L'essentiel à retenir
- Cadre Le RGPD impose un encadrement contractuel précis entre responsable de traitement et sous-traitant.
- Objectif Garantir la conformité des traitements réalisés pour votre compte.
- Obligation Contrat écrit, instructions documentées, sécurité adaptée et contrôle régulier.
- Risque Responsabilité partagée, sanctions de la CNIL et atteinte à la réputation en cas de défaillance.
- Stratégie Cartographier ses prestataires, adapter les clauses contractuelles et piloter la conformité dans la durée.
Aujourd'hui, très peu d'organisations traitent seules leurs données personnelles. Solutions SaaS, hébergement cloud, outils de gestion RH, logiciels CRM ou prestataires informatiques participent quotidiennement à la réalisation des traitements.
Cette réalité transforme profondément la conformité au RGPD. Le respect de vos obligations ne dépend plus uniquement de vos procédures internes. Il repose également sur la manière dont vous sélectionnez, encadrez et pilotez vos prestataires.
Pourtant, de nombreuses structures considèrent encore le contrat de sous-traitance comme une simple formalité administrative. Une fois signé, le document est souvent oublié jusqu'à la survenance d'un incident ou d'un contrôle. C'est précisément à ce moment que ses limites apparaissent.
Le contrat n'est pas seulement un document juridique. C'est un outil de gouvernance des données qui permet de répartir les responsabilités, d'organiser la coopération entre les parties et de démontrer votre conformité.
Qualifier correctement ses prestataires : une étape décisive
Avant même de rédiger un contrat conforme au RGPD, il est nécessaire de déterminer le rôle exact de chaque acteur.
Responsable de traitement ou sous-traitant ?
L'article 4 du RGPD définit le sous-traitant comme la personne physique ou morale qui traite des données à caractère personnel pour le compte d'un responsable de traitement.
Le critère déterminant n'est pas le contrat signé entre les parties mais la réalité de leur intervention. Le responsable de traitement décide des finalités poursuivies et des moyens essentiels du traitement alors que le sous-traitant intervient pour exécuter des instructions prédéfinies par son client.
Cette distinction est fondamentale car elle détermine les obligations applicables à chacun ainsi que la répartition des responsabilités en cas de manquement.
Dans la pratique, les situations sont rarement aussi simples. Un même acteur peut intervenir comme sous-traitant pour certaines opérations et comme responsable de traitement pour d'autres.
À noter
Cette situation est fréquente dans l'écosystème numérique, notamment pour les fournisseurs de services cloud ou de plateformes SaaS.
La méthode proposée par la CNIL
Afin d'aider les organisations à identifier correctement leur rôle, la CNIL s'appuie sur les critères développés par le Comité européen de la protection des données.
L'analyse repose principalement sur trois dimensions :
- la fourniture du service ;
- l'amélioration du service ;
- la sécurité du service et des infrastructures utilisées.
Cette grille d'analyse doit toutefois être adaptée aux circonstances concrètes de chaque relation contractuelle. En cas d'incertitude, il est recommandé de documenter l'analyse menée afin de pouvoir justifier la qualification retenue.
Contrat de sous-traitance RGPD : quelles clauses sont réellement indispensables ?
L'article 28 du RGPD impose l'existence d'un contrat écrit entre le responsable de traitement et son sous-traitant.
Ces exigences ne constituent pas une simple formalité documentaire. Elles ont pour objectif d'encadrer concrètement les traitements réalisés pour votre compte.
Les mentions obligatoires
Le contrat doit notamment préciser :
- l'objet du traitement ;
- sa durée ;
- sa nature ;
- ses finalités ;
- les catégories de données concernées ;
- les catégories de personnes concernées ;
- les obligations et droits du responsable de traitement.
Le contrat doit également imposer au sous-traitant de :
- suivre uniquement les instructions documentées du responsable de traitement ;
- garantir la confidentialité des personnes autorisées à traiter les données ;
- mettre en œuvre des mesures de sécurité adaptées ;
- encadrer toute sous-traitance ultérieure ;
- assister son client dans la gestion des droits des personnes concernées ;
- contribuer aux analyses d'impact relatives à la protection des données (AIPD) ;
- notifier les violations de données ;
- supprimer ou restituer les données à la fin de la prestation ;
- accepter les contrôles et audits.
Pourquoi les clauses standardisées sont souvent insuffisantes
De nombreux contrats reprennent mécaniquement le texte du RGPD. Cette approche permet certes de satisfaire aux exigences minimales de conformité. Elle reste toutefois peu utile sur le plan opérationnel.
Un contrat efficace doit également répondre à des questions pratiques :
- Quel est le délai maximal de notification d'une violation de données ?
- Quelles mesures de sécurité sont attendues ?
- Dans quelles conditions un audit peut-il être réalisé ?
