Cloud et RGPD : la CNIL clarifie les qualifications pour les acteurs du nuage

La CNIL vient de publier des orientations pratiques pour aider les entreprises et leurs prestataires cloud à identifier leur rôle exact au sens du RGPD. Un guide attendu dans un secteur où les qualifications de « responsable de traitement », « responsable conjoint » et « sous-traitant » sont souvent mal comprises — avec des conséquences directes sur les obligations contractuelles et de sécurité.

Ce qui s'est passé

Le 28 mai 2026, la CNIL a mis en ligne un document d'orientations intitulé « Quelles qualifications pour les acteurs de l'informatique en nuage (cloud) ? ». Il s'adresse aussi bien aux entreprises utilisatrices de services cloud (IaaS, PaaS, SaaS) qu'aux fournisseurs eux-mêmes, et vise à dissiper un flou persistant sur la répartition des rôles RGPD dans les architectures numériques.

Le principe posé est simple : le client est, en règle générale, responsable du traitement, car c'est lui qui détermine pourquoi et comment les données de ses propres utilisateurs sont traitées. Le fournisseur cloud, lui, agit comme sous-traitant, dans la mesure où il exécute des opérations sur les données selon les instructions de son client.

La CNIL illustre ce principe par un exemple parlant : une entreprise qui utilise un CRM pour suivre ses clients est responsable du traitement ; le fournisseur du CRM est son sous-traitant, car il se limite à exécuter ce qui est nécessaire au fonctionnement du service selon les instructions reçues.

Pourquoi c'est important — contexte RGPD

La qualification n'est pas une formalité administrative. Elle détermine qui est légalement responsable en cas de violation de données, qui doit conclure un contrat de sous-traitance selon l'article 28 RGPD, et selon quelles clauses. Elle conditionne aussi les obligations de sécurité et la façon dont les personnes concernées peuvent exercer leurs droits.

Or, dans la pratique, beaucoup d'entreprises confondent les rôles. Un fournisseur SaaS peut se retrouver qualifié de responsable conjoint du traitement si ses finalités propres se mêlent à celles du client — notamment en cas de traceurs ou d'analyses statistiques mutualisées. La CNIL le précise explicitement : dès que le fournisseur exploite les données aussi pour ses propres finalités (amélioration du produit, entraînement de modèles, statistiques commerciales), il sort du rôle de simple sous-traitant.

Pour les DPO, cette situation crée des risques concrets : un DPA signé avec un fournisseur qui est en réalité co-responsable sera juridiquement insuffisant. Notre guide sur les différences entre responsable de traitement, sous-traitant et co-responsable permet de clarifier ces notions, et notre analyse des 12 clauses-pièges dans un DPA aide à sécuriser les contrats conclus avec des prestataires cloud.

Ce que ça change pour les organisations

Les orientations de la CNIL appellent à revoir plusieurs pratiques concrètes :

Auditer les fournisseurs cloud existants. La qualification juridique ne se présume pas. Si votre hébergeur ou éditeur SaaS collecte des données au-delà de vos instructions (logs de comportement, entraînement de modèles d'IA), il n'est peut-être plus votre sous-traitant mais votre co-responsable. Notre guide sur l'audit des sous-traitants RGPD propose une méthodologie concrète pour ce travail.

Revoir les DPA en place. Si la qualification change, les clauses contractuelles doivent changer aussi. Un DPA rédigé pour un sous-traitant n'est pas adapté à une relation de co-responsabilité. Notre guide sur la définition et la rédaction d'un DPA donne les bases pour repartir sur une contractualisation solide.

Mettre à jour le registre des traitements. La qualification du fournisseur impacte directement la manière dont le traitement est documenté dans le registre : les finalités, les mesures de sécurité et les transferts éventuels doivent refléter la réalité de la relation juridique.

Anticiper les demandes d'exercice de droits. En cas de co-responsabilité, les deux parties peuvent recevoir des demandes d'accès, de rectification ou de suppression de la part des personnes concernées. Les procédures internes doivent le prévoir.

Pour les organisations qui s'appuient fortement sur le cloud, il est aussi pertinent d'évaluer la stabilité et la gouvernance de vos hébergeurs. Comme nous l'analysions lors de l'annonce d'Infomaniak qui s'est rendu invendable via une fondation, la structure capitalistique d'un sous-traitant est un critère de conformité souvent négligé.

Ce que Leto pense de cette décision

Ce guide de la CNIL était attendu. La multiplication des services SaaS, des architectures multi-cloud et des briques d'IA embarquées dans les outils métiers a considérablement brouillé la frontière entre sous-traitant et co-responsable. Beaucoup d'entreprises signent des DPA par réflexe, sans vérifier si le contrat correspond à la réalité de la relation.

Ce que la CNIL fait ici, c'est rappeler que la qualification est un préalable non négociable à toute mise en conformité sérieuse. On ne sécurise pas ce qu'on n'a pas qualifié. Les DPO qui gèrent des stacks cloud complexes auraient tout intérêt à relire leurs cartographies de sous-traitants à la lumière de ces orientations avant leur prochain audit.

Sources : CNIL — Quelles qualifications pour les acteurs de l'informatique en nuage (cloud) ? (28 mai 2026)