Le prestataire d'un logiciel de paie est-il un sous-traitant au sens du RGPD ?
Réponse courte
Oui, dans la très grande majorité des cas, le prestataire d'un logiciel de paie est qualifié de sous-traitant au sens de l'article 4.8 du RGPD dès lors qu'il accède, traite, héberge ou manipule des données à caractère personnel pour le compte de l'employeur. Cette qualification s'applique quel que soit le mode de fourniture : logiciel SaaS, hébergement cloud, maintenance à distance ou exploitation déléguée.
L'employeur reste le responsable de traitement et doit encadrer la relation par un contrat conforme à l'article 28 du RGPD, précisant l'objet, la durée, la nature et la finalité du traitement, les catégories de données et de personnes concernées, ainsi que les obligations du prestataire (instructions, confidentialité, sécurité, sous-traitance ultérieure, restitution). Seul le simple éditeur sans accès aux données échappe à cette qualification.
Définition
Le sous-traitant est défini par l'article 4.8 du RGPD comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». La qualification dépend de l'accès effectif aux données et du caractère pour compte d'autrui du traitement.
Conditions d’exercice
Tout prestataire accédant effectivement aux données de paie (SaaS, hébergement cloud, maintenance à distance) est sous-traitant ; seul l'éditeur vendant une licence sans accès y échappe.
| Situation | Qualification |
|---|---|
| SaaS avec hébergement des données | Sous-traitant |
| Maintenance à distance avec accès aux données | Sous-traitant |
| Support technique avec accès en lecture | Sous-traitant |
| Hébergement cloud des fichiers de paie | Sous-traitant |
| Éditeur vendant une licence sans accès | Pas de qualification |
| Prestataire déterminant les finalités | Responsable conjoint ou distinct |
| Intermédiaire technique sans traitement | Cas particulier à analyser |
Modalités pratiques
L'analyse de la prestation, la qualification juridique, la signature d'un contrat article 28 et l'inscription au registre constituent les étapes clés de la mise en conformité.
| Étape | Détail |
|---|---|
| Analyse de la prestation | Identification des accès et traitements du prestataire |
| Qualification juridique | Sous-traitant, responsable conjoint ou pas de qualification |
| Contrat article 28 | Clauses obligatoires intégrées à l'accord commercial |
| Registre | Inscription du sous-traitant dans le registre des traitements |
| Information des salariés | Mise à jour de la notice RGPD |
| Audit | Vérification des garanties techniques et organisationnelles |
| Gestion des incidents | Procédure de notification mutuelle |
Pratiques et recommandations
Analyser précisément le rôle du prestataire avant contractualisation : un simple éditeur de logiciel sans accès aux données n'est pas un sous-traitant.
Exiger la signature d'un avenant RGPD article 28 lors de la contractualisation ou du renouvellement d'un contrat avec un prestataire de paie SaaS.
Vérifier la localisation des serveurs d'hébergement (UE ou hors UE) et exiger des clauses contractuelles types en cas de transfert hors UE.
Inclure le prestataire dans la liste des sous-traitants communiquée aux salariés dans la notice RGPD et le registre des traitements.
Auditer annuellement les garanties de sécurité du prestataire, notamment ses certifications ISO 27001, SOC 2 ou équivalents.
Cadre juridique
Le cadre juridique repose sur le RGPD et la loi luxembourgeoise.
| Référence | Objet |
|---|---|
| Art. 4.8 RGPD | Définition du sous-traitant |
| Art. 28 RGPD | Obligations contractuelles avec le sous-traitant |
| Art. 29 RGPD | Traitement sur instructions du responsable |
| Art. 32 RGPD | Sécurité du traitement |
| Loi du 1er août 2018 | Régime général au Luxembourg |
| Lignes directrices CEPD 07/2020 | Notions de responsable et sous-traitant |
| Art. L.261-1 Code du travail | Protection dans la relation de travail |
Note
Le défaut de qualification et de contractualisation d'un sous-traitant constitue une violation du RGPD sanctionnée par la CNPD. L'employeur reste responsable des manquements de son prestataire et peut être condamné à des amendes administratives importantes.