Contrat de sous-traitance RGPD : guide article 28 Belgique
Steven | TrustYourWebsite · 12 juin 2026 · Dernière mise à jour : juin 2026
Si un service tiers traite les données personnelles de vos visiteurs ou clients belges, vous devez conclure un contrat de sous-traitance écrit (en anglais DPA, data processing agreement) avec ce prestataire avant le début du traitement. C'est la règle de l'article 28 du RGPD, directement applicable en Belgique via la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
L'autorité de contrôle belge est l'Autorité de protection des données (APD), aussi connue sous son nom néerlandais Gegevensbeschermingsautoriteit (GBA). Elle examine les contrats de sous-traitance manquants dans le cadre d'enquêtes plus larges et considère l'absence de contrat écrit comme un facteur aggravant lorsqu'une violation ou une plainte implique un sous-traitant.
Vous voulez savoir quels services tiers votre site charge et lesquels exigent un contrat de sous-traitance ? Lancez un scan gratuit de votre site web.
Responsable du traitement, sous-traitant et la loi du 30 juillet 2018
Le cadre du RGPD pour la sous-traitance repose sur deux rôles.
Vous êtes le responsable du traitement lorsque vous décidez pourquoi des données personnelles sont collectées et comment elles sont utilisées. Les noms de clients, les adresses e-mail et l'historique des commandes de votre site e-commerce belge vous appartiennent en tant que responsable du traitement.
Un tiers est un sous-traitant lorsqu'il traite des données personnelles uniquement sur vos instructions documentées. Un sous-traitant ne réutilise pas les données pour ses propres finalités. Il agit pour votre compte.
La Belgique a transposé le RGPD via la loi du 30 juillet 2018, qui s'aligne pleinement sur l'article 28. L'APD a clairement indiqué que cette exigence s'applique tout autant aux PME belges qu'aux grandes organisations.
La qualification détermine vos obligations :
| Rôle | Exemple dans le contexte d'une PME belge | Contrat écrit requis |
|---|---|---|
| Responsable du traitement (vous) | Votre boutique en ligne ou cabinet de conseil belge | N/A |
| Sous-traitant | Mailchimp, Mollie, votre hébergeur belge | Oui, un contrat de sous-traitance selon l'article 28 |
| Sous-traitant ultérieur | AWS qui héberge l'infrastructure de Mailchimp | Oui, le sous-traitant signe avec le sous-traitant ultérieur |
| Responsable indépendant | Facebook pour son propre ciblage publicitaire | Non. À mentionner dans votre politique de confidentialité |
Services qui nécessitent généralement un contrat de sous-traitance sur un site belge
Le tableau suivant s'applique à une PME belge typique exploitant une boutique en ligne, un site de services professionnels ou une activité horeca.
| Catégorie de service | Sous-traitant ? | Exemples courants belges ou européens |
|---|---|---|
| Hébergement web | Oui | OVHcloud, Combell, Kinsta |
| CDN | Oui | Cloudflare, AWS CloudFront |
| Analytics | Oui | Google Analytics, Plausible, Matomo Cloud |
| E-mail marketing | Oui | Mailchimp, Brevo, MailerLite |
| E-mail transactionnel | Oui | Brevo, Postmark, AWS SES |
| Prestataire de paiement | Oui (aussi responsable indépendant pour la fraude) | Mollie, Stripe, Adyen |
| CRM | Oui | HubSpot, Pipedrive |
| Système de réservation | Oui | OpenTable, TheFork, Bookingkit |
| Chat de support | Oui | Crisp, Intercom |
| Comptable avec accès aux systèmes | Oui | Votre comptable ou expert-comptable belge |
| Support IT avec accès administrateur | Oui | Votre prestataire de services managés |
| Pixel Facebook | Responsable indépendant | Pas de contrat. Consentement requis. À mentionner dans la politique de confidentialité |
| Partenaire de livraison | Responsable indépendant | Pas de contrat. À mentionner dans la politique de confidentialité |
La ligne du comptable est importante pour les PME belges. Si votre comptable ou expert-comptable accède à vos systèmes en ligne et traite des données de clients ou de membres du personnel, il traite pour votre compte. Un contrat de sous-traitance est requis, indépendamment de la relation professionnelle existante.
Ce que le contrat doit couvrir : checklist article 28, paragraphe 3
Un contrat de sous-traitance conforme doit aborder les huit éléments énoncés à l'article 28, paragraphe 3, du RGPD. Les contrats de prestataires auxquels il manque l'un de ces éléments sont non conformes. Le tableau ci-dessous associe chaque exigence à ce qu'il faut vérifier.
| Élément requis | En clair | Ce qu'il faut vérifier dans le contrat |
|---|---|---|
| Objet et durée | Quelles données sont traitées et combien de temps dure la relation | Description explicite et clause de durée ou de résiliation |
| Nature et finalité | Ce que fait le sous-traitant et pourquoi | Activités de traitement listées, périmètre défini |
| Type de données et personnes concernées | Catégories de données et de personnes | Clients, membres du personnel, prospects. Types de données listés |
| Obligations et droits du responsable | Ce que vous pouvez exiger du sous-traitant | Droit d'instruction, droit d'audit, droit de notification des violations |
| Instructions documentées uniquement | Le sous-traitant agit seulement sur vos instructions | Clause explicite couvrant aussi les transferts internationaux |
| Confidentialité et sécurité | Personnel tenu à la confidentialité, mesures de l'article 32 | Clause de confidentialité et annexe des mesures techniques et organisationnelles |
| Encadrement des sous-traitants ultérieurs | Autorisation préalable, obligations en cascade | Mécanisme d'autorisation et notification des changements |
| Assistance et fin de contrat | Aide pour les droits des personnes, suppression ou restitution | Clause de restitution ou suppression et assistance pour les demandes de droits |
Si vous ne retrouvez pas chacun de ces éléments dans le contrat que vous avez accepté, vous n'avez pas de contrat de sous-traitance conforme.
Où trouver les contrats de sous-traitance des services courants en Belgique
La plupart des grandes plateformes SaaS proposent un contrat de sous-traitance standard. Vous l'acceptez dans les paramètres du compte ou via un parcours d'acceptation en un clic. L'acceptation constitue votre preuve de conformité. Archivez-la à un endroit qui survit aux départs de personnel.
| Prestataire | Où l'accepter | Comment l'acceptation est enregistrée |
|---|---|---|
| Google Analytics / Workspace | Paramètres du compte Google, section Data Processing Terms | Horodatée dans la console d'administration |
| Mailchimp | Page Compliance du portail utilisateur | Acceptation en un clic avec confirmation par e-mail |
| Mollie | Portail commerçant, dans les paramètres | Acceptée dans le cadre des conditions commerçant |
| Stripe | Tableau de bord, sous Settings > Compliance | Effective à l'acceptation, consignée dans le tableau de bord |
| Cloudflare | Contrat de service ou hors ligne pour les comptes entreprise | Datée dans le compte ou PDF signé |
| Brevo | Paramètres du compte, section documents juridiques | Acceptation en un clic, PDF téléchargeable |
| Combell / OVHcloud | Inclus dans le contrat d'hébergement | Fait partie du contrat d'hébergement signé |
Si un prestataire ne propose pas de contrat de sous-traitance alors qu'il traite des données personnelles pour votre compte, ce prestataire ne peut pas être utilisé légalement pour les données de clients belges. Remplacez le prestataire ou cessez de lui envoyer des données personnelles.
Le contrôle de l'APD sur l'article 28
L'APD n'inflige généralement pas d'amende pour un contrat manquant à lui seul. Elle traite toutefois l'absence de contrat de sous-traitance écrit comme un facteur aggravant dans chaque enquête qui touche un sous-traitant. Deux constats sont pertinents pour les PME belges.
Premièrement, les publications de l'APD sur les droits des personnes concernées et la notification des violations rappellent régulièrement l'obligation de disposer d'un contrat de sous-traitance avant le début du traitement. Consultez le portail des publications de l'APD pour les documents d'orientation actuels.
Deuxièmement, l'APD a enquêté sur des organisations belges où une violation liée à un sous-traitant s'était produite sans contrat en place. Dans ces dossiers, l'absence du contrat de l'article 28 a été retenue comme constat distinct, à côté de la violation ou de la défaillance de sécurité sous-jacente. Vous pouvez donc cumuler deux infractions pour un seul incident.
Le versant néerlandophone du régulateur (la GBA, Gegevensbeschermingsautoriteit) applique le même cadre de contrôle. Consultez le portail des publications de la GBA pour les documents en néerlandais sur les obligations des sous-traitants.
