Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Sous-traitant RGPD : obligations, responsabilités et conformité (guide complet)
Vous traitez des données personnelles pour le compte d'un client ? Vous êtes sous-traitant au sens du RGPD. Découvrez toutes vos obligations légales, les sanctions encourues et comment vous mettre en conformité.
Qu’est-ce qu’un sous-traitant au sens du RGPD ?
Au sens de l’article 4 du RGPD, le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
Concrètement, vous êtes sous-traitant RGPD dès lors que vous accédez aux données personnelles de clients qui ne sont pas les vôtres, dans le cadre d’une mission pour un donneur d’ordre. Cela concerne des dizaines de milliers d’entreprises françaises : hébergeurs cloud, agences marketing, éditeurs de logiciels SaaS, cabinets RH, centres d’appels, comptables, prestataires de paie…
Sous-traitant vs responsable de traitement : quelle différence ?
La distinction est fondamentale car elle détermine votre niveau de responsabilité :
| Responsable de traitement | Sous-traitant | |
|---|---|---|
| Décide | Des finalités et des moyens | Non — il exécute |
| Relation | Avec les personnes concernées | Avec le responsable |
| Base légale | Doit la déterminer | Reçoit les instructions |
| Responsabilité | Première ligne | Solidaire si faute prouvée |
| Contrat | Doit exiger un DPA | Doit signer un DPA |
Un même organisme peut être simultanément responsable de traitement (pour ses données RH) et sous-traitant (pour les données de ses clients). La qualification dépend du traitement, pas de la structure.
Les obligations du sous-traitant RGPD : article 28 et au-delà
L’article 28 du RGPD est le texte central pour les sous-traitants. Il impose un cadre contractuel précis et des obligations opérationnelles concrètes.
1. Signer un contrat de sous-traitance (DPA)
Tout traitement confié à un sous-traitant doit être encadré par un Data Processing Agreement (DPA), aussi appelé contrat de sous-traitance de données. Ce document doit obligatoirement mentionner :
- L’objet, la durée, la nature et la finalité du traitement
- Le type de données traitées et les catégories de personnes concernées
- Les obligations et droits du responsable de traitement
- L’interdiction de traiter les données à d’autres fins que celles prescrites
Sans DPA signé, le sous-traitant — et le responsable de traitement — s’exposent à des sanctions directes de la CNIL.
2. N’agir que sur instruction documentée
Le sous-traitant ne peut traiter les données que sur instruction écrite et documentée du responsable. S’il estime qu’une instruction viole le RGPD, il doit en informer le responsable. S’il passe outre les instructions sans signalement, sa responsabilité devient celle d’un responsable de traitement — avec les sanctions afférentes.
3. Garantir la confidentialité
Les personnes autorisées à traiter les données doivent s’être engagées à respecter la confidentialité ou être soumises à une obligation légale de confidentialité. En pratique, cela passe par des clauses dans les contrats de travail et des formations régulières.
4. Assurer la sécurité des données
L’article 32 du RGPD impose au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles appropriées : chiffrement, pseudonymisation, contrôle des accès, plans de continuité, tests de sécurité réguliers. Ces mesures doivent être proportionnées aux risques et documentées.
5. Gérer les sous-traitants ultérieurs
Si vous faites appel à un prestataire pour réaliser tout ou partie du traitement, vous devenez responsable de traitement vis-à-vis de ce tiers — et sous-traitant vis-à-vis de votre client. Vous devez obtenir l’autorisation préalable (générale ou spécifique) du responsable de traitement et imposer à votre propre sous-traitant les mêmes obligations que celles que vous avez acceptées.
6. Tenir un registre des activités de traitement
Les sous-traitants de plus de 250 salariés ont l’obligation de tenir un registre des traitements effectués pour le compte de responsables. En dessous de ce seuil, l’obligation s’applique si les traitements sont susceptibles de comporter un risque, ne sont pas occasionnels, ou portent sur des données sensibles. En pratique, la CNIL recommande à tous les sous-traitants de tenir ce registre.
