La sous-traitance du contrôle d'activité nécessite-t-elle un contrat spécifique ?
Réponse courte
La sous-traitance du contrôle d'activité des salariés (audit informatique, monitoring externalisé, vidéosurveillance gérée par un tiers) impose un contrat écrit article 28 RGPD spécifique, distinct du simple contrat de prestation de services. Ce contrat doit contenir les clauses obligatoires du RGPD : objet, durée, finalités, instructions documentées, sécurité, restitution ou destruction des données et droit d'audit.
L'employeur reste responsable de traitement : il doit consulter la délégation du personnel (L.414-9), informer individuellement les salariés, réaliser une AIPD si risque élevé et inscrire le sous-traitant au registre des traitements. L'absence de contrat conforme est en soi une violation du RGPD passible d'une amende administrative jusqu'à 10 millions € ou 2 % du chiffre d'affaires mondial.
Définition
La sous-traitance du contrôle d'activité désigne la délégation par un employeur à un prestataire externe de missions de surveillance, de vérification ou d'évaluation de l'activité professionnelle des salariés (audit, vérification de présence, analyse de productivité, monitoring informatique, vidéosurveillance, contrôle d'accès).
Elle implique le traitement de données relatives au comportement, à la performance ou à la présence des salariés, ce qui qualifie le prestataire de sous-traitant au sens de l'article 28 du RGPD et impose un encadrement contractuel strict.
Questions fréquentes
Conditions d’exercice
Le contrat ordinaire de prestation de services ne suffit pas : il doit comporter les clauses spécifiques de l'article 28 du RGPD, faute de quoi le traitement est illicite quel que soit le sérieux du prestataire.
| Condition | Exigence |
|---|---|
| Contrat écrit spécifique | Document distinct ou annexe formalisant les obligations article 28 RGPD |
| Instructions documentées | Sous-traitant agissant uniquement sur consigne écrite de l'employeur |
| Confidentialité | Engagement écrit des préposés du prestataire avec habilitations restrictives |
| Sécurité | Mesures techniques et organisationnelles conformes à l'article 32 RGPD |
| Sous-traitance ultérieure | Autorisation écrite préalable de l'employeur pour tout autre sous-traitant |
| Restitution / destruction | Choix de l'employeur en fin de mission, avec attestation tracée |
Modalités pratiques
Le contrat doit prévoir un droit d'audit effectif et exercé périodiquement par l'employeur ou un tiers indépendant ; un audit jamais réalisé fragilise la démonstration de conformité.
| Démarche | Précision |
|---|---|
| Rédaction du contrat | Clauses article 28 RGPD : objet, durée, finalités, instructions, sécurité, audit |
| AIPD | Obligatoire si risque élevé pour les droits des salariés (article 35 RGPD) |
| Consultation délégation | Procès-verbal préalable au déploiement (L.414-9) |
| Information individuelle | Notice écrite à chaque salarié, mentionnant le sous-traitant et la chaîne |
| Inscription au registre | Identification du sous-traitant et chaîne complète (article 30 RGPD) |
| Habilitations limitées | Liste nominative des préposés du prestataire avec journalisation |
| Audit périodique | Exécution effective du droit d'audit avec rapport tracé |
Pratiques et recommandations
Rédiger un contrat dédié article 28 RGPD ou une annexe spécifique au contrat principal, jamais une simple clause de confidentialité.
Vérifier les garanties techniques et organisationnelles du prestataire avant la signature, par questionnaire et audit initial.
Documenter les instructions données au sous-traitant par écrit, avec horodatage et signataire identifiable.
Auditer périodiquement le prestataire et conserver les rapports dans le dossier de conformité.
Limiter la durée de la mission et prévoir une procédure claire de fin de contrat avec restitution ou destruction des données.
Informer la délégation du personnel de l'identité du sous-traitant et de la nature des données accessibles.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 du Code du travail | Traitement de données pour surveillance des salariés (loi du 1er août 2018) |
| Art. L.414-9 du Code du travail | Co-décision de la délégation du personnel pour les installations de contrôle |
| Loi modifiée du 1er août 2018 | Protection des personnes à l'égard du traitement des données à caractère personnel |
| Règlement (UE) 2016/679 (RGPD) | Articles 28 (sous-traitance), 30 (registre), 32 (sécurité), 35 (AIPD) |
| Lignes directrices EDPB 07/2020 | Notion de responsable et de sous-traitant |
| Lignes directrices CNPD | Recommandations pratiques sur la surveillance externalisée |
Note
L'absence de contrat article 28 ou un contrat incomplet expose l'employeur à des amendes administratives RGPD pouvant atteindre 10 millions € ou 2 % du chiffre d'affaires mondial, à l'irrecevabilité des preuves issues du contrôle et à la nullité des sanctions disciplinaires.