettre le contrôle par l'APD/GBA, sans être si détaillée qu'elle nécessite une révision contractuelle à chaque modification opérationnelle mineure. Une formulation de niveau intermédiaire est recommandée, complétée par une annexe technique actualisable séparément. Les catégories de données doivent être énumérées explicitement — éviter les formulations vagues telles que « toutes les données nécessaires » qui ont été sanctionnées par l'APD/GBA dans ses décisions de fond.

Les mesures de sécurité doivent être décrites avec suffisamment de précision technique : indiquer le standard de chiffrement utilisé (AES-256, TLS 1.3), la politique de gestion des mots de passe, l'utilisation ou non d'une authentification multifacteur, la fréquence des sauvegardes et la durée de conservation des journaux. Ces éléments peuvent figurer dans une annexe technique référencée dans le DPA principal.

La liste des sous-sous-traitants autorisés mérite une attention particulière. Avant de signer le DPA, le responsable de traitement doit demander au sous-traitant la liste complète de ses sous-sous-traitants actuels (notamment les fournisseurs cloud qu'il utilise). Cette liste, annexée au contrat, doit être mise à jour et communiquée au responsable avant tout changement, avec un délai de préavis raisonnable (généralement 30 à 45 jours) pour lui permettre de s'y opposer.

Les transferts de données hors de l'Espace économique européen doivent être identifiés et justifiés. Si le sous-traitant ou ses sous-sous-traitants hébergent des données dans des pays tiers, le DPA doit préciser le mécanisme de transfert applicable : clauses contractuelles types (CCT) adoptées par décision 2021/914/UE de la Commission européenne, règles d'entreprise contraignantes (BCR), ou transfert vers un pays bénéficiant d'une décision d'adéquation. L'APD/GBA a publié des lignes directrices spécifiques sur les transferts vers les États-Unis après l'arrêt Schrems II de la Cour de justice de l'UE du 16 juillet 2020.

Une fois rédigé, le DPA doit être signé par les représentants légaux habilités des deux parties. En droit belge, la signature électronique qualifiée (au sens du Règlement eIDAS — Règlement (UE) n° 910/2014) a la même valeur juridique que la signature manuscrite. Les outils comme Connective, Qualified Advanced Electronic Signature (QAES) ou Belgian eID sont couramment utilisés pour la signature électronique de contrats B2B en Belgique.

Le cadre légal applicable aux DPA en Belgique est principalement constitué du RGPD et de sa loi nationale de mise en œuvre. L'article 28 du RGPD impose des exigences minimales de contenu impératives : tout DPA doit prévoir que le sous-traitant ne traite les données que sur instruction documentée du responsable, garantit la confidentialité des données (article 28, paragraphe 3, point b), prend les mesures de sécurité requises (article 32), respecte les conditions relatives aux sous-traitants ultérieurs, assiste le responsable dans le respect des droits des personnes concernées, l'aide à respecter ses obligations en matière de sécurité, de notification des violations, d'AIPD et de consultation préalable de l'APD/GBA, supprime ou restitue les données à l'issue du traitement, et met à disposition du responsable toutes les informations nécessaires pour démontrer le respect des obligations.

La Loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (LCDP), publiée au Moniteur belge du 5 septembre 2018, précise et complète le RGPD en droit interne belge. Son article 2 délimite le champ d'application territorial et ses articles 59 à 62 définissent les pouvoirs de l'APD/GBA, notamment sa compétence pour mener des enquêtes sur les responsables de traitement et les sous-traitants établis en Belgique.

L'Autorité de protection des données (APD/GBA), instituée par la Loi du 3 décembre 2017 (publiée au Moniteur belge du 10 janvier 2018), dispose de pouvoirs d'investigation, d'injonction et de sanction étendus. Son service d'inspection peut accéder aux locaux des entreprises, examiner les systèmes de traitement, interroger les employés et ordonner des mesures correctives. La Chambre contentieuse de l'APD/GBA est compétente pour infliger des amendes administratives. En 2022-2023, l'APD/GBA a prononcé des amendes allant de 10 000 à 50 000 euros pour des manquements à l'article 28 du RGPD, notamment l'absence de DPA ou le recours non autorisé à des sous-sous-traitants.