7. Notifier les violations de données
En cas de violation de données personnelles, le sous-traitant doit notifier le responsable de traitement dans les meilleurs délais — sans délai imposé légalement au sous-traitant, mais la CNIL recommande 24 à 48h pour permettre au responsable de respecter son propre délai de 72h de notification.
8. Aider le responsable à exercer les droits des personnes
Le sous-traitant doit assister le responsable pour répondre aux demandes d’exercice de droits (accès, rectification, effacement, portabilité…) dans les délais légaux. Cette assistance doit être prévue dans le DPA.
9. Restituer ou détruire les données en fin de contrat
À la fin de la prestation, le sous-traitant doit restituer toutes les données au responsable et détruire les copies existantes, sauf obligation légale de conservation. Cette procédure doit être documentée et attestée.
Faut-il désigner un DPO quand on est sous-traitant ?
La désignation d’un Délégué à la Protection des Données (DPO) est obligatoire pour un sous-traitant dans trois cas :
- Si les activités de base consistent en des opérations de traitement à grande échelle
- Si ces traitements exigent un suivi régulier et systématique des personnes
- Si les traitements portent sur des données sensibles ou des données relatives à des condamnations pénales à grande échelle
En dehors de ces cas, la désignation reste fortement recommandée. Pour les sous-traitants de taille intermédiaire, le recours à un DPO externe est souvent la solution la plus économique et la plus opérationnelle.
Quelles sanctions pour un sous-traitant non conforme ?
Depuis l’entrée en vigueur du RGPD, la CNIL dispose du pouvoir de sanctionner directement les sous-traitants. Les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les manquements aux obligations des articles 25 à 39 — et jusqu’à 20 millions d’euros ou 4 % du CA pour les violations les plus graves.
En 2023, plusieurs prestataires techniques ont été sanctionnés directement, sans que leurs clients soient épargnés. La responsabilité est solidaire : le responsable de traitement peut être mis en cause pour ne pas avoir suffisamment vérifié la conformité de ses sous-traitants.
Comment mettre en conformité votre activité de sous-traitance ?
Voici les 5 étapes prioritaires pour un sous-traitant qui part de zéro :
- Cartographier vos traitements — identifier tous les traitements réalisés pour le compte de clients et tenir votre registre sous-traitant
- Auditer vos contrats existants — vérifier que chaque prestation est couverte par un DPA conforme à l’article 28
- Mettre en place des mesures de sécurité — chiffrement, gestion des accès, journalisation, plans de réponse aux incidents
- Former vos équipes — sensibiliser tous les collaborateurs qui accèdent aux données clients
- Désigner un référent ou un DPO — qu’il soit interne ou externe, un interlocuteur dédié est indispensable pour piloter la conformité dans la durée
FAQ — Sous-traitant RGPD
Un auto-entrepreneur peut-il être sous-traitant RGPD ?
Oui. La qualification de sous-traitant ne dépend pas du statut juridique mais de la nature du traitement. Un freelance qui gère les données clients de son donneur d’ordre est bien sous-traitant et doit signer un DPA.
Mon client ne me propose pas de DPA. Que faire ?
C’est votre client (responsable de traitement) qui a l’obligation légale de vous imposer un DPA — mais vous avez aussi intérêt à en demander un, car sans contrat vous êtes exposé. Proposez-lui un modèle de DPA : c’est souvent le moyen le plus rapide de débloquer la situation.
Le RGPD s’applique-t-il aux sous-traitants hors UE ?
Oui, dès lors qu’ils traitent des données de personnes situées dans l’UE pour le compte d’un responsable établi dans l’UE. Les transferts vers des pays tiers doivent être encadrés par des mécanismes appropriés (clauses contractuelles types, décision d’adéquation…).