- Quelles sont les limites exactes des instructions données au prestataire ?
La valeur d'un contrat de sous-traitance réside souvent davantage dans ces précisions opérationnelles que dans la simple reproduction du texte réglementaire.
Transferts de données hors de l'Union européenne : une vigilance renforcée
Les transferts internationaux de données ne sont pas interdits mais nécessitent des précautions supplémentaires. Ils doivent cependant reposer sur un mécanisme juridique reconnu par le RGPD.
Les clauses contractuelles types constituent aujourd'hui l'instrument le plus fréquemment utilisé pour encadrer les transferts internationaux.
Elles permettent de créer un cadre juridique destiné à préserver un niveau de protection équivalent à celui garanti au sein de l'Union européenne.
Toutefois, depuis plusieurs années, les autorités européennes insistent sur la nécessité d'aller au-delà de la simple signature des clauses contractuelles types.
Une évaluation complémentaire peut être indispensable afin d'examiner :
- la législation du pays destinataire ;
- les pouvoirs des autorités locales ;
- les risques d'accès aux données ;
- les mesures techniques mises en œuvre pour renforcer leur protection.
Responsabilités : qui répond de quoi ?
La relation entre responsable de traitement et sous-traitant repose sur une logique de responsabilité partagée mais non identique.
Les obligations du responsable de traitement
Le responsable de traitement demeure le principal garant de la conformité.
À ce titre, il doit :
- sélectionner des prestataires présentant des garanties suffisantes ;
- formaliser les relations contractuelles ;
- définir des instructions documentées ;
- contrôler régulièrement les prestations réalisées ;
- documenter ses choix.
Les obligations du sous-traitant
Le sous-traitant agit sous l'autorité du responsable de traitement.
Il doit notamment :
- respecter les instructions reçues ;
- assurer la sécurité des données ;
- garantir leur confidentialité ;
- tenir un registre des traitements réalisés pour le compte de ses clients lorsque la réglementation l'exige ;
- notifier toute violation de données.
Contrairement à une idée répandue, le sous-traitant peut faire l'objet de sanctions directes de la CNIL lorsqu'il méconnaît ses propres obligations.
Mettre en place un pilotage durable de ses sous-traitants
La conformité ne s'arrête pas à la signature d'un contrat.
Cartographier les prestataires
Chaque organisation devrait disposer d'une cartographie actualisée de ses sous-traitants précisant :
- leur rôle ;
- les services fournis ;
- les données concernées ;
- les risques identifiés ;
- la localisation des traitements.
Encadrer la sous-traitance en cascade
De nombreux prestataires font eux-mêmes appel à des sous-traitants.
Il est indispensable de prévoir un mécanisme d'autorisation préalable ainsi qu'un niveau d'exigence équivalent tout au long de la chaîne contractuelle.
Organiser les contrôles
Le contrôle peut prendre différentes formes :
- questionnaires de conformité ;
- audits documentaires ;
- certifications ;
- audits sur site ;
- revues périodiques des engagements contractuels.
L'approche retenue doit toujours être adaptée aux risques présentés par le traitement concerné.
Point de vigilance
Un contrat RGPD n'est jamais figé. L'évolution des services numériques, des traitements réalisés et des risques associés justifie une révision régulière des clauses contractuelles.
Pour terminer, vos questions fréquentes
Comment savoir si un prestataire est réellement sous-traitant ?
La qualification dépend des missions effectivement exercées. Lorsqu'un prestataire détermine lui-même les finalités d'un traitement, il peut être considéré comme responsable de traitement. Une analyse au cas par cas est souvent nécessaire.
Un contrat conforme à l'article 28 du RGPD suffit-il à prouver ma conformité ?
Non. Le contrat constitue un élément essentiel mais il ne remplace ni les mesures organisationnelles, ni les contrôles réguliers, ni la documentation de la conformité. Les autorités examinent également les pratiques concrètes mises en œuvre.
Peut-on engager la responsabilité d'un sous-traitant ?
Oui. Le RGPD prévoit plusieurs hypothèses dans lesquelles un sous-traitant peut être tenu responsable de ses propres manquements. L'analyse dépend toutefois des circonstances et du rôle exact de chaque acteur.
Faut-il auditer tous ses sous-traitants ?
Pas nécessairement avec le même niveau d'intensité. Les contrôles doivent être proportionnés aux risques associés aux traitements réalisés et à la sensibilité des données concernées.
Les transferts hors de l'Union européenne sont-ils interdits ?
Non. Ils sont autorisés lorsqu'ils reposent sur un mécanisme juridique approprié et lorsqu'un niveau de protection suffisant peut être garanti.
Vous souhaitez sécuriser vos relations avec vos prestataires, vérifier vos contrats de sous-traitance ou mettre en conformité votre organisation avec le RGPD ? RELEVE vous accompagne à chaque étape.

