TL;DR:
- La conformité RGPD nécessite une vigilance continue et une gestion automatisée des sous-traitants.
- Le Data Processing Agreement (DPA) est essentiel, mais doit être accompagné de contrôles factuels réguliers.
- L’automatisation permet de respecter les délais de notification et de prouver la conformité auprès de la CNIL.
Votre sous-traitant a subi une violation de données la nuit dernière. Demain matin, la CNIL frappe à votre porte et vous êtes, en tant que donneur d’ordre, directement impliqué. Ce scénario n’est plus hypothétique : en 2025, la CNIL a infligé une sanction directe de 1M€ à un sous-traitant pour conservation illicite de données, traitement hors instructions et absence de registre, illustrant que la chaîne entière est exposée. Ce guide vous montre comment transformer une obligation complexe en processus automatisé, fiable et continu, sans mobiliser une équipe dédiée à plein temps.
Table des matières
- Comprendre la chaîne de responsabilité RGPD
- Préparer la vérification : documents et clauses obligatoires
- Mettre en œuvre la vérification : étapes et outils
- Contrôler et remédier : audits factuels et prévention
- Notre vision : pourquoi l’automatisation change la donne pour la conformité RGPD
- Besoin d’automatiser votre conformité RGPD sous-traitants ?
- Questions fréquentes sur la conformité RGPD sous-traitants
Points Clés
| Point | Détails |
|---|---|
| Sanctions CNIL directes | La CNIL sanctionne désormais directement les sous-traitants et donneurs d’ordre, parfois avec des montants record. |
| Contrat écrit indispensable | Le DPA conforme doit détailler responsabilités, sécurité et durée, selon l’article 28 RGPD. |
| Audit et contrôle factuel | La conformité requiert des vérifications concrètes et des preuves documentées, pas seulement des certificats. |
| Automatisation efficace | Des solutions existent pour automatiser la collecte, les alertes et les rapports de conformité. |
| Clauses renforcées pour l’IT | En cas de cloud ou IA, des exigences spécifiques (explicabilité, gestion des sous-traitants ultérieurs) sont nécessaires. |
Comprendre la chaîne de responsabilité RGPD
Beaucoup de responsables achats pensent que signer un contrat avec un sous-traitant suffit à se mettre en règle. C’est faux. Le RGPD impose une vigilance active qui va bien au-delà du document signé.
Qui est responsable de quoi ?
Le RGPD distingue deux rôles principaux. Le responsable de traitement (RT) est l’entreprise qui détermine pourquoi et comment les données personnelles sont traitées. Le sous-traitant (ST) est celui qui traite ces données pour le compte du RT, sur ses instructions.
Ce qui change tout : la CNIL peut sanctionner les deux. La délégation ne supprime pas la responsabilité du donneur d’ordre. Au contraire, l’article 28 du RGPD exige que le RT conclue un contrat écrit avec chaque sous-traitant, précisant l’objet, la durée, la nature, la finalité du traitement, les types de données et les obligations des deux parties. L’absence de ce document expose le RT à une sanction directe, même si c’est le sous-traitant qui a fauté.
La notion de co-responsabilité est également importante. Lorsque deux entités définissent ensemble les finalités d’un traitement, elles deviennent co-responsables et partagent les obligations légales. Cela concerne souvent les plateformes SaaS, les prestataires marketing ou les intégrateurs cloud.
Tableau des obligations fondamentales
| Obligation | Responsable de traitement | Sous-traitant |
|---|---|---|
| Registre des activités de traitement | Obligatoire | Obligatoire |
| Signature du DPA | Initie et conserve | Signe et respecte |
| Mesures de sécurité techniques | Définit les exigences | Implémente et prouve |
| Notification CNIL en cas de violation | Dans les 72h | Dans les 24-48h au RT |
| Sous-traitance ultérieure | Autorise ou refuse | Demande autorisation |
“Le responsable de traitement reste garant de la chaîne entière, même après délégation. La CNIL et le CEPD (Comité européen de la protection des données) exigent la preuve de garanties effectives, pas seulement la présence d’un contrat.”
Pour aller plus loin sur les obligations légales sous-traitant et éviter les pièges les plus fréquents, une lecture approfondie s’impose avant de démarrer toute relation commerciale impliquant des données personnelles.
