Mis à jour le 29 mars 2026

RGPD et sous-traitance : que verifier chez vos prestataires

Selon la CNIL, 68 % des PME francaises font appel a au moins un sous-traitant qui traite des donnees personnelles en leur nom. Hebergeur web, prestataire de paie, outil CRM, solution de mailing : chaque sous-traitant est un maillon de la chaine de conformite RGPD. Or, en cas de violation, c’est le responsable de traitement, c’est-a-dire vous, qui porte la responsabilite premiere devant la CNIL. Verifier la conformite de vos sous-traitants n’est donc pas une option, c’est une obligation legale et un imperatif de protection de votre entreprise.

Sommaire

Vos obligations legales en tant que responsable de traitement

L’article 28 du RGPD est clair : le responsable de traitement doit faire uniquement appel a des sous-traitants presentant des « garanties suffisantes » en matiere de protection des donnees personnelles. Cette obligation n’est pas theorique : la CNIL l’a rappele dans plusieurs sanctions recentes.

Ce que le RGPD exige

  • Selection rigoureuse : choisir des sous-traitants qui presentent des garanties suffisantes de conformite
  • Contrat ecrit : formaliser la relation par un contrat incluant les clauses obligatoires de l’article 28
  • Droit d’audit : conserver le droit de verifier les pratiques de votre sous-traitant
  • Maitrise de la sous-sous-traitance : etre informe et approuver tout recours a un sous-traitant ulterieur

Les sanctions en cas de manquement

Les amendes RGPD peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. La CNIL a deja sanctionne des entreprises pour avoir utilise des sous-traitants non conformes. La responsabilite est partagee mais le responsable de traitement reste en premiere ligne.

Point cle : Le choix d’un sous-traitant conforme au RGPD n’est pas seulement une obligation legale. C’est aussi un avantage concurrentiel : vos clients et partenaires sont de plus en plus attentifs a la protection de leurs donnees. Demontrer une gestion rigoureuse de votre chaine de sous-traitance renforce la confiance.

Identifier tous vos sous-traitants RGPD

La premiere etape consiste a dresser la liste exhaustive de tous les prestataires qui traitent des donnees personnelles pour votre compte. Cette liste est souvent plus longue qu’on ne l’imagine.

Les sous-traitants courants en PME

  • Hebergeur web : heberge votre site et les formulaires de contact
  • Fournisseur de messagerie : Microsoft 365, Google Workspace
  • Solution CRM : stocke les donnees de vos clients et prospects
  • Prestataire de paie : traite les donnees RH de vos salaries
  • Expert-comptable : accede aux donnees financieres et salariales
  • Outil de mailing : Mailchimp, Brevo, Sendinblue
  • Prestataire IT : accede a votre systeme d’information pour la maintenance
  • Solution de sauvegarde cloud : stocke des copies de vos donnees
  • Outil de visioconference : traite des donnees audio et video
  • Plateforme de signature electronique : traite des documents contenant des donnees personnelles

Comment les identifier

  • Passez en revue vos factures de services numeriques
  • Listez tous les logiciels SaaS utilises dans l’entreprise
  • Interrogez chaque service sur les outils qu’ils utilisent au quotidien
  • Verifiez les comptes de cartes bancaires pour les abonnements en ligne
68 %des PME ont au moins un sous-traitant traitant des donnees personnelles
12nombre moyen de sous-traitants RGPD pour une PME de 20 salaries
35 %des PME n’ont aucun contrat de sous-traitance RGPD en place

Le contrat de sous-traitance : clauses obligatoires

Le RGPD impose que la relation avec chaque sous-traitant soit regie par un contrat ou acte juridique contraignant. Ce contrat doit inclure des clauses specifiques listees a l’article 28.

Les clauses obligatoires

  • Objet et duree du traitement : description precise des operations effectuees
  • Nature et finalite : pourquoi le sous-traitant traite les donnees
  • Categories de donnees : types de donnees personnelles concernees
  • Categories de personnes : clients, salaries, prospects
  • Obligations de securite : mesures techniques et organisationnelles mises en oeuvre
  • Confidentialite : engagement de confidentialite du personnel du sous-traitant
  • Sous-sous-traitance : obligation d’information et d’autorisation prealable
  • Assistance : aide pour repondre aux demandes d’exercice de droits des personnes
  • Notification : obligation de signaler toute violation de donnees dans les meilleurs delais
  • Sort des donnees en fin de contrat : restitution ou suppression des donnees
  • Droit d’audit : possibilite de verifier les pratiques du sous-traitant

Ou trouver ces clauses

De nombreux fournisseurs SaaS integrent les clauses RGPD dans leurs conditions generales de service (DPA – Data Processing Agreement). Verifiez si un DPA est disponible sur le site de chaque fournisseur. Si ce n’est pas le cas, demandez-le par ecrit et conservez la reponse.

Les verifications pratiques a effectuer

Au-dela du contrat, des verifications pratiques permettent de s’assurer que le sous-traitant applique reellement les mesures annoncees.

Checklist de verification

  • Localisation des donnees : ou sont hebergees vos donnees ? En France, en UE, ou hors UE ? Un hebergement hors UE necessite des garanties supplementaires
  • Mesures de securite : chiffrement des donnees au repos et en transit, controle d’acces, sauvegardes
  • Certifications : ISO 27001, SOC 2, HDS pour les donnees de sante
  • Politique de gestion des incidents : le sous-traitant a-t-il une procedure de notification en cas de violation ?
  • Sous-sous-traitants : le sous-traitant fait-il appel a d’autres prestataires ? Lesquels ? Ou sont-ils situes ?
  • DPO designe : le sous-traitant a-t-il designe un delegue a la protection des donnees ?

Les signaux d’alerte

  • Le sous-traitant refuse de communiquer sa politique de securite
  • Aucun DPA n’est disponible ni propose
  • Les donnees sont hebergees dans un pays sans adequation RGPD (Etats-Unis sans clauses contractuelles types)
  • Le sous-traitant ne peut pas lister ses propres sous-traitants
  • Aucune certification de securite ni de conformite

La gestion continue de vos sous-traitants

La conformite RGPD n’est pas un exercice ponctuel. Elle necessite une gestion continue de vos sous-traitants tout au long de la relation.

Actions regulieres

  • Revue annuelle : verifiez une fois par an que chaque sous-traitant reste conforme (mise a jour des DPA, verification des certifications)
  • Suivi des incidents : documentez tout incident signale par un sous-traitant
  • Mise a jour du registre : ajoutez chaque nouveau sous-traitant a votre registre des traitements
  • Veille sur les transferts : suivez l’evolution de la reglementation sur les transferts de donnees hors UE
  • Exercice du droit d’audit : realisez ou faites realiser un audit chez vos sous-traitants les plus critiques

En cas de changement de sous-traitant

Lorsque vous changez de prestataire, assurez-vous que l’ancien sous-traitant supprime effectivement vos donnees et vous en fournit la preuve. Exigez un certificat de suppression des donnees. En parallele, verifiez que le nouveau sous-traitant repond aux exigences RGPD avant de lui transferer des donnees.

Conseil d’expert : Tenez a jour un registre de vos sous-traitants RGPD avec pour chacun : le nom, la finalite du traitement, la localisation des donnees, la date du DPA, la date de derniere verification et le niveau de criticite. Ce registre est votre outil de pilotage de la conformite.

Questions frequentes
3 questions
Les transferts de donnees vers les Etats-Unis sont encadres par le Data Privacy Framework (DPF) depuis 2023. Si votre hebergeur est certifie DPF, le transfert est legal. Sinon, des clauses contractuelles types (CCT) doivent etre mises en place. Verifiez la certification de votre hebergeur sur le site du DPF. Pour une securite maximale, privilegiez un hebergement en France ou dans l’Union europeenne.
Un sous-traitant qui refuse de formaliser ses obligations RGPD ne presente pas les garanties suffisantes exigees par la loi. Vous avez deux options : insister par ecrit en rappelant l’obligation legale (article 28 du RGPD), ou changer de sous-traitant pour un prestataire conforme. Conservez la trace ecrite du refus car elle pourrait constituer une preuve de votre diligence en cas de controle.
La responsabilite est partagee. En tant que responsable de traitement, vous devez notifier la CNIL dans les 72 heures et informer les personnes concernees si le risque est eleve. Le sous-traitant est responsable s’il n’a pas respecte ses obligations de securite. Votre responsabilite peut etre attenuee si vous demontrez que vous avez choisi un sous-traitant competent, mis en place un contrat conforme et effectue des verifications regulieres.

Besoin d’accompagnement ?

Vous souhaitez verifier la conformite RGPD de vos sous-traitants et mettre en place les contrats adaptes ? Nos experts vous accompagnent dans l’audit de votre chaine de sous-traitance et la mise en conformite.

Contactez nos experts

Services associés

Odyssix peut vous accompagner

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter