RGPD

Sous-traitants : la checklist Article 28 du RGPD

Tout SaaS, hébergeur ou prestataire qui touche à vos données est un sous-traitant. L'Article 28 vous impose des garanties écrites. Voici la checklist pratique pour cadrer chaque relation.

Équipe RGPD Vision 18 mars 2026 8 min de lecture

Vous utilisez un CRM ? Un logiciel de paie ? Un outil d'emailing ? Un hébergeur ? À chaque fois, vous confiez des données personnelles à un tiers. C'est un sous-traitant au sens RGPD. Et l'Article 28 vous impose un cadre contractuel précis. Voici comment ne rien rater.

Qu'est-ce qu'un sous-traitant exactement ?

L'Article 4 du RGPD définit le sous-traitant comme "toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable de traitement".

En clair : si un tiers héberge, manipule ou consulte vos données clients/salariés dans le cadre d'une prestation pour vous, c'est un sous-traitant. Peu importe qu'il soit grand (Google, Microsoft) ou petit (votre comptable de quartier).

Les sous-traitants qu'on oublie le plus souvent

  • Le logiciel de comptabilité en SaaS
  • L'outil de signature électronique
  • L'outil d'emailing (Mailchimp, Brevo, MailerLite…)
  • L'hébergeur web
  • Le CRM
  • L'outil de support client (Zendesk, Crisp, Intercom…)
  • L'outil de visio qui enregistre les réunions
  • L'expert-comptable externe
  • L'agence marketing qui gère vos pubs
  • Le prestataire RH (paie, recrutement)

Ce que l'Article 28 exige

Pour chaque sous-traitant, vous devez disposer d'un contrat écrit (souvent appelé DPA — Data Processing Agreement — ou "Avenant RGPD") qui contient au minimum :

Les obligations du sous-traitant

  1. Ne traiter les données que sur instructions documentées du responsable
  2. S'assurer que ses propres salariés sont formés et soumis à confidentialité
  3. Mettre en place les mesures de sécurité techniques et organisationnelles appropriées (chiffrement, sauvegardes, contrôle d'accès…)
  4. Ne pas recourir à un sous-sous-traitant sans autorisation préalable du responsable
  5. Aider le responsable à répondre aux demandes des personnes concernées (droit d'accès, rectification, effacement…)
  6. Notifier sans délai toute violation de données (au plus vite, idéalement < 24h)
  7. Permettre les audits à la demande du responsable
  8. À la fin du contrat : restituer ou détruire toutes les données

Les éléments à inclure dans le contrat

  • L'objet et la durée du traitement
  • La nature et la finalité du traitement
  • Le type de données personnelles concernées
  • Les catégories de personnes concernées
  • Les obligations et droits des deux parties

La checklist pratique pour chaque sous-traitant

  1. ☐ J'ai un contrat ou DPA écrit avec ce sous-traitant
  2. ☐ Le sous-traitant héberge en UE (ou justifie son hébergement hors UE par une décision d'adéquation ou des clauses contractuelles types)
  3. ☐ Il propose une liste de ses sous-sous-traitants et m'informe en cas de changement
  4. ☐ Il publie une page de sécurité (certifications ISO 27001, SOC 2, audits…)
  5. ☐ Il a une procédure de notification de violation
  6. ☐ Il propose un contact DPO ou équivalent
  7. ☐ Il s'engage à restituer ou détruire les données à la fin du contrat
  8. ☐ Mes collaborateurs sont informés de l'existence de ce sous-traitant

Si plus de 2 cases ne sont pas cochées, ouvrez le dialogue avec le sous-traitant ou envisagez d'en changer.

Les bons réflexes

Avant de souscrire à un nouveau SaaS

Cherchez sur leur site la page Trust Center, Sécurité, ou RGPD. Les acteurs sérieux la mettent en avant. S'ils n'ont rien de tel, prudence.

Périodiquement

Au moins une fois par an, faites le tour de vos sous-traitants. Certains ont disparu, d'autres se sont enrichis de nouvelles pratiques. Tenez votre liste à jour.

En cas de violation chez un sous-traitant

C'est vous qui restez responsable vis-à-vis des personnes concernées et de la CNIL. Le sous-traitant doit vous notifier rapidement, mais c'est à vous de prévenir vos clients ou salariés concernés (sous 72 h pour la CNIL — Article 33).

Cas particulier : transferts hors UE

Si votre sous-traitant traite ou héberge des données hors de l'Union européenne, des règles particulières s'appliquent (Articles 44 à 50). En pratique, depuis l'invalidation du Privacy Shield, les transferts vers les États-Unis sont juridiquement fragiles. Privilégiez les acteurs européens dès que possible.

L'Article 28, c'est en réalité un puissant levier de qualité pour vos achats numériques. Quand vous l'appliquez sérieusement, vous écartez naturellement les fournisseurs douteux et construisez un écosystème plus solide.

Équipe RGPD Vision

Article rédigé par l'équipe RGPD Vision pour vous accompagner dans votre mise en conformité. Une question sur ce sujet ?

Cet article résonne avec votre situation ?

Démarrez votre mise en conformité avec RGPD Vision. Sans démo, sans engagement.