Les PME ont souvent tendance à considérer ces obligations comme le domaine réservé des grandes entreprises. Erreur. Dès que vous confiez le traitement de données de vos clients ou salariés à un prestataire, même petit, vous êtes concerné. Un cabinet RH qui externalise sa paie, une boutique e-commerce qui utilise un logiciel de gestion des commandes : tous sont dans le périmètre. La checklist conformité sous-traitance permet de faire le point rapidement sur votre situation.
Préparer la vérification : documents et clauses obligatoires
Une fois les rôles clarifiés, la préparation concrète commence. Et elle est plus exigeante qu’on ne le pense souvent.
Le DPA : bien plus qu’un formulaire
Le DPA (Data Processing Agreement, ou contrat de traitement de données) est le document central de la relation RT-ST. Il ne s’agit pas d’une clause ajoutée en fin de contrat commercial, mais d’un accord distinct, précis et opposable.
La CNIL fournit des clauses types pour encadrer ces contrats, avec des modèles adaptables selon la complexité des traitements. Ces modèles constituent un excellent point de départ, mais ils doivent être personnalisés selon votre contexte.
Un DPA solide doit couvrir :
- L’objet précis du traitement et les catégories de données concernées
- La durée du traitement et les conditions de suppression ou de restitution des données
- Les mesures de sécurité techniques et organisationnelles (souvent appelées TOM)
- Les conditions d’autorisation pour la sous-traitance ultérieure (sous-sous-traitants)
- L’obligation d’assistance aux droits des personnes concernées
- Les modalités d’audit et de contrôle par le RT
Pour les prestataires IA ou cloud, des clauses renforcées sont nécessaires : explicabilité algorithmique, localisation des données, conditions de portabilité. Ne vous contentez pas des modèles standards dans ces cas.
Documents à collecter auprès du sous-traitant
Voici les pièces à fournir sous-traitant qui constituent le socle minimum d’une vérification sérieuse :
| Document | Fréquence de mise à jour | Point de vigilance |
|---|---|---|
| Registre des activités de traitement | Annuelle minimum | Vérifier la complétude des entrées |
| DPA signé | À chaque nouveau contrat | Cohérence avec les clauses CNIL |
| Politique de sécurité (TOM) | Annuelle | Spécificité technique réelle |
| Liste des sous-traitants ultérieurs | Trimestrielle | Vérifier les garanties en cascade |
| Rapport d’audit ou certificat (ISO 27001…) | Annuelle | Périmètre et date de validité |
| Procédure de notification violation | Initiale | Délai < 24h respecté ? |
Conseil de pro : Ne demandez pas ces documents un par un par email. Utilisez un modèle de collecte structuré ou un portail dédié pour centraliser les dépôts, éviter les relances et horodater chaque document reçu. La preuve de la collecte est aussi importante que le document lui-même.
Les documents obligatoires sous-traitants varient légèrement selon le secteur (santé, finance, RH), mais la base reste constante. L’erreur classique est de collecter les documents une fois lors du référencement du fournisseur, puis de ne jamais les mettre à jour. La conformité RGPD est un état continu, pas un événement ponctuel.
Mettre en œuvre la vérification : étapes et outils
Avoir les bons documents ne suffit pas. Il faut les analyser, les valider, et surtout les maintenir à jour. C’est là que la majorité des PME décrochent.
Processus de vérification étape par étape
-
Cartographier vos sous-traitants : identifier tous les prestataires qui accèdent, stockent ou traitent des données personnelles pour votre compte. Cela inclut les hébergeurs, les outils RH SaaS, les prestataires de nettoyage si accès aux locaux, les sous-traitants de votre sous-traitant.
-
Qualifier le rôle de chaque prestataire : est-il sous-traitant, co-responsable, ou traite-t-il des données pour son propre compte ? Cette qualification détermine le niveau de contractualisation exigé.
-
Collecter les documents listés : via un portail structuré plutôt que par email. Chaque document doit être horodaté, versionné, et associé à une date d’expiration.