Transferts internationaux et sous-traitants belges
Si certains de vos sous-traitants sont établis en dehors de l'EEE, vous devez aussi traiter le mécanisme de transfert international dans le contrat. Les options pour les responsables du traitement belges sont les mêmes que pour tous les responsables européens.
Pour les sous-traitants établis hors EEE, l'instrument pertinent est la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021, qui fournit des clauses contractuelles types pour les transferts internationaux. Ces clauses sont annexées au contrat de sous-traitance lorsque le sous-traitant se trouve dans un pays tiers comme les États-Unis.
Pour les contrats entre responsable du traitement et sous-traitant au sein de l'EEE, la décision d'exécution (UE) 2021/915 de la Commission du 4 juin 2021 fournit un modèle prêt à l'emploi qui satisfait à l'article 28, paragraphe 3. Les deux décisions sont distinctes. Le modèle 2021/915 couvre le contrat de sous-traitance lui-même. Les clauses 2021/914 couvrent l'enveloppe du transfert international.
La plupart des grands fournisseurs SaaS américains (Mailchimp, Stripe, Google) combinent les deux instruments dans un seul document. Vérifiez que le contrat que vous acceptez mentionne explicitement le mécanisme de transfert lorsque les centres de données du prestataire se trouvent hors EEE.
Les sous-traitants ultérieurs dans le contexte belge
L'article 28, paragraphe 2, exige votre autorisation écrite avant qu'un sous-traitant ne recrute un sous-traitant ultérieur. La plupart des contrats de prestataires utilisent un modèle d'autorisation générale : vous approuvez la liste actuelle des sous-traitants ultérieurs et acceptez un délai de préavis pour les nouveaux ajouts.
Pour les PME belges, les étapes pratiques sont les suivantes :
- Demandez la liste des sous-traitants ultérieurs à chaque prestataire lors de l'intégration
- Notez si un sous-traitant ultérieur est établi hors EEE et quel mécanisme de transfert s'applique
- Abonnez-vous aux notifications de changement de sous-traitants ultérieurs lorsqu'elles existent
- Mettez à jour votre registre des activités de traitement (article 30) lorsque les sous-traitants ultérieurs changent
L'obligation relative aux sous-traitants ultérieurs ne disparaît pas parce que vous utilisez un prestataire connu. Mailchimp utilise AWS. Google Workspace utilise l'infrastructure mondiale de Google. Mollie utilise des réseaux de paiement tiers. Chacune de ces relations doit figurer dans la liste des sous-traitants ultérieurs du prestataire.
Étapes pratiques pour les PME belges
- Inventoriez chaque service tiers qui reçoit ou consulte des données personnelles depuis votre site
- Qualifiez chacun comme sous-traitant, responsable indépendant ou responsable conjoint
- Localisez le contrat de sous-traitance sur la page juridique ou conformité du prestataire
- Acceptez ou signez le contrat et archivez la confirmation avec une date
- Vérifiez les huit éléments de l'article 28, paragraphe 3 à l'aide du tableau ci-dessus
- Notez le mécanisme de transfert international lorsque le prestataire est établi hors EEE
- Ajoutez le sous-traitant à votre registre des activités de traitement et à votre politique de confidentialité
- Réexaminez chaque année et après chaque changement de prestataire
Pour une vue d'ensemble de vos obligations RGPD belges, la checklist des obligations RGPD pour PME en Belgique couvre ensemble les cookies, la politique de confidentialité, les mentions légales et les contrats de sous-traitance. Le guide sur la politique de confidentialité en Belgique explique comment mentionner vos sous-traitants auprès des visiteurs.
Checklist finale du contrat de sous-traitance belge
- Chaque service tiers qui touche aux données personnelles est inventorié
- Un contrat de sous-traitance écrit est en place avec chaque sous-traitant avant le début du traitement
- Chaque contrat couvre les huit éléments de l'article 28, paragraphe 3
- La preuve d'acceptation est archivée et accessible
- La liste des sous-traitants ultérieurs est à jour et reflétée dans votre registre des activités de traitement
- Le mécanisme de transfert international est noté pour chaque sous-traitant hors EEE
- Un réexamen des contrats est planifié au moins une fois par an
- Les nouveaux prestataires sont évalués sur la conformité de leur contrat avant intégration
Questions fréquentes
Quels services de mon site web belge nécessitent un contrat de sous-traitance ?
Tout service tiers qui traite des données personnelles pour votre compte nécessite un contrat de sous-traitance écrit selon l'article 28 du RGPD. Cela inclut votre hébergeur, votre outil d'analytics, votre plateforme d'e-mail marketing, votre CRM et votre prestataire de paiement. L'APD (Autorité de protection des données) considère l'absence de contrat comme une violation autonome de l'article 28.
Quel est le terme belge pour un contrat de sous-traitance des données ?
En français, le contrat s'appelle un contrat de sous-traitance des données. En néerlandais, il s'agit d'une verwerkersovereenkomst. Le régulateur belge est l'APD (Autorité de protection des données) ou GBA (Gegevensbeschermingsautoriteit). Les deux noms désignent le même organisme.
L'APD sanctionne-t-elle les violations de l'article 28 pour contrat manquant ?
Oui. L'APD examine les contrats de sous-traitance manquants dans le cadre d'enquêtes RGPD plus larges. En vertu de la loi belge du 30 juillet 2018 transposant le RGPD, l'article 28 s'applique intégralement. Un contrat manquant est traité comme un facteur aggravant lorsqu'une violation ou une plainte impliquant un sous-traitant est déposée.
Puis-je utiliser les clauses contractuelles types de l'UE pour mes sous-traitants belges ?
Oui. La décision d'exécution 2021/914 de la Commission du 4 juin 2021 fournit des clauses contractuelles types pour les transferts internationaux de données. Pour les contrats entre responsable du traitement et sous-traitant au sein de l'EEE, la décision d'exécution 2021/915 de la Commission du 4 juin 2021 fournit un modèle qui satisfait à l'article 28, paragraphe 3. Les responsables du traitement belges peuvent utiliser l'une ou l'autre comme base d'un contrat de sous-traitance.
Mollie exige-t-il un contrat de sous-traitance pour les commerçants belges ?
Oui. Mollie traite des données de paiement et des données personnelles pour votre compte et fournit un contrat de sous-traitance standard via son portail commerçant. Les commerçants belges doivent l'accepter avant la mise en ligne. Mollie dispose en outre d'une infrastructure de traitement des données basée dans l'UE, pertinente pour les obligations RGPD belges.
Vérifiez votre site en 60 secondes
Notre scanner détecte automatiquement les services tiers que votre site charge réellement : analytics, pixels, CDN, outils de chat et plus encore. Vous obtenez ainsi la liste de départ pour votre inventaire de sous-traitants.
Lancez un scan gratuit de votre site web →
Sources
- Règlement (UE) 2016/679, RGPD (eur-lex.europa.eu)
- Décision d'exécution (UE) 2021/914 de la Commission, clauses contractuelles types pour les transferts (eur-lex.europa.eu)
- Décision d'exécution (UE) 2021/915 de la Commission, clauses types article 28 (eur-lex.europa.eu)
- Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ejustice.just.fgov.be)
- APD, thèmes pour professionnels, sous-traitants (autoriteprotectiondonnees.be)
- GBA, Gegevensbeschermingsautoriteit, espace professionnel (gegevensbeschermingsautoriteit.be)
Ceci est une analyse technique, pas un avis juridique. Consultez un avocat pour un conseil juridique spécifique.
Vérifiez votre site web maintenant
Analysez votre site web pour les problèmes de RGPD et confidentialité et plus de 30 autres vérifications.
Lancer le check gratuitGuides pour votre site web
Bannière cookies Belgique : règles et amendes APD
Ce que l'APD exige pour votre bannière cookies en Belgique. Dark patterns, bouton Tout refuser, décisions Roularta et Mediahuis. Vérification gratuite.
Exigences bannière cookies Belgique : règles APD 2026
Ce que votre bannière cookies doit contenir selon l'APD et l'art. 10/2 de la loi-cadre du 30 juillet 2018. Boutons égaux, texte trilingue, sans dark patterns.
Google Fonts RGPD : stopper la fuite d'adresses IP
Google Fonts chargé depuis les serveurs de Google envoie l'IP de vos visiteurs aux États-Unis. Un tribunal allemand a jugé cela contraire au RGPD. La solution.
Liste de contrôle RGPD PME belges 2026 : 35 points
35 points de contrôle RGPD pour PME belges. APD, loi 30 juillet 2018, numéro BCE, cookies, sous-traitants. Ce que l'APD vérifie vraiment lors d'un contrôle.
Politique de confidentialité Belgique : modèle gratuit
Politique de confidentialité Belgique : générateur gratuit et modèle. APD comme autorité, Loi du 30 juillet 2018, numéro d'entreprise BCE.