Pour les données de santé, des règles spécifiques s'appliquent en Belgique. La Loi du 22 août 2002 relative aux droits du patient et la Loi du 14 mars 2018 relative à l'introduction d'un dossier médical informatisé en médecine générale encadrent le traitement de ces données. Le Comité sectoriel de la santé, désormais intégré à l'APD/GBA, veillait historiquement à ces traitements spécifiques. Les entités traitant des données de santé à grande échelle doivent désigner un DPO et réaliser une AIPD.

Les transferts de données vers des pays tiers sont encadrés par le chapitre V du RGPD (articles 44 à 49). Depuis l'arrêt Schrems II (CJUE, grande chambre, 16 juillet 2020, affaire C-311/18, Data Protection Commissioner c/ Facebook Ireland et Schrems), les transferts vers les États-Unis fondés sur le Privacy Shield sont illicites. Le nouveau Data Privacy Framework UE-États-Unis, adopté par décision d'adéquation de la Commission européenne du 10 juillet 2023 (décision 2023/1795/UE), rétablit un mécanisme de transfert pour les organisations américaines certifiées, mais sous réserve du suivi de la jurisprudence évolutive de la Cour de justice de l'UE.

Plusieurs erreurs récurrentes sont observées dans la pratique belge des DPA. La première et la plus fréquente est l'absence pure et simple de DPA avec des prestataires cloud ou des éditeurs de logiciels SaaS. De nombreuses PME belges utilisent des outils comme Salesforce, HubSpot, Mailchimp ou des solutions comptables cloud sans avoir jamais formalisé de DPA avec ces fournisseurs. L'APD/GBA a sanctionné ce type de manquement et les responsables de traitement ne peuvent se prévaloir des conditions générales de vente du prestataire comme substitut au DPA.

La deuxième erreur concerne la confusion entre responsable conjoint et sous-traitant. Lorsque deux entreprises déterminent ensemble les finalités et les moyens d'un traitement, elles sont coresponsables au sens de l'article 26 du RGPD, et non dans une relation responsable/sous-traitant. Le contrat approprié est alors un accord de coresponsabilité, non un DPA. Confondre les deux régimes expose les organisations à une qualification erronée des responsabilités.

La troisième erreur est de ne pas mettre à jour le DPA lors de changements substantiels dans le traitement. Un DPA signé en 2018 lors de l'entrée en vigueur du RGPD peut être largement obsolète si le sous-traitant a entre-temps migré ses infrastructures vers le cloud, étendu ses activités de traitement ou modifié ses sous-sous-traitants. Le DPA doit être traité comme un document vivant, révisé a minima annuellement et lors de tout changement significatif.

La quatrième erreur est de se contenter d'un DPA générique fourni par le sous-traitant sans vérification de sa conformité. Les formulaires types proposés par les grands fournisseurs technologiques sont souvent rédigés en faveur du sous-traitant et peuvent ne pas couvrir toutes les exigences de l'article 28 du RGPD. Le responsable de traitement doit vérifier point par point que le DPA contient les stipulations minimales obligatoires et négocier les clauses insuffisantes, au besoin avec l'aide de son DPO ou d'un avocat spécialisé.

La cinquième erreur est de ne pas documenter les autorisations de sous-sous-traitance. De nombreux DPA prévoient une autorisation générale de recours aux sous-sous-traitants sans exiger de liste exhaustive ni de procédure de notification. L'APD/GBA a précisé dans ses lignes directrices que cette approche est admissible à condition que la liste des sous-sous-traitants soit accessible et mise à jour, et que le responsable de traitement dispose d'un vrai droit d'opposition avant tout changement.

Enfin, la sixième erreur est de négliger les dispositions de fin de contrat. Beaucoup de DPA ne précisent pas clairement le délai dans lequel le sous-traitant doit restituer ou détruire les données après la fin du traitement, ni le format de restitution, ni la procédure de certification de destruction. Cette lacune peut avoir des conséquences pratiques importantes lors d'un changement de prestataire ou d'une fin de relation commerciale, et expose le responsable de traitement à des obligations de conservation plus longues que nécessaire.