EuroComply
Créer un compte
Back to blog
RGPD 12 min read

Comment auditer vos sous-traitants de données en vertu du RGPD

What you need to know: Comment auditer vos sous-traitants de données en vertu du RGPD

L'article 28 du RGPD impose aux organisations de ne recourir qu'à des sous-traitants présentant des garanties suffisantes. Ce guide explique comment auditer vos prestataires et maintenir des contrats de sous-traitance conformes.

Source: EuroComply Editorial (2024-11-15)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Toute organisation qui confie à un prestataire tiers le traitement de données à caractère personnel pour son compte doit s'assurer que ce prestataire offre des « garanties suffisantes » au sens de l'article 28 du RGPD. Il ne s'agit pas d'une simple formalité contractuelle — c'est une obligation de responsabilité substantielle, et les autorités de contrôle considèrent une gestion insuffisante des sous-traitants comme une défaillance grave en matière de conformité, révélatrice de la qualité globale de la gouvernance des données du responsable de traitement.

Ce guide explique ce qu'est un sous-traitant, ce que l'article 28 exige, comment auditer efficacement vos sous-traitants, et comment gérer les obligations continues découlant de vos relations de sous-traitance.

Qu'est-ce qu'un sous-traitant ?

L'article 4, paragraphe 8 du RGPD définit le sous-traitant comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. » L'expression clé est « pour le compte de » : un sous-traitant agit selon les instructions du responsable de traitement et traite les données aux fins de ce dernier, non pour ses propres finalités.

Parmi les exemples courants de sous-traitants figurent : les hébergeurs cloud, les prestataires de paie, les plateformes d'e-mailing, les CRM, les logiciels RH, les outils de support client, et toute plateforme analytique traitant des données à caractère personnel que vous fournissez ou générez. Un prestataire qui traite des données à caractère personnel uniquement pour ses propres finalités — par exemple une société d'analyse qui agrège vos données avec celles d'autres clients pour son propre produit — n'est pas un sous-traitant ; il est responsable conjoint ou responsable indépendant, et des règles différentes s'appliquent.

Cette distinction est essentielle car les exigences de l'article 28 s'attachent spécifiquement aux relations de sous-traitance. Une mauvaise qualification — traiter un responsable indépendant comme un sous-traitant — conduit à des structures contractuelles inadaptées et à une répartition erronée des responsabilités.

Exigences de l'article 28

L'article 28 impose aux responsables de traitement deux obligations principales :

1. Ne recourir qu'à des sous-traitants présentant des garanties suffisantes. Avant de faire appel à un sous-traitant, vous devez évaluer s'il présente « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées » de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes concernées. La notion de « suffisance » n'est pas définie dans le règlement — elle suppose une évaluation véritable, non une simple case à cocher.

2. Conclure un contrat de sous-traitance (DPA). Toute relation entre responsable de traitement et sous-traitant doit être régie par un contrat ou un autre acte juridique liant le sous-traitant à l'égard du responsable de traitement.

Contenu obligatoire du contrat de sous-traitance (8 clauses)

L'article 28, paragraphe 3 du RGPD précise que le contrat doit stipuler que le sous-traitant :

  1. Ne traite les données à caractère personnel que sur instruction documentée du responsable de traitement, y compris en ce qui concerne les transferts vers des pays tiers, sauf obligation contraire prévue par le droit de l'Union ou d'un État membre (auquel cas le sous-traitant en informe le responsable, sauf interdiction).
  2. Veille à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité ou à une obligation légale de confidentialité.
  3. Met en œuvre les mesures techniques et organisationnelles de sécurité appropriées visées à l'article 32.
  4. Respecte les conditions relatives au recours à un autre sous-traitant — notamment l'obtention d'une autorisation écrite préalable du responsable de traitement, et la transmission d'obligations équivalentes à tout sous-traitant ultérieur.
  5. Aide le responsable de traitement à s'acquitter de ses obligations de répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition), compte tenu de la nature du traitement.
  6. Aide le responsable de traitement à s'acquitter de ses obligations en matière de sécurité, de notification des violations de données, d'analyse d'impact relative à la protection des données (AIPD) et de consultation préalable, en tenant compte de la nature du traitement et des informations à la disposition du sous-traitant.
  7. Supprime ou restitue l'ensemble des données à caractère personnel au responsable de traitement à l'issue des services de traitement, et supprime les copies existantes, sauf obligation contraire prévue par le droit de l'Union ou d'un État membre.
  8. Met à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations et contribue aux audits et aux inspections conduits par le responsable de traitement ou un auditeur mandaté par ce dernier.

Ces huit clauses constituent le minimum requis. Beaucoup de contrats de sous-traitance incluent des dispositions supplémentaires sur les délais de réponse aux incidents, la notification des violations de données et des normes de sécurité spécifiques.

Comment auditer les sous-traitants

Les droits d'audit inscrits dans un contrat de sous-traitance sont sans valeur s'ils ne sont pas exercés. Un programme d'audit des sous-traitants opérationnel repose sur trois composantes :

Évaluation préalable à l'engagement

Avant de signer un contrat de sous-traitance, procédez à une évaluation par questionnaire portant sur : les politiques et certifications de sécurité du prestataire ; le lieu de stockage et de traitement des données à caractère personnel (localisation des données) ; la liste des sous-traitants ultérieurs et la manière dont ils sont gérés ; les capacités de notification en cas de violation et les antécédents en la matière ; les procédures de formation du personnel et de vérification des antécédents ; ainsi que les procédures de suppression ou de restitution des données.

Certifications à rechercher : ISO 27001 (gestion de la sécurité de l'information) et SOC 2 Type II (contrôles de sécurité, disponibilité et confidentialité) sont les deux plus pertinentes. Une certification ISO 27001 délivrée par un organisme de certification accrédité constitue un indicateur solide de maturité du programme de sécurité. Les rapports SOC 2 Type II doivent être examinés attentivement et non simplement pris en compte — concentrez-vous sur la section consacrée aux exceptions, pas seulement sur l'opinion d'audit.

Ces certifications réduisent, sans l'éliminer, la nécessité d'une évaluation directe. Un prestataire peut être certifié ISO 27001 et présenter néanmoins des lacunes spécifiques au regard du RGPD.

Droits d'audit contractuels

Assurez-vous que le contrat de sous-traitance prévoit des droits d'audit clairs — le droit de procéder à des audits des activités de traitement et des mesures de sécurité du sous-traitant, directement ou par l'intermédiaire d'un tiers mandaté. Les grands sous-traitants (hyperscalers cloud, grandes plateformes SaaS) s'opposent souvent aux audits directs et fournissent à la place des rapports d'audit (SOC 2, certificats ISO 27001) en substitution. Cela est acceptable dans de nombreux cas au titre de l'article 28, paragraphe 3, point h) du RGPD, mais conservez le droit contractuel de procéder à des audits directs lorsque les circonstances l'exigent.

Révision annuelle

Au minimum une fois par an, examinez la conformité du sous-traitant : sa certification a-t-elle expiré, y a-t-il eu des incidents de sécurité, sa liste de sous-traitants ultérieurs a-t-elle changé de manière à nécessiter une évaluation, ses conditions générales ont-elles évolué ? De nombreux prestataires notifient leurs clients des modifications apportées aux contrats de sous-traitance et à leur liste de sous-traitants ultérieurs — mettez en place un processus de révision de ces notifications plutôt que de les accepter automatiquement.

Gestion des sous-traitants ultérieurs (article 28, paragraphe 2)

L'article 28, paragraphe 2 du RGPD impose aux sous-traitants d'obtenir une autorisation du responsable de traitement avant de faire appel à un autre sous-traitant. Il existe deux modèles d'autorisation :

Autorisation spécifique : Le responsable de traitement approuve chaque sous-traitant ultérieur individuellement, avant que le sous-traitant ne le sollicite. Ce modèle offre un contrôle maximal mais est opérationnellement contraignant pour les sous-traitants dont la liste de sous-traitants ultérieurs est longue ou change fréquemment.

Autorisation générale : Le responsable de traitement donne une approbation préalable pour des catégories de sous-traitants ultérieurs ou autorise le sous-traitant à ajouter des sous-traitants ultérieurs moyennant notification préalable. La majorité des grands prestataires SaaS fonctionnent selon ce modèle. L'exigence essentielle est que le sous-traitant informe le responsable de traitement de tout changement prévu concernant les sous-traitants ultérieurs et que le responsable de traitement conserve le droit de s'y opposer.

Tenez un registre des sous-traitants ultérieurs dans le cadre de votre programme de gestion des sous-traitants. Lorsqu'un sous-traitant vous notifie d'un changement de sous-traitant ultérieur, évaluez la conformité du nouveau sous-traitant ultérieur avant l'expiration du délai d'opposition de 30 jours.

Clauses contractuelles standard pour les transferts internationaux (article 46)

Lorsqu'un sous-traitant (ou sous-traitant ultérieur) traite des données à caractère personnel en dehors de l'EEE, vous avez besoin d'un mécanisme de transfert au titre de l'article 46 du RGPD. Les clauses contractuelles types (CCT) de la Commission européenne (adoptées en juin 2021) constituent le mécanisme standard. Les CCT du module 2 (responsable de traitement vers sous-traitant) doivent être incorporées au contrat de sous-traitance ou y être annexées.

L'incorporation des CCT ne suffit pas en elle-même — vous devez également procéder à une évaluation de l'impact du transfert (Transfer Impact Assessment, TIA) pour chaque destination de transfert, en évaluant si le cadre juridique du pays destinataire offre une protection équivalente à celle de l'EEE. Documentez votre méthodologie d'évaluation et vos conclusions.

Tenir un registre des sous-traitants

Dans le cadre de votre registre des activités de traitement (RAT) prévu à l'article 30 du RGPD, tenez un registre des sous-traitants mentionnant : le nom et les coordonnées du sous-traitant ; les catégories de traitement effectuées ; les sous-traitants ultérieurs utilisés ; les destinations des transferts de données et les mécanismes de transfert ; la référence et la version du contrat de sous-traitance ; et la date du dernier examen. Ce registre est le document de responsabilité démontrant votre programme de gestion des sous-traitants à une autorité de contrôle.

Un examen annuel constitue le minimum — intégrez des déclencheurs dans votre processus d'achat et de gestion des prestataires afin que le registre soit mis à jour chaque fois qu'un nouveau sous-traitant est engagé, qu'un contrat de sous-traitance est modifié ou qu'une notification de changement de sous-traitant ultérieur est reçue.


Dernière mise à jour : mai 2026. À titre informatif uniquement — ne constitue pas un avis juridique.

Foire aux questions

Nous utilisons des centaines d'outils SaaS — avons-nous besoin de contrats de sous-traitance individuels avec chacun d'eux ?

Oui, s'ils traitent des données à caractère personnel pour votre compte. En pratique, la plupart des prestataires SaaS mettent à disposition une documentation contractuelle standard accessible via leur site web ou sur demande, et vous devez l'exécuter ou l'accepter avant que les outils ne soient utilisés avec des données à caractère personnel. Le critère à appliquer lors de l'examen d'un contrat de sous-traitance est de vérifier s'il contient les huit éléments requis par l'article 28, paragraphe 3 du RGPD. Certains contrats de sous-traitance proposés par des prestataires sont insuffisants — ils ne prévoient pas de droits d'audit adéquats, ne traitent pas la gestion des sous-traitants ultérieurs, ou omettent l'obligation de suppression des données. Lorsqu'un contrat standard présente des lacunes substantielles, vous devez négocier des amendements ou, en cas de refus, évaluer si le risque lié au traitement justifie de poursuivre et documenter votre évaluation.

Que signifient concrètement les « garanties suffisantes » pour un petit prestataire sans certification ?

Pour les prestataires sans ISO 27001 ni SOC 2, les « garanties suffisantes » doivent être démontrées par d'autres moyens. Demandez des preuves des politiques de sécurité (utilisation acceptable, contrôle d'accès, gestion des correctifs, réponse aux incidents), des informations sur la protection des données à caractère personnel en transit et au repos, les pratiques de formation du personnel, et les résultats éventuels de tests d'intrusion. Les lignes directrices du Comité européen de la protection des données (CEPD) sur l'article 28 reconnaissent que les petits prestataires ne disposent pas nécessairement de certifications formelles, mais doivent néanmoins fournir des preuves substantielles de mesures de sécurité appropriées. Documentez votre évaluation — l'existence d'une évaluation motivée est elle-même un élément de la responsabilité au titre de l'article 5, paragraphe 2 du RGPD, même si la conclusion est que certains risques résiduels subsistent.

Que se passe-t-il lorsqu'un sous-traitant subit une violation de données ?

En vertu de l'article 28, paragraphe 3, point f) du RGPD, le sous-traitant doit vous notifier dans les meilleurs délais après avoir pris connaissance d'une violation de données à caractère personnel. Votre contrat de sous-traitance doit préciser un délai de notification — généralement 24 ou 48 heures — ainsi que le contenu de la notification (nature de la violation, catégories et nombre approximatif d'enregistrements concernés, point de contact chez le sous-traitant, conséquences probables, mesures prises). Une fois notifié, vous en tant que responsable de traitement avez l'obligation au titre de l'article 33 du RGPD d'évaluer si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées et, dans l'affirmative, d'en informer votre autorité de contrôle dans les 72 heures suivant le moment où vous en avez eu connaissance. La notification du sous-traitant à votre égard déclenche votre délai de 72 heures.

Sources

  • EUR-Lex, Règlement (UE) 2016/679 (RGPD), articles 4(8), 28 et 46 : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
  • Comité européen de la protection des données (CEPD), Lignes directrices 07/2020 sur les notions de responsable du traitement et de sous-traitant : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor_en
  • Commission européenne, Clauses contractuelles types pour les transferts internationaux (2021) : https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
  • ICO (Royaume-Uni), Contracts and liabilities between controllers and processors — detailed guidance : https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/contracts-and-liabilities/contracts-and-liabilities-between-controllers-and-processors-multi-topic-guide/

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.

Key takeaways: Comment auditer vos sous-traitants de données en vertu du RGPD

This article covers: Qu'est-ce qu'un sous-traitant ?, Exigences de l'article 28, Contenu obligatoire du contrat de sous-traitance (8 clauses).

  • Qu'est-ce qu'un sous-traitant ?
  • Exigences de l'article 28
  • Contenu obligatoire du contrat de sous-traitance (8 clauses)
  • Comment auditer les sous-traitants
  • Gestion des sous-traitants ultérieurs (article 28, paragraphe 2)
Source: EuroComply Editorial (2024-11-15)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.

Comment auditer vos sous-traitants de données en vertu du RGPD