TL;DR:
- Le choix d’un sous-traitant sans évaluation de conformité expose l’entreprise à des sanctions et à des risques juridiques importants.
- Il est essentiel d’établir un cadre contractuel solide, de vérifier l’hébergement des données et la gestion des transferts hors UE.
- Une documentation claire, des garanties techniques et une maîtrise avancée de l’infrastructure renforcent la fiabilité de la conformité du partenaire.
Choisir un sous-traitant sans évaluer sa conformité expose votre entreprise à des sanctions financières, une responsabilité solidaire en cas de travail dissimulé, et des risques juridiques réels. Les critères évaluation conformité ne sont pas une formalité administrative. Ce sont les indicateurs qui distinguent un partenaire fiable d’un risque latent. Selon la Commission européenne, l’évaluation de conformité doit permettre de produire des éléments vérifiables, pas seulement des déclarations d’intention. Ce guide détaille chaque critère concret que vous devez appliquer dans votre procédure d’évaluation.
Table des matières
- Points clés
- 1. Le cadre contractuel comme socle des critères évaluation conformité
- 2. Localisation de l’hébergement et transferts de données hors UE
- 3. Garanties de sécurité technique et organisationnelle
- 4. Clarté et accessibilité de la documentation fournie
- 5. Maîtrise technique avancée et auto-hébergement
- 6. L’évaluation des écarts comme méthode structurée
- 7. Tableau comparatif des critères pour PME/ETI
- Ce que l’expérience terrain enseigne vraiment
- Gérez vos critères conformité sans tableurs ni relances manuelles
- FAQ
Points clés
| Point | Détails |
|---|---|
| Cadre contractuel précis | Le DPA et le contrat de sous-traitance doivent formaliser toutes les obligations selon l’article 28 RGPD. |
| Localisation des données | Vérifiez où les données sont hébergées et si des transferts hors UE existent avant toute sélection. |
| Preuves techniques auditables | Demandez des documents sur la sécurité, les certifications et la gestion des incidents, pas de simples déclarations. |
| Documentation accessible | Une documentation floue ou incomplète est un signal d’alerte sérieux dans l’évaluation des critères. |
| Proportionner l’exigence au risque | Adaptez le niveau de rigueur au profil de risque du sous-traitant selon les référentiels CRA et RGPD. |
1. Le cadre contractuel comme socle des critères évaluation conformité
Le premier critère à examiner est la solidité du cadre contractuel. Un sous-traitant qui traite des données personnelles pour votre compte doit signer un Data Processing Agreement (DPA). Ce document formalise ses engagements selon l’article 28 RGPD et constitue la base légale de votre relation.
Ce que le contrat doit contenir :
- La nature et la finalité du traitement des données
- La durée de conservation et les conditions de suppression
- Les obligations de confidentialité du prestataire et de ses employés
- Les modalités de gestion des sous-traitants secondaires
- Les garanties de sécurité applicables
La définition précise des obligations dans le DPA est un critère concret d’évaluation, pas une clause de style. Ce qui compte, c’est de vérifier que ces obligations sont effectivement appliquées, pas seulement rédigées. Un contrat bien formulé mais non suivi de pratiques réelles ne protège personne.
Conseil de pro: Demandez au sous-traitant un exemple de registre des activités de traitement lié au contrat. Un prestataire réellement conforme sait le produire en moins de 48 heures.
Les écueils fréquents incluent les DPA génériques copiés-collés depuis des modèles internet, les clauses de confidentialité sans mécanisme de contrôle, et l’absence de procédure de notification en cas de violation. Ces failles vous exposent directement.
2. Localisation de l’hébergement et transferts de données hors UE
La question de l’hébergement est systématiquement sous-estimée dans les procédures d’évaluation des PME. Beaucoup de responsables se rassurent avec un simple “nos données sont en Europe” sans vérifier les flux réels.