-
Vérifier la validité et la cohérence : un certificat ISO 27001 expiré ne vaut rien. Un DPA qui ne mentionne pas les sous-traitants ultérieurs est incomplet. Cette vérification doit être systématique, pas aléatoire.
-
Documenter les résultats : toute vérification sans trace écrite n’existe pas aux yeux de la CNIL. Conservez les preuves de chaque contrôle, avec date et conclusion.
-
Planifier le renouvellement : la plupart des documents expirent entre 3 et 12 mois. Sans système d’alerte, les oublis sont inévitables.
L’automatisation, un levier sous-estimé
Les obligations minimales du sous-traitant incluent la notification des violations dans un délai de 24 à 48 heures au responsable de traitement. Sans système automatisé, ce délai est quasi impossible à respecter en pratique pour un sous-traitant gérant plusieurs clients.
Les fonctionnalités d’automatisation disponibles aujourd’hui permettent de couvrir :
- La collecte automatique des documents via portail fournisseur
- L’analyse de validité par intelligence artificielle (date d’expiration, cohérence des données)
- Les alertes préventives avant expiration des documents
- La génération automatique de rapports de conformité
- Le suivi en temps réel du statut de chaque sous-traitant
La vérification URSSAF et DGFiP fait partie du même écosystème de conformité. Le guide contrôle URSSAF et la vérification URSSAF DGFiP complètent utilement la démarche RGPD pour une conformité fournisseurs à 360 degrés.
Chiffre clé : Le délai légal de notification d’une violation de données par un sous-traitant à son donneur d’ordre est de 24 à 48 heures. Sans processus automatisé, 60% des PME dépassent ce délai selon les observations terrain, s’exposant à une sanction supplémentaire pour non-assistance.
Contrôler et remédier : audits factuels et prévention
La contractualisation est un point de départ, pas une fin. La CNIL l’a dit clairement : elle attend des preuves concrètes, pas des déclarations d’intention.
Pourquoi les audits factuels sont indispensables
Un sous-traitant peut signer un DPA parfait et continuer à traiter des données hors instructions. C’est précisément ce qui s’est passé dans l’affaire Mobius : malgré des contrats en place, la sanction de 1M€ a été prononcée pour des pratiques effectives non conformes. Le contrat ne prouve pas la conformité réelle.
Les points à contrôler lors d’un audit factuel :
- Registre de traitement : existe-t-il réellement, est-il tenu à jour, couvre-t-il tous les traitements effectués pour votre compte ?
- Durées de conservation : les données sont-elles supprimées à l’issue du contrat ou de la durée définie dans le DPA ?
- Mesures de sécurité : les TOM déclarées sont-elles effectivement en place (chiffrement, contrôle d’accès, journaux d’événements) ?
- Sous-traitance ultérieure : avez-vous été informé de tout nouveau sous-sous-traitant ? A-t-il fait l’objet de votre autorisation ?
- Instruction effective : le sous-traitant peut-il démontrer qu’il n’a traité les données qu’en suivant vos instructions documentées ?
Conseil de pro : Mettez en place des alertes automatisées à J-30 et J-7 avant l’expiration de chaque document ou engagement de conformité. Cette simple mesure réduit de 80% les situations de manquement non détecté à temps. Les procédures d’audit automatisé disponibles dans les plateformes spécialisées permettent de générer ces alertes sans intervention manuelle.
Remédier aux manquements
Lorsqu’un manquement est détecté, la réaction doit être rapide et documentée. Trois étapes s’imposent : notifier formellement le sous-traitant, exiger un plan de remédiation avec délai et preuves, et décider si la relation commerciale peut se poursuivre pendant la correction.
Les pièces audit conformité que vous constituez lors de chaque contrôle forment votre dossier de défense en cas de contrôle CNIL. Sans elles, vous ne pouvez pas prouver votre diligence, même si vous avez agi de bonne foi.
Les sanctions CNIL pour défaut de DPA ou de contrôle oscillent entre 20 000€ et 800 000€ selon la gravité et la taille de l’entreprise. Pour une ETI, cela représente un risque financier réel qui justifie pleinement l’investissement dans un outil de gestion automatisée.
Notre vision : pourquoi l’automatisation change la donne pour la conformité RGPD
Voici ce que nous observons sur le terrain : la plupart des PME et ETI françaises traitent la conformité RGPD sous-traitants comme un projet, alors qu’il s’agit d’un processus permanent. Et c’est précisément cette erreur de catégorie qui génère les risques.
Un projet a une date de fin. Un processus n’en a pas. Or, la conformité RGPD ne s’arrête pas à la signature du DPA. Elle vit, évolue avec chaque nouveau sous-traitant, chaque modification de traitement, chaque renouvellement annuel.
Ce que nous voyons dans les grandes organisations, c’est une surveillance continue outillée. Elles ne font pas confiance aux certifications seules. Elles vérifient, documentent, alertent. Et elles en ont les moyens humains. Les PME et ETI n’ont pas ces ressources, mais elles ont les mêmes obligations légales.
L’automatisation n’est pas un luxe réservé aux grands groupes. C’est le seul moyen réaliste pour une structure de taille intermédiaire de respecter ses obligations sans saturer ses équipes. Un responsable achats qui gère 50 sous-traitants ne peut pas physiquement relancer chacun d’eux tous les trimestres, analyser chaque document, et tenir un registre à jour. Sans outil, il choisit entre faire son métier et être conforme.
Le CEPD est explicite : la preuve des garanties prime sur les déclarations. Cela signifie que votre DPA signé n’est qu’un premier pas. Ce qui protège vraiment votre organisation, c’est la capacité à prouver, à tout moment, que vous avez vérifié, documenté et contrôlé. Cette capacité ne peut exister à grande échelle que si elle est automatisée.
Notre conviction chez Kontractis : les PME et ETI qui adoptent une surveillance automatisée de leur chaîne de sous-traitants ne se contentent pas de réduire leur risque juridique. Elles gagnent aussi en crédibilité commerciale, en fluidité opérationnelle et en confiance interne. Consultez notre analyse sur l’expertise gestion sous-traitants pour aller plus loin sur ce sujet.
Besoin d’automatiser votre conformité RGPD sous-traitants ?
Vous avez maintenant une vision claire des obligations, des documents, des étapes de vérification et des risques associés. La question n’est plus “faut-il le faire” mais “comment le faire efficacement sans y passer des heures chaque semaine”.
Kontractis centralise toute la gestion de conformité de vos sous-traitants en un seul tableau de bord. Les fonctionnalités Kontractis couvrent la collecte automatisée des documents, l’analyse par intelligence artificielle, la détection des anomalies et les alertes préventives. Les rapports vigilance automatisés génèrent votre dossier de preuve en un clic, prêt pour un contrôle CNIL. Les alertes conformité RGPD vous préviennent 30 jours avant toute expiration de document. Résultat : zéro oubli, zéro relance manuelle, et une conformité prouvable à tout moment.
Questions fréquentes sur la conformité RGPD sous-traitants
Quels documents sont obligatoires pour vérifier la conformité RGPD d’un sous-traitant ?
Il faut obtenir le registre de traitement, un DPA signé détaillant les obligations des deux parties, et les preuves concrètes des mesures de sécurité mises en place. La liste des sous-traitants ultérieurs et les procédures de notification en cas de violation complètent ce socle documentaire.
Quelle est la sanction en cas de défaut de conformité d’un sous-traitant ?
La CNIL peut sanctionner directement le sous-traitant jusqu’à 1M€, et peut également cibler le donneur d’ordre en cas d’absence de contrat ou de contrôle insuffisant. Les sanctions pour défaut de DPA oscillent entre 20 000€ et 800 000€ selon la gravité constatée.
Comment garantir la conformité RGPD sur la chaîne des sous-traitants ?
Il faut contrôler chaque sous-traitant avec des audits factuels documentés, renouveler les contrats et documents à chaque échéance, et utiliser des alertes automatisées pour prévenir les manquements avant qu’ils ne surviennent. La conformité doit être traitée comme un processus continu, pas comme un projet ponctuel.
Un sous-traitant certifié RGPD suffit-il pour éviter tout risque ?
Non. La CNIL exige des audits effectifs et une démonstration factuelle de la conformité, au-delà des certifications seules. Pour les prestataires IA ou cloud notamment, des clauses contractuelles renforcées s’imposent en complément de toute certification.