Sous-traitant IA — Obligations RGPD Art. 28(2) pour les Fournisseurs IA

Point clé : Lorsque votre fournisseur IA utilise OpenAI, Anthropic, Google ou tout autre prestataire de modèles tiers pour traiter vos données personnelles, ce prestataire devient un sous-traitant ultérieur. L'Art. 28(2) du RGPD vous impose — en tant que responsable du traitement — d'autoriser chaque maillon de cette chaîne. La plupart des contrats IA enterprise ignorent cette exigence.

Qu'est-ce qu'un Sous-traitant (Ultérieur) ?

Un sous-traitant ultérieur est tout tiers qu'un sous-traitant engage pour exécuter des activités de traitement spécifiques pour le compte du responsable du traitement. Le terme est issu de l'Art. 28(2) du RGPD : « Lorsqu'un sous-traitant recourt à un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection des données que celles fixées dans le contrat [...] entre le responsable du traitement et le sous-traitant [...] sont imposées à cet autre sous-traitant par contrat. »

En termes concrets : les obligations du sous-traitant au titre du contrat de traitement des données (DPA) doivent se transmettre à chaque sous-traitant de la chaîne. Si le sous-traitant ultérieur ne respecte pas ses obligations, le sous-traitant principal reste pleinement responsable envers le responsable du traitement.

La notion de sous-traitant ultérieur est devenue stratégiquement importante dans l'acquisition de solutions IA enterprise, car pratiquement tout fournisseur SaaS IA s'appuie sur des prestataires de modèles fondamentaux tiers, des infrastructures cloud et des services de pipeline de données pour délivrer son produit. Chacun de ces acteurs peut être un sous-traitant ultérieur — et chacun doit être contractuellement encadré.

Pourquoi C'est Important

La chaîne des sous-traitants est l'un des risques de conformité RGPD les plus sous-estimés dans l'acquisition de solutions IA enterprise. Trois scénarios créent de l'exposition :

Sous-traitants non autorisés. Si un fournisseur IA achemine des données personnelles via une API de modèle fondamental (OpenAI, Anthropic, Cohere) sans autorisation écrite préalable du responsable du traitement, il s'agit d'un acte de traitement non autorisé. Le responsable du traitement est en violation de ses propres obligations RGPD pour avoir utilisé un sous-traitant non conforme ; le sous-traitant est en violation de l'Art. 28(2) ; et les deux parties peuvent faire l'objet de mesures de l'autorité de contrôle.

DPA insuffisants avec les sous-traitants. Le RGPD exige que les sous-traitants ultérieurs soient liés par les mêmes obligations de protection des données que le sous-traitant principal. Si l'accord du fournisseur IA avec son prestataire de modèle ne reflète pas les exigences de l'Art. 28, la base juridique du traitement est compromise.

Modifications non notifiées des sous-traitants. L'Art. 28(2) exige que le sous-traitant informe le responsable du traitement de tout changement prévu concernant les sous-traitants, avec un préavis suffisant, et que le responsable dispose d'un droit d'opposition. Les fournisseurs IA qui changent ou ajoutent silencieusement des prestataires de modèles sans notification violent cette exigence.

Le Problème des Prestataires de Modèles IA

La désignation des sous-traitants est la plus critique lorsque le produit principal du fournisseur IA est construit sur un modèle fondamental tiers. Considérez une plateforme de sales intelligence qui utilise l'API GPT d'OpenAI pour traiter et scorer les données des prospects. Le flux est : responsable du traitement (entreprise) → sous-traitant (SaaS de sales intelligence) → sous-traitant ultérieur (OpenAI). Le RGPD exige que :

  1. Le responsable du traitement soit informé qu'OpenAI traite les données.
  2. Le responsable ait autorisé cet accord — spécifiquement ou via une autorisation générale assortie de droits de notification des modifications.
  3. Le sous-traitant (fournisseur SaaS) dispose d'un DPA avec OpenAI imposant des obligations Art. 28 au traitement d'OpenAI.
  4. Le traitement d'OpenAI soit limité à ce qui est autorisé — et notamment qu'OpenAI ne puisse pas utiliser les données pour l'entraînement du modèle sans autorisation explicite du responsable.

Ancrage Réglementaire : Art. 28(2) et la Chaîne Art. 28(4)

L'Art. 28(2) établit l'obligation d'autorisation. L'Art. 28(4) l'étend : « Lorsque cet autre sous-traitant manque à ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable envers le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations. »

Cela fait de la vérification des sous-traitants un risque financier et réglementaire direct pour le responsable du traitement. Si le prestataire de modèles d'un fournisseur IA subit une violation de données, le fournisseur reste responsable envers vous — mais seulement si votre DPA avec le fournisseur incluait des contrôles conformes sur les sous-traitants.

L'ISO 42001, Section 6.1 (identification des risques), envisage explicitement la gouvernance des données dans la chaîne d'approvisionnement. Le Règlement IA ajoute un niveau supplémentaire : l'Art. 25 oblige les fournisseurs IA à communiquer aux déployeurs de systèmes IA à haut risque les accords de sous-traitance, créant une obligation parallèle de transparence de la chaîne d'approvisionnement.

À Quoi Ressemble une Gestion Conforme des Sous-traitants

Un cadre conforme de gestion des sous-traitants chez un fournisseur IA comprend :

  • Une liste publiée des sous-traitants précisant le nom, la localisation et le rôle de traitement de chaque tiers.
  • Un mécanisme de notification au responsable du traitement des modifications des sous-traitants avec préavis suffisant (typiquement 30 jours).
  • Un droit contractuel pour le responsable du traitement de s'opposer à de nouveaux sous-traitants.
  • La preuve que chaque sous-traitant est lié par un DPA satisfaisant aux exigences de l'Art. 28.
  • Documentation sur les transferts de données lorsque les sous-traitants sont hors de l'EEE.
  • Un processus de suppression des données personnelles des systèmes des sous-traitants à la fin du contrat.

Knowlee et la Gestion des Sous-traitants

Knowlee maintient une liste actualisée des sous-traitants, publiée dans le cadre du DPA commercial. Le document précise le nom, le pays d'établissement et l'activité de traitement de chaque sous-traitant. La notification des modifications est fournie avec 30 jours de préavis et les clients conservent des droits contractuels d'opposition.

Tous les sous-traitants de Knowlee sont liés par des DPA satisfaisant aux obligations Art. 28(4) du RGPD — incluant l'interdiction explicite d'utiliser les données des clients Knowlee pour l'entraînement ou l'amélioration du modèle. Les transferts de données hors de l'EEE sont couverts par les Clauses Contractuelles Types (2021/914/UE Module 2 et Module 3, selon le cas).

Termes Associés