La conformité RGPD exige une transparence totale sur l’hébergement et les flux transfrontaliers, notamment vers les États-Unis. Les points à vérifier concrètement :
- Le pays d’hébergement principal et des sauvegardes
- L’identité des sous-traitants d’infrastructure utilisés (AWS, Azure, OVH…)
- L’existence de transferts hors UE, même ponctuels
- Les garanties encadrant ces transferts : clauses contractuelles types, décision d’adéquation
L’erreur classique est de se limiter à l’hébergement UE sans vérifier contractuellement et techniquement les autres exigences RGPD. Un serveur situé à Paris mais administré depuis les États-Unis expose potentiellement vos données à la législation américaine. C’est un niveau de non-conformité critique que beaucoup ignorent.
Les documents probants à demander : politique de gestion des données, contrats avec les hébergeurs, registre des transferts internationaux. Si le fournisseur ne peut pas les produire, c’est un signal clair.
3. Garanties de sécurité technique et organisationnelle
La sécurité technique est un axe central des méthodes d’évaluation conformité. Elle ne se résume pas à demander “avez-vous un antivirus”. Elle couvre des pratiques précises que vous devez pouvoir vérifier.
Les indicatifs de conformité à examiner côté technique :
- Authentification forte (MFA) et gestion des accès par rôles
- Chiffrement des données au repos et en transit
- Politique de gestion des vulnérabilités et calendrier de mises à jour
- Procédure documentée de gestion des incidents de sécurité
- Délai et modalités de notification en cas de violation
Les documents sur les mesures de sécurité et la gestion des incidents constituent des preuves auditables essentielles. Une déclaration verbale ou un texte commercial ne suffit pas. Ce qui compte, c’est la documentation réelle : politique de sécurité datée, procédures internes, rapports d’incidents.
Conseil de pro: Posez cette question directe : “Quel est votre délai moyen de notification après détection d’un incident ?” Un sous-traitant sérieux a une réponse chiffrée et une procédure écrite. Un sous-traitant mal préparé hésitera.
Les certifications comme ISO 27001 ou SOC 2 sont des preuves supplémentaires utiles. Mais attention : une certification peut être expirée ou limitée à un périmètre partiel. Vérifiez toujours la date de validité et le scope exact certifié.
4. Clarté et accessibilité de la documentation fournie
La qualité de la documentation qu’un sous-traitant vous remet est un indicateur direct de sa maturité en matière de conformité. Une documentation floue ou difficile d’accès est un signal d’alerte majeur dans tout processus sérieux d’évaluation des critères.
Les documents attendus dans un dossier de conformité complet :
- Contrat de sous-traitance et DPA à jour
- Politique de confidentialité et de protection des données
- Registre des traitements associés à votre contrat
- Rapports d’audit ou de test d’intrusion récents
- Procédures internes de gestion des accès et des incidents
Pour les PME, un critère de clarté s’impose : la documentation doit être compréhensible sans nécessiter un juriste spécialisé pour chaque lecture. Des termes excessivement techniques sans explication, des renvois en cascade vers d’autres documents, ou des délais anormalement longs pour obtenir un document simple sont tous des signaux faibles à prendre au sérieux.
La documentation accessible et mise à jour régulièrement construit la confiance dans la durée. Un fournisseur qui produit un dossier propre, daté et cohérent montre que la conformité est intégrée à son fonctionnement, pas traitée comme une contrainte ponctuelle.
5. Maîtrise technique avancée et auto-hébergement
Au-delà des critères de base, certains indicateurs techniques distinguent les sous-traitants qui maîtrisent réellement leur infrastructure de ceux qui s’appuient sur des empilements de solutions tierces.
L’auto-hébergement est une preuve de maîtrise technique qui renforce la confiance dans la conformité de la solution proposée. Un prestataire qui héberge lui-même ses services contrôle sa chaîne de dépendances et réduit les risques liés à la sous-traitance en cascade. Ce n’est pas une exigence absolue, mais c’est un avantage concret à pondérer.
| Critère technique | Niveau de maîtrise faible | Niveau de maîtrise élevé |
|---|---|---|
| Hébergement | Cloud tiers sans contrat précis | Auto-hébergé ou contrat cloud auditable |
| Gestion des mises à jour | Pas de calendrier défini | Patch management documenté et régulier |
| Gestion des vulnérabilités | Réactif en cas d’incident | SBOM disponible, suivi proactif CVE |
| Transparence technique | Réponses vagues sur demande | Documentation disponible à tout moment |
Le Cyber Résilience Act impose aux éditeurs de logiciels un mécanisme d’évaluation de conformité proportionné au niveau de risque du produit. En tant qu’acheteur, cela signifie que vous devez calibrer vos exigences selon la criticité du produit numérique fourni. Un simple outil de gestion documentaire ne nécessite pas le même niveau d’examen qu’un composant d’infrastructure critique.
6. L’évaluation des écarts comme méthode structurée
La plupart des responsables conformité évaluent leurs sous-traitants de façon intuitive, au cas par cas. Une méthode d’évaluation structurée donne de meilleurs résultats et protège votre traçabilité en cas d’audit.
L’évaluation des écarts de conformité suit un processus en quatre étapes : définir la portée de l’évaluation, collecter les preuves documentaires, analyser les écarts entre pratiques réelles et exigences, puis établir un plan de remédiation priorisé. Cette approche permet d’identifier précisément où se situent les lacunes et quelles actions corriger en priorité.
Pour les PME et ETI, cette méthode est adaptable sans mobiliser une équipe entière. Elle peut se traduire par une grille de questions standardisées envoyée à chaque sous-traitant, assortie d’un score de réponse. Ce score devient votre base de comparaison entre fournisseurs concurrents, et votre preuve documentaire en cas de contrôle.
Conseil de pro: Transformez vos critères en preuves auditables dès le départ. Une grille d’évaluation remplie, datée et archivée vaut beaucoup plus qu’un e-mail confirmant que “tout est en ordre”.
7. Tableau comparatif des critères pour PME/ETI
Voici un tableau de décision synthétisant les critères principaux selon leur importance et les risques associés, conçu pour être utilisé directement dans votre processus de sélection.
| Critère | Poids relatif | Indicateur vérifiable | Risque en cas de manque |
|---|---|---|---|
| Cadre contractuel (DPA) | Élevé | DPA signé, conforme art. 28 RGPD | Responsabilité solidaire, amende RGPD |
| Localisation des données | Élevé | Contrat hébergeur, registre transferts | Violation RGPD, exposition extraterritoriale |
| Sécurité technique | Élevé | Politique sécurité, certification ISO 27001 | Incident de sécurité non couvert |
| Documentation accessible | Moyen | Dossier complet fourni en moins de 5 jours | Impossibilité de prouver la diligence |
| Maîtrise technique | Moyen | SBOM, calendrier de mise à jour | Vulnérabilités non traitées, non-conformité CRA |
| Évaluation des écarts | Moyen | Grille d’évaluation remplie et archivée | Lacunes invisibles, décisions non traçables |
Le Privacy Score de A à F offre un premier repère simple pour hiérarchiser les fournisseurs avant d’aller plus loin dans l’analyse. France Num recommande ce type d’outil comme premier niveau pragmatique, sans remplacer une analyse complète pour les sous-traitants à fort enjeu.
La stratégie pour les PME : concentrez votre niveau d’exigence maximal sur les sous-traitants traitant des données sensibles ou jouant un rôle critique dans votre chaîne de valeur. Pour les autres, une procédure d’évaluation simplifiée mais documentée suffit.
Ce que l’expérience terrain enseigne vraiment
J’ai vu beaucoup d’entreprises construire des grilles d’évaluation conformité complètes sur papier… et les appliquer de façon purement formelle. Le sous-traitant coche les cases, le responsable achats valide, et personne ne vérifie que les pratiques réelles correspondent aux déclarations.
Ce que j’ai appris : les critères d’évaluation ne valent que si vous transformez chaque point en preuve auditable. Un DPA signé sans vérification des pratiques internes du fournisseur est une illusion de conformité. Les référentiels d’évaluation rappellent que l’évaluation de conformité est un outil de confiance entre clients et fournisseurs, pas une formalité à expédier.
La deuxième erreur fréquente est de traiter l’évaluation comme un événement ponctuel lors de l’entrée du fournisseur dans le panel. La conformité se dégrade dans le temps : un certificat ISO expire, une politique de sécurité n’est plus mise à jour, un hébergeur change de datacenter. Une procédure d’évaluation efficace est continue, pas annuelle.
Mon conseil concret : calibrez le niveau d’exigence au risque réel. Le CRA formalise cette logique de proportionnalité pour les produits numériques. Appliquez-la à vos achats : exigez plus des sous-traitants critiques, acceptez une procédure allégée pour les fournisseurs à faible exposition. C’est ce qui rend une démarche conformité à la fois rigoureuse et tenable pour une PME.
— Aimen
Gérez vos critères conformité sans tableurs ni relances manuelles
Appliquer tous ces critères manuellement, pour chaque fournisseur, tous les trimestres, c’est une charge que peu de PME peuvent absorber durablement. C’est exactement le problème que Kontractis résout.
Avec Kontractis, vos sous-traitants déposent leurs documents sur un portail dédié. L’intelligence artificielle vérifie instantanément leur authenticité, leur validité et leur conformité aux exigences légales. Vous suivez l’état de conformité de l’ensemble de votre panel depuis un tableau de bord en temps réel, avec des alertes automatiques avant chaque expiration. Plus de relances, plus d’oublis, plus de tableurs. Découvrez comment Kontractis automatise la conformité de vos sous-traitants et transforme chaque critère d’évaluation en preuve auditable.
FAQ
Quels documents constituent un dossier de conformité complet ?
Un dossier de conformité complet comprend le DPA signé, la politique de sécurité, le registre des traitements, les rapports d’audit récents et les contrats d’hébergement. Tout document absent ou non daté est un écart à signaler.
À quelle fréquence faut-il renouveler l’évaluation des sous-traitants ?
L’évaluation doit être renouvelée tous les 3 à 6 mois pour les sous-traitants critiques, et au minimum une fois par an pour les autres. Tout changement de prestataire d’hébergement ou de personnel clé doit déclencher une réévaluation immédiate.
Comment évaluer la conformité RGPD d’un nouveau fournisseur rapidement ?
Commencez par le Privacy Score comme premier indicatif de conformité, puis vérifiez l’existence d’un DPA conforme à l’article 28 RGPD et la localisation de l’hébergement. Ces trois points couvrent les risques les plus immédiats avant d’approfondir l’analyse complète.
Le Cyber Résilience Act change-t-il les critères d’évaluation en 2026 ?
Oui. Le CRA impose une évaluation de conformité proportionnée au niveau de risque du produit numérique, avec trois parcours distincts selon la criticité. Pour les acheteurs, cela signifie adapter les questions sur la conformité et le niveau de preuve exigé selon l’usage du logiciel fourni.
Comment prioriser les critères quand les ressources sont limitées ?
Concentrez votre niveau d’exigence maximal sur les sous-traitants traitant des données sensibles ou jouant un rôle critique dans votre activité. Pour les autres, une procédure d’évaluation documentée avec grille standardisée suffit à protéger votre responsabilité tout en restant réaliste sur les moyens disponibles.
Recommandation
- Checklist conformité sous-traitance : sécurisez vos PME/ETI — Blog Kontractis
- Conformité fiable des sous-traitants : définition et méthode — Blog Kontractis
- Conformité PME : sécurisez et automatisez vos sous-traitants — Blog Kontractis
- Contrôle URSSAF : guide pour la conformité sous-traitants — Blog Kontractis