posts

RGPD : sous-traitants, choisir, encadrer, piloter

Sécuriser la relation avec les sous-traitants : obligations, contrats, contrôles et suivi.

Publié le 06 Feb 2026 4 min lecture 692 mots
Rgpd
Qualite Documentation Rgpd Conformite Gouvernance Juridique
Sommaire
Articles de la série Rgpd
  1. RGPD: par où commencer et comment structurer sa conformité
  2. RGPD : sous-traitants, choisir, encadrer, piloter

Pourquoi la gestion des sous-traitants est critique

Dans le cadre du RGPD, le recours à des sous-traitants est la norme : hébergement, support, CRM, analytics, outil RH, emailing, etc. Pourtant, la responsabilité finale reste portée par le responsable de traitement. Le RGPD impose de sélectionner des sous-traitants présentant des garanties suffisantes, d’encadrer la relation par contrat et de piloter dans la durée les traitements effectués pour le compte de l’organisation12.

Un sous-traitant mal choisi ou mal encadré fragilise l’ensemble du dispositif de conformité : risques juridiques, risques de sécurité, interruptions de service, perte de maîtrise des données. La gestion des sous-traitants est donc un pilier de l’accountability.

Identifier ses sous-traitants et les flux de données

La première étape consiste à recenser les prestataires qui traitent des données personnelles pour le compte de l’organisation. Il est utile de travailler par processus métier : relation client, support, finance, RH, marketing, produit, IT, etc. Pour chaque prestataire, il convient d’identifier les flux de données, les catégories de données, les finalités et les lieux de traitement.

Points à collecter systématiquement

  • finalités du traitement confié au sous-traitant ;
  • catégories de données personnelles traitées ;
  • catégories de personnes concernées ;
  • pays de traitement et éventuels transferts hors UE ;
  • mesures de sécurité déclarées ;
  • autres sous-traitants impliqués (sous-traitance en chaîne).

Cette cartographie alimente directement le registre des traitements et permet d’identifier les zones à risque (données sensibles, transferts hors UE, dépendance opérationnelle forte). Le RGPD impose la tenue d’un registre des activités de traitement et la documentation des informations clés3.

Vérifier les garanties et la sécurité

Le RGPD impose de choisir des sous-traitants présentant des garanties suffisantes. Cette exigence ne se limite pas à un discours commercial : elle doit être documentée et proportionnée aux risques1.

Exemples de preuves attendues

  • politiques de sécurité et mesures techniques (chiffrement, segmentation, contrôle d’accès) ;
  • certifications (ISO 27001, SOC 2) ou audits externes ;
  • engagements de disponibilité et de continuité d’activité ;
  • transparence sur les sous-traitants ultérieurs ;
  • preuves de conformité pour les transferts internationaux (clauses contractuelles types, pays adéquats, etc.)4.

Le RGPD rappelle que les mesures de sécurité doivent être appropriées au risque, ce qui justifie une évaluation proportionnée au regard de la sensibilité des données et des finalités du traitement5.

Encadrer la relation contractuelle

La relation avec un sous-traitant doit être encadrée par un contrat (ou un avenant) contenant les clauses exigées par l’article 28 du RGPD. Ce document constitue la base juridique de la délégation de traitement et protège les deux parties1.

Clauses incontournables

  • objet, durée et finalités du traitement ;
  • type de données et catégories de personnes concernées ;
  • obligations et droits du responsable de traitement ;
  • obligation de confidentialité et de sécurité ;
  • recours à d’autres sous-traitants soumis à autorisation ;
  • assistance en cas de demandes d’exercice de droits ;
  • assistance en matière de sécurité, notification d’incidents et analyses d’impact ;
  • sort des données en fin de contrat (restitution, suppression) ;
  • audit et preuve de conformité.

L’article 28 détaille les mentions obligatoires à intégrer dans un contrat ou un acte juridique liant le sous-traitant au responsable de traitement1.

Organiser le suivi et les audits

Signer un contrat ne suffit pas. Le RGPD impose une logique de pilotage continu : vérifier que les engagements sont respectés, suivre les évolutions techniques et contractuelles, et anticiper les risques.

Dispositif de pilotage recommandé

  • revue annuelle des sous-traitants critiques ;
  • suivi des incidents et des demandes d’assistance RGPD ;
  • contrôle des sous-traitants ultérieurs et des transferts ;
  • plan de continuité et clauses de réversibilité ;
  • mise à jour régulière du registre et des analyses de risques.

Le RGPD impose des mesures de sécurité appropriées et une gouvernance continue de la sécurité, ce qui justifie un suivi régulier des prestataires5.

En résumé

La gestion des sous-traitants ne se limite pas à un contrat. Elle repose sur un triptyque opérationnel : sélectionner des prestataires fiables, contractualiser avec rigueur et piloter dans la durée. Cette approche réduit les risques, renforce la conformité et protège la chaîne de valeur numérique.

  1. RGPD, article 28 — https://gdpr.eu/article-28-processor/ ↩︎ ↩︎ ↩︎ ↩︎

  2. RGPD, article 4 (définitions) — https://gdpr.eu/article-4-definitions/ ↩︎

  3. RGPD, article 30 — https://gdpr.eu/article-30-records-of-processing-activities/ ↩︎

  4. RGPD, article 44 — https://gdpr.eu/article-44/ ↩︎

  5. RGPD, article 32 — https://gdpr.eu/article-32-security-of-processing/ ↩︎ ↩︎