Contrat de sous-traitance RGPD : les 11 clauses qu'un centre d'appels doit faire signer (ou exiger)

Beaucoup de centres d'appels considèrent encore qu'un mandat commercial classique suffit à encadrer la relation avec un donneur d'ordre. C'est juridiquement faux depuis le 25 mai 2018. L'article 28 du RGPD impose un contrat ou tout autre acte juridique écrit qui lie le sous-traitant au responsable du traitement. Ce contrat peut être inclus dans la convention de prestation principale ou faire l'objet d'un avenant distinct (DPA, Data Processing Agreement).

L'absence de DPA est sanctionnable indépendamment de tout incident. La CNIL a déjà infligé en 2023 une amende de 50 000 € à un centre d'appels qui traitait des données pour 7 donneurs d'ordre sans aucun contrat de sous-traitance écrit, alors même qu'aucune violation de données n'avait eu lieu.

Et au-delà de la conformité, ce contrat est aussi le document qui répartit les coûts en cas de sinistre. Une clause mal rédigée peut transférer au centre d'appels la totalité des conséquences financières d'un incident dont il n'est qu'en partie responsable. À l'inverse, une clause bien négociée plafonne l'exposition financière à un montant aligné avec votre couverture d'assurance — c'est ce double mécanisme contrat + police qu'il faut concevoir comme un ensemble cohérent.

L'article 28 paragraphe 3 du RGPD énumère explicitement le contenu minimum du contrat. Voici la liste exhaustive à passer en revue :

1. Objet et durée du traitement — combien de temps les données sont-elles conservées par le centre d'appels après la fin de la campagne ?
2. Nature et finalité du traitement — prospection commerciale ? prise de rendez-vous ? enquête de satisfaction ?
3. Types de données personnelles — identifiants, coordonnées, données de profilage, données de santé éventuelles (à proscrire sauf base légale spécifique).
4. Catégories de personnes concernées — prospects froids, clients existants, salariés du donneur d'ordre.
5. Obligations et droits du responsable du traitement — instructions documentées, contrôle de la prestation.
6. Confidentialité — engagement de confidentialité des téléopérateurs (signature individuelle ou clause au contrat de travail).
7. Mesures de sécurité — détaillées à l'article 32 (chiffrement, contrôle d'accès, MFA, journalisation, etc.).
8. Recours à un autre sous-traitant — autorisation préalable, écrite, et obligation de répercuter les mêmes obligations.
9. Assistance au responsable de traitement — pour répondre aux demandes d'exercice de droits des personnes concernées (article 15 à 22 du RGPD).
10. Notification des violations — délai de notification du sous-traitant au responsable (généralement 24 à 48 heures, pour que celui-ci puisse respecter les 72 heures CNIL).
11. Sort des données en fin de prestation — restitution complète et destruction certifiée des copies.

Chacune de ces clauses doit être présente. Une omission expose les deux parties.

Un centre d'appels qui externalise une partie de ses activités (overflow vers un partenaire offshore, hébergement cloud, transcription d'appels par IA) recourt à de la sous-traitance ultérieure. L'article 28 paragraphe 2 RGPD pose une règle stricte : aucune sous-traitance ultérieure n'est possible sans autorisation écrite préalable, spécifique ou générale, du responsable de traitement.

En pratique, les contrats prévoient une autorisation générale assortie d'une liste de sous-traitants ultérieurs annexée. Le centre d'appels doit informer le donneur d'ordre de tout changement, qui dispose d'un droit d'opposition. Sans cette mécanique, un simple changement de prestataire d'hébergement peut constituer un manquement contractuel.

Le second piège fréquent : l'hébergement des enregistrements d'appels hors UE. Si le sous-traitant ultérieur est établi aux États-Unis, au Maroc ou en Tunisie, des garanties supplémentaires sont nécessaires (clauses contractuelles types de la Commission européenne, analyse d'impact sur les transferts). Beaucoup de DPA omettent ce volet.

Un troisième piège, plus récent, concerne les outils d'analyse vocale par intelligence artificielle (speech analytics, scoring émotionnel, transcription automatique). Lorsqu'un centre d'appels intègre ces solutions, généralement opérées par des éditeurs américains, il fait transiter des extraits de voix vers un sous-traitant ultérieur sans toujours s'en rendre compte. La voix humaine étant qualifiée de donnée biométrique au sens du RGPD lorsqu'elle est utilisée pour identifier ou analyser une personne, ce transfert relève d'un régime renforcé que la majorité des DPA ne couvre pas.

L'article 28.3.h impose au sous-traitant de mettre à la disposition du responsable de traitement « toutes les informations nécessaires pour démontrer le respect des obligations » et de permettre la réalisation d'audits. En pratique, deux modèles coexistent :

• L'audit physique annuel par le donneur d'ordre ou un tiers mandaté, sur préavis de 30 jours, avec accès aux locaux et aux systèmes. Coûteux et intrusif mais juridiquement le plus solide.
• Le rapport d'audit indépendant (SOC 2 type II, ISO 27001, HDS) communiqué annuellement. C'est aujourd'hui la pratique majoritaire dans les grands centres d'appels.

Un centre d'appels qui négocie sa clause d'audit doit privilégier le second modèle, qui mutualise les coûts entre tous ses donneurs d'ordre, et plafonner explicitement les visites physiques (par exemple à une visite tous les deux ans, sauf incident).

Côté chiffrage, une certification ISO 27001 coûte entre 25 000 et 60 000 € la première année selon la taille du périmètre (effectif, nombre de sites, complexité du SI), puis environ 8 000 à 15 000 € par an pour les audits de surveillance. Une fois obtenue, elle vous permet généralement d'absorber 90 % des demandes d'audit des donneurs d'ordre sans intervention supplémentaire. Le retour sur investissement est rapide pour un centre d'appels qui sert plus de 5 donneurs d'ordre majeurs : chaque audit physique évité représente entre 4 000 et 12 000 € de jours-homme et de perturbation opérationnelle.

Le RGPD n'impose pas de répartition financière particulière entre responsable de traitement et sous-traitant en cas de sanction. C'est donc le contrat qui fixe les règles, et c'est là que les conséquences peuvent être lourdes.

Trois variantes courantes :

La rédaction de cette clause détermine directement le sinistre maximum possible pour le centre d'appels. Et donc le niveau de plafond RC Pro à souscrire. Sur un contrat à 200 K€/an, une clause sans plafond expose à plusieurs millions d'euros ; un plafonnement à 12 mois ramène l'enveloppe maximale à 200 K€.

Avant de signer un DPA proposé par un donneur d'ordre, parcourez systématiquement ces 8 points :

1. Les 11 clauses obligatoires de l'article 28 sont-elles toutes présentes ?
2. Le délai de notification d'une violation est-il réaliste (24h minimum, idéalement 48h) ?
3. La liste des sous-traitants ultérieurs autorisés couvre-t-elle bien votre stack technique réelle ?
4. Les transferts hors UE sont-ils encadrés par des clauses contractuelles types ?
5. La clause d'audit privilégie-t-elle le rapport indépendant aux visites physiques ?
6. La responsabilité financière est-elle plafonnée et limitée aux manquements imputables ?
7. Le sort des données en fin de contrat est-il chiffré (délai de restitution, format, certificat de destruction) ?
8. Une clause de coopération en cas de demande d'exercice de droits prévoit-elle des délais réalistes ?

Pour découvrir comment ces clauses interagissent avec votre couverture assurance, consultez la page métier centre d'appels.