Article 28 RGPD : qui voit vraiment vos données MJPM ?

En tant que MJPM, vous êtes responsable de traitement au sens du RGPD. Quand vous confiez les données de vos majeurs protégés à un éditeur, l'éditeur devient votre sous-traitant au sens de l'article 28. Mais cet éditeur a lui-même des sous-traitants : c'est ce qu'on appelle des sous-traitants ultérieurs. Et la loi vous permet — et exige même — de les connaître.

Ce qu'il faut retenir

L'article 28.4 du RGPD impose à votre éditeur de tenir une liste à jour de ses sous-traitants ultérieurs et de vous la communiquer. Si on vous oppose la "confidentialité commerciale", c'est qu'on ignore la loi.

01.Article 28 en une minute

L'article 28 du RGPD organise la relation entre vous (responsable de traitement) et votre éditeur (sous-traitant). Trois éléments comptent en pratique :

L'éditeur ne peut traiter vos données que sur instruction documentée de votre part (le contrat / DPA fait foi).
L'éditeur ne peut faire appel à un sous-traitant ultérieur qu'avec votre autorisation préalable, écrite, spécifique ou générale.
L'éditeur doit vous fournir la liste à jour des sous-traitants ultérieurs, et vous prévenir avant tout changement (vous pouvez vous y opposer).

Concrètement : votre éditeur ne peut pas, sans votre accord, faire passer vos données par une nouvelle IA américaine, un nouveau prestataire de support en Inde, ou changer d'hébergeur. Si ça arrive, c'est non-conforme.

02.La chaîne typique d'un logiciel MJPM

Vous croyez signer avec un éditeur. En réalité, voici qui touche potentiellement vos données :

🏢

Éditeur principal

L'entreprise avec qui vous signez. C'est votre interlocuteur. Mais ce n'est que le premier maillon.

Visible (votre contrat)

🌐

Hébergeur

Le datacenter qui stocke physiquement vos données (OVH, Scaleway, AWS, Azure, etc.). Cf. article 1 de la série.

Souvent connu

📧

Service emails / SMS

L'envoi des courriers, notifications, alertes (Mailjet, Sendinblue, Twilio…). Voit les contenus des messages.

Rarement listé

🤖

Fournisseur IA

OpenAI, Anthropic, Mistral, etc. Voit les données envoyées au modèle. Souvent hors UE.

À tracer absolument

📄

OCR / scan

Lecture automatique de documents scannés (Google Vision, AWS Textract, modèles internes…).

Souvent oublié

📞

Support externalisé

Le support client qui peut accéder à votre compte pour vous aider. Souvent un prestataire tiers.

Maillon faible

Schéma 1 — La chaîne réelle des prestataires qui ont accès, directement ou indirectement, à vos données.

03.L'IA, le nouveau piège

Depuis 2023-2024, beaucoup d'éditeurs ont branché des fonctionnalités "IA" en arrière-plan, sans toujours le mettre à jour dans leur DPA et leur liste de sous-traitants. Concrètement, quand vous demandez à votre logiciel MJPM de "rédiger un courrier" avec son assistant IA, vos données partent souvent vers OpenAI (États-Unis) ou Anthropic (États-Unis), sous Cloud Act.

Les questions à poser sur l'IA :

Qui est le fournisseur du modèle ? (OpenAI, Anthropic, Mistral, modèle interne)
Où le modèle traite-t-il les données ? (UE, US, ailleurs)
Les données envoyées servent-elles à l'entraînement ? (la réponse doit être "non" pour un usage pro)
Quelle est la rétention côté fournisseur IA ? (idéalement zéro logs)
L'IA est-elle activable / désactivable au cas par cas ?

Le bon réflexe : un éditeur sérieux a une page IA ou un DPA spécifique IA qui répond à toutes ces questions. Si l'éditeur dit "on utilise l'IA" sans préciser le fournisseur ni la localisation, c'est un signal négatif.

04.Comment exiger la liste (modèle)

Si l'éditeur ne publie pas spontanément sa liste de sous-traitants, demandez-la formellement. Voici un modèle court à envoyer par email :

Bonjour, dans le cadre de notre relation de sous-traitance encadrée par l'article 28 RGPD, je vous demande de me communiquer (i) la liste à jour de vos sous-traitants ultérieurs avec leur localisation et leur fonction, (ii) le mécanisme par lequel je suis informé de tout ajout ou changement, (iii) les garanties contractuelles qui les lient à votre obligation de protection des données. Cordialement.

Un éditeur conforme répond en 48h-1 semaine maximum. Si la réponse traîne ou évoque la "confidentialité commerciale", la non-conformité est avérée et c'est un bon argument de négociation (renégociation contractuelle ou changement d'éditeur).

Red flag

L'éditeur ne publie pas sa liste de sous-traitants en ligne (ex : /sous-traitants ou page sécurité publique), et ne la communique pas spontanément. C'est contraire au RGPD, et un signal qu'il n'a probablement pas non plus de processus interne pour gérer ses changements de prestataires.

Et concrètement ?

Demandez la liste. Cartographiez la chaîne. Pour chaque maillon non-européen (et il y en aura), posez la question des garanties (clauses contractuelles types, localisation des données, possibilité de désactiver). Documentez tout dans votre registre de traitements — c'est exactement ce que la CNIL attend de vous en cas de contrôle.

Et surtout : si l'éditeur ajoute un nouveau sous-traitant en cours de contrat (typiquement, un nouveau service IA), exigez d'être informé avant et d'avoir un droit d'opposition. C'est explicitement prévu par le RGPD, c'est rarement appliqué dans les faits.

Série Sécurité MJPM

5 questions, 5 articles

Cet article est le troisième d'une série de cinq. Chaque article est indépendant, mais ils se complètent.

Vous préférez tout en un seul article ? Lisez le résumé condensé : Les 5 questions sécurité à poser à votre éditeur →

Et chez Aidalys ?

Liste des sous-traitants en ligne

Aidalys publie sa liste de sous-traitants ultérieurs en clair (hébergeur, IA Erika, prestataires emails). Avec localisation, fonction, et garanties RGPD pour chacun.

Voir la page sécurité d'Aidalys ↗