Sous-traitant RGPD : pourquoi évaluer vos prestataires est devenu un enjeu vital pour votre entreprise

Confier le traitement de ses données à un prestataire ne dispense jamais l’entreprise de ses responsabilités. Depuis 2021, la CNIL a multiplié les sanctions contre des organisations qui n’avaient pas correctement évalué ou encadré leur sous-traitant RGPD : 1 million d’euros contre Mobius Solutions en décembre 2025, 1,5 million contre Dedalus Biologie, 600 000 € contre le Groupe Canal+, 800 000 € contre Discord. Le message est clair : déléguer le traitement de données personnelles n’est pas déléguer la conformité.

Pour les dirigeants, le sujet a basculé du juridique vers la gestion des risques. Évaluer ses prestataires, formaliser le contrat de sous-traitance RGPD, surveiller la chaîne dans la durée : ce sont des obligations légales dont le non-respect coûte cher.

Comprendre le rôle du sous-traitant RGPD et ses obligations

Qui est sous-traitant au sens du RGPD ?

Le RGPD définit le sous-traitant comme toute personne physique ou morale qui traite des données personnelles pour le compte d’un responsable de traitement. Dès qu’un prestataire accède, héberge, analyse ou stocke des données personnelles que vous lui confiez, il est sous-traitant : hébergeurs cloud, éditeurs SaaS, prestataires de paie, agences marketing, centres d’appels, CRM, prestataires d’emailing, sociétés de maintenance informatique.

La frontière avec le statut de responsable de traitement n’est pas toujours évidente. Un prestataire qui décide de la finalité ou des moyens d’un traitement bascule dans la catégorie supérieure et porte alors la pleine responsabilité. C’est précisément le piège dans lequel est tombée Mobius Solutions Ltd, sanctionnée d’un million d’euros par la CNIL en décembre 2025 pour avoir réutilisé des données de Deezer afin d’améliorer ses propres services, en dehors de toute instruction de son client.

Les obligations du sous-traitant inscrites dans l’article 28

L’article 28 du RGPD énumère précisément les obligations du sous-traitant : agir uniquement sur instructions documentées, garantir la confidentialité des personnes habilitées, mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées, assister le responsable de traitement dans la gestion des droits des personnes et la déclaration des violations, supprimer ou restituer les données en fin de prestation, et tenir un registre des activités de traitement propre à son activité.

Cette dernière obligation est souvent oubliée. La CNIL l’a pourtant retenue dans plusieurs sanctions récentes, dont l’affaire Mobius Solutions. Ne pas tenir de registre, c’est se priver de la principale preuve de conformité en cas de contrôle.

Sous-traitance en cascade : l’autorisation préalable obligatoire

Un sous-traitant ne peut faire appel à un sous-traitant ultérieur (« en cascade ») qu’avec autorisation écrite préalable, spécifique ou générale, du responsable de traitement. En cas d’autorisation générale, il doit informer son client de tout changement pour lui permettre d’objecter. Un éditeur SaaS qui s’appuie sur un hébergeur cloud, qui utilise lui-même un sous-prestataire de monitoring, doit pouvoir documenter chaque maillon.

L’obligation d’évaluer ses sous-traitants : un devoir trop souvent négligé

Une obligation explicite et structurante du RGPD

L’article 28 paragraphe 1 du RGPD est sans ambiguïté : le responsable de traitement « fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes ». Ce n’est pas une recommandation, c’est une obligation positive. Le dirigeant doit s’assurer, avant de contractualiser, que son prestataire dispose des compétences, des procédures et de l’organisation pour traiter les données conformément au règlement.

Cela suppose une procédure d’évaluation formalisée : grille de critères, questionnaire de conformité, demande de pièces justificatives (politique de sécurité, certifications, DPA, registre, désignation d’un DPO), analyse des sous-traitants ultérieurs, vérification de la localisation des serveurs et des éventuels transferts de données hors UE. Cette évaluation doit être tracée et conservée — sans elle, le dirigeant ne pourra démontrer ni sa diligence ni sa conformité au principe d’accountability.

Les sanctions CNIL qui doivent alerter les dirigeants

En 2024, la CNIL a prononcé 87 sanctions pour plus de 55 millions d’euros. Plusieurs dossiers récents montrent qu’évaluer et encadrer ses prestataires est devenu un terrain de contrôle privilégié.

L’affaire Dedalus Biologie (avril 2022, 1,5 million d’euros) reste emblématique. La CNIL a sanctionné cet éditeur de logiciels pour laboratoires médicaux après une fuite massive de données de santé. Au-delà du défaut de sécurité, c’est l’absence de mentions obligatoires de l’article 28 dans ses contrats standards qui a été lourdement retenue. Cette décision a marqué un tournant : un sous-traitant peut être directement sanctionné s’il ne formalise pas correctement la relation, indépendamment de la responsabilité du client.

L’affaire Mobius Solutions Ltd / Deezer (décembre 2025, 1 million d’euros) illustre les manquements les plus fréquents : conservation des données au-delà de la fin du contrat, traitement en dehors des instructions du client, absence de registre, défaut de mesures de sécurité ayant conduit à la publication des données de plusieurs millions d’utilisateurs sur le darknet.

L’affaire Discord (2022, 800 000 €) sanctionne du côté du responsable de traitement l’absence de contrat conforme à l’article 28. Le Groupe Canal+, condamné à 600 000 € en 2022, l’a été notamment pour l’absence d’accords contractuels suffisants. Dès le 27 janvier 2021, la CNIL inaugurait sa doctrine en sanctionnant simultanément un responsable de traitement (150 000 €) et son sous-traitant (75 000 €) pour défaut de mesures contre le credential stuffing.

Ce que la CNIL examine dans ses contrôles

Au fil des décisions, la grille de contrôle de la CNIL s’est précisée. L’autorité vérifie l’existence d’un contrat de sous-traitance RGPD écrit et conforme à l’article 28, la documentation des instructions, la liste à jour des sous-traitants ultérieurs, les mesures techniques et organisationnelles effectivement mises en œuvre, les procédures de notification d’une violation de données, les modalités d’assistance aux droits des personnes, les conditions de fin de contrat et la traçabilité des audits réalisés.

Pour préparer votre organisation à ces points de contrôle, notre guide complet sur l’audit de conformité RGPD détaille la méthodologie à appliquer.

Vous souhaitez sécuriser votre chaîne de sous-traitance et démontrer votre conformité ? 

Construire un encadrement contractuel solide : le contrat de sous-traitance RGPD

Les clauses obligatoires de l’article 28 paragraphe 3

Le DPA (Data Processing Agreement), ou contrat de sous-traitance RGPD, doit comporter un socle de clauses imposées par le règlement : objet et durée du traitement, nature et finalité, type de données et catégories de personnes, obligations et droits du responsable de traitement. Il doit également intégrer huit engagements précis du sous-traitant : agir sur instructions documentées, garantir la confidentialité, prendre les mesures de sécurité requises, n’engager des sous-traitants ultérieurs qu’avec autorisation, aider à répondre aux demandes des personnes, assister en matière de sécurité et de notification, restituer ou supprimer les données en fin de contrat, mettre à disposition toutes les informations nécessaires aux audits.

Les conditions générales standards d’un éditeur ne suffisent généralement pas, comme la CNIL l’a reproché à Dedalus et à plusieurs prestataires sanctionnés depuis. Un examen contrat par contrat est indispensable.

Les pièges à éviter dans la rédaction

Plusieurs erreurs fragilisent régulièrement la conformité. Une clause d’exonération totale de responsabilité du sous-traitant est inopposable à la CNIL comme à la victime d’une fuite. Une liste de sous-traitants ultérieurs absente ou non mise à jour expose le responsable de traitement à un manquement. Des mesures de sécurité décrites de manière vague ne suffisent pas : la CNIL attend un référentiel concret, vérifiable, daté. L’absence de procédure de notification de violation, ou des délais incompatibles avec les 72 heures imposées au responsable de traitement, est systématiquement retenue contre les sous-traitants défaillants.

Le rôle central du DPO et de la gouvernance des données

Le DPO (Délégué à la Protection des Données) joue un rôle pivot : il pilote l’évaluation des prestataires, valide les clauses contractuelles, supervise le registre des sous-traitants et alerte la direction sur les risques. À défaut de DPO, ces missions doivent être portées par une fonction identifiée. La gouvernance des données repose largement sur cette capacité à faire vivre la relation avec les sous-traitants dans le temps.

Piloter la relation dans la durée : audits, surveillance et incidents

Une obligation continue, pas une formalité de signature

Contractualiser ne suffit pas. Le responsable de traitement doit s’assurer dans la durée que son prestataire respecte ses engagements : audits périodiques, revue annuelle du DPA, mise à jour systématique en cas de changement (nouveau sous-traitant ultérieur, nouveau périmètre, nouvelle localisation des serveurs).

La CNIL est explicite : le recours à un sous-traitant n’exonère jamais le responsable de traitement de son obligation de vigilance. La sanction de Canal+ a reposé précisément sur le constat que le contrôle effectif des prestataires n’était pas mis en œuvre. À l’inverse, une entreprise capable de produire comptes rendus d’audit, questionnaires complétés et plans d’action démontre concrètement sa diligence, même en cas d’incident.

Le module Sous-traitants de Viqtor centralise l’évaluation, le contrat, les sous-traitants ultérieurs, les audits et l’historique des échanges dans un référentiel unique.

Réagir à une violation de données impliquant un prestataire

Une part significative des violations déclarées chaque année à la CNIL implique un sous-traitant. Le responsable de traitement doit donc prévoir, dès la contractualisation, un dispositif d’alerte rapide. Le sous-traitant est tenu d’informer son client « dans les meilleurs délais », ce qui en pratique signifie 24 à 48 heures pour permettre une notification dans le délai légal de 72 heures à la CNIL. Notre page dédiée à la déclaration de violation de données en détaille les étapes.

Ce que vous devez noter

  • Tout prestataire qui traite des données personnelles pour votre compte est un sous-traitant RGPD, et engage votre responsabilité comme la sienne.
  • L’évaluation préalable d’un sous-traitant est une obligation explicite de l’article 28 paragraphe 1 du RGPD, pas une bonne pratique.
  • Le contrat de sous-traitance RGPD (DPA) doit comporter toutes les clauses obligatoires de l’article 28 ; les conditions générales standards ne suffisent presque jamais.
  • Les sanctions CNIL récentes (Mobius 1 M€, Dedalus 1,5 M€, Canal+ 600 k€, Discord 800 k€) montrent que l’autorité sanctionne aussi bien les prestataires défaillants que les donneurs d’ordre négligents.
  • La conformité se prouve par la documentation : registre, audits, comptes rendus, plans d’action.
  • Une relation de sous-traitance se pilote dans la durée, pas seulement à la signature.

FAQ —Sous-traitant RGPD

Le sous-traitant doit agir uniquement sur instructions documentées du responsable de traitement, garantir la confidentialité, mettre en œuvre des mesures de sécurité appropriées, tenir un registre de ses activités, assister son client dans la gestion des droits et des violations, ne recourir à des sous-traitants ultérieurs qu’avec autorisation écrite, et restituer ou supprimer les données en fin de contrat.

Oui, avec autorisation écrite préalable du responsable de traitement, spécifique ou générale. En cas d’autorisation générale, le sous-traitant doit informer son client de tout changement pour lui permettre d’objecter. Le sous-traitant initial reste pleinement responsable de l’exécution des obligations par le sous-traitant ultérieur, et doit lui imposer les mêmes obligations contractuelles.

Un sous-traitant peut être sanctionné par la CNIL jusqu’à 10 millions d’euros ou 2 % de son chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Mobius Solutions Ltd (1 million en décembre 2025) et Dedalus Biologie (1,5 million en avril 2022) en sont les illustrations récentes. Le sous-traitant peut également engager sa responsabilité civile vis-à-vis des personnes concernées au titre de l’article 82.

Le DPA doit décrire l’objet, la durée, la nature et la finalité du traitement