Externaliser tout ou partie de son informatique est devenu la norme pour les PME françaises. Hébergement cloud, maintenance réseau, développement applicatif : ces prestations impliquent quasi systématiquement un accès aux données personnelles de vos clients et collaborateurs. Or, le Règlement Général sur la Protection des Données impose des obligations précises lorsqu’un sous-traitant manipule ces informations pour votre compte. En 2025, la CNIL a prononcé plus de 50 sanctions totalisant 89 millions d’euros, dont une part significative concernait des manquements liés à la sous-traitance. Anticiper ces exigences est donc un impératif juridique et financier.

Responsable de traitement vs sous-traitant : qui fait quoi ?

La distinction est fondamentale. Le responsable de traitement (votre entreprise) détermine les finalités et les moyens du traitement des données. Le sous-traitant (le prestataire IT) agit uniquement sur instruction du responsable. Concrètement, si vous confiez votre hébergement à un prestataire, ce dernier stocke et sécurise les données, mais c’est vous qui décidez quelles données sont collectées, pourquoi et combien de temps elles sont conservées. Cette répartition des rôles doit être formalisée dans un contrat conforme à l’article 28 du RGPD. Sans ce contrat, les deux parties s’exposent à des sanctions. Un audit de conformité RGPD permet de clarifier ces responsabilités dès le début de la relation.

Les clauses obligatoires de l’article 28 du RGPD

L’article 28 du RGPD liste huit exigences minimales que le contrat de sous-traitance doit contenir. Premièrement, le sous-traitant ne traite les données que sur instruction documentée du responsable. Deuxièmement, il garantit la confidentialité des personnes autorisées à traiter les données. Troisièmement, il met en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité du traitement. Quatrièmement, il respecte les conditions de recours à un autre sous-traitant (sous-traitance en cascade). Cinquièmement, il aide le responsable à répondre aux demandes d’exercice des droits des personnes concernées. Sixièmement, il assiste le responsable dans la réalisation d’analyses d’impact et la notification de violations. Septièmement, il supprime ou restitue les données au terme de la prestation. Huitièmement, il met à disposition du responsable toutes les informations nécessaires pour démontrer le respect de ces obligations.

Sous-traitance en cascade : le piège méconnu

Votre hébergeur utilise peut-être AWS ou Azure comme infrastructure. Votre prestataire de maintenance recourt à des techniciens indépendants. Chaque maillon de cette chaîne est un sous-traitant ultérieur. Le RGPD impose que le sous-traitant initial vous informe de tout recours à un sous-traitant supplémentaire et que ce dernier soit soumis aux mêmes obligations contractuelles. En pratique, exigez une liste exhaustive des sous-traitants ultérieurs, leur localisation géographique et la nature des traitements réalisés. Si un sous-traitant se situe hors de l’Union européenne, des garanties spécifiques (clauses contractuelles types de la Commission européenne ou décision d’adéquation) sont requises.

Sécurité technique : exigences concrètes à intégrer

Le contrat doit détailler les mesures de sécurité mises en œuvre par le sous-traitant. Ne vous contentez pas de formulations vagues comme « mesures appropriées ». Spécifiez : chiffrement des données au repos (AES-256) et en transit (TLS 1.3), authentification multifacteur pour les accès administrateurs, journalisation des accès conservée 12 mois minimum, tests d’intrusion annuels, politique de gestion des correctifs de sécurité avec délais d’application définis. Un prestataire sérieux comme Odyssix intègre ces exigences nativement dans ses contrats de maintenance informatique et peut fournir des rapports d’audit sur demande.

Notification des violations : les délais critiques

En cas de violation de données, le responsable de traitement doit notifier la CNIL dans les 72 heures. Ce délai commence dès que vous avez connaissance de la violation, pas dès qu’elle survient. Le contrat doit donc imposer au sous-traitant de vous informer « dans les meilleurs délais » (la CNIL recommande 24 à 48 heures maximum). Précisez les informations minimales que le sous-traitant doit fournir : nature de la violation, catégories de données concernées, nombre de personnes affectées, mesures correctives prises ou envisagées. Un audit de cybersécurité régulier permet de détecter les failles avant qu’elles ne deviennent des violations.

Droit d’audit et contrôle du sous-traitant

L’article 28 accorde au responsable de traitement un droit d’audit sur son sous-traitant. Prévoyez contractuellement la possibilité de réaliser des audits sur site ou à distance, avec un préavis raisonnable (15 à 30 jours). Certains prestataires proposent des certifications (ISO 27001, SOC 2) qui dispensent d’audits individuels. Si votre sous-traitant refuse tout droit d’audit, c’est un signal d’alarme majeur. Le contrat doit également prévoir la coopération du sous-traitant avec la CNIL en cas de contrôle.

Sort des données en fin de contrat

Que deviennent vos données lorsque vous changez de prestataire ? Le contrat doit prévoir la restitution intégrale des données dans un format exploitable (CSV, SQL, JSON) et leur suppression complète chez le sous-traitant, y compris les sauvegardes. Définissez un délai précis (30 à 90 jours après la fin du contrat) et demandez un certificat de destruction. Sans ces clauses, vos données clients peuvent rester indéfiniment sur les serveurs de votre ancien prestataire.

Odyssix : un partenaire IT conforme RGPD

Chez Odyssix, la conformité RGPD est intégrée à tous nos contrats de maintenance informatique et d’accompagnement digital. Hébergement en datacenters français, chiffrement systématique, droit d’audit garanti et clauses contractuelles conformes à l’article 28. Contactez-nous pour un audit de vos contrats de sous-traitance IT.

Articles complémentaires

Questions fréquentes

Odyssix travaille-t-il avec les TPE ou seulement les grandes entreprises ?

Nous accompagnons toutes les tailles d’entreprises : auto-entrepreneurs, TPE, PME et ETI. Nos offres sont modulaires et s’adaptent à votre budget. Une TPE de 3 personnes a accès aux mêmes technologies qu’une entreprise de 200 salariés, à un tarif proportionné.
Comment se passe un premier contact avec Odyssix ?

Vous nous appelez (04 28 29 09 45) ou remplissez le formulaire de contact. Un expert vous rappelle sous 24h pour comprendre votre besoin. Nous réalisons ensuite un diagnostic gratuit et vous proposons une solution chiffrée, sans engagement. Simple et rapide.
Avez-vous des références clients dans mon secteur ?

Nous accompagnons plus de 500 entreprises dans tous les secteurs : santé, juridique, BTP, commerce, industrie, services, collectivités. Nous pouvons vous mettre en relation avec des clients de votre secteur pour un retour d’expérience direct.
Questions fréquentes
3 questions

Pas nécessairement. Il est sous-traitant s'il traite des données personnelles pour votre compte. Un prestataire qui installe du matériel sans accéder aux données n'est pas sous-traitant RGPD. En revanche, un hébergeur, un mainteneur réseau avec accès aux serveurs ou un développeur manipulant une base clients le sont.

L'amende peut atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour le responsable de traitement ET le sous-traitant. En 2024, la CNIL a sanctionné plusieurs entreprises pour absence de contrat de sous-traitance conforme, avec des amendes allant de 50 000 à 800 000 euros.

Demandez ses certifications (ISO 27001, HDS pour les données de santé), exercez votre droit d'audit contractuel, vérifiez sa politique de sécurité documentée, et consultez le registre des sanctions CNIL. Un sous-traitant transparent fournira volontiers ces éléments.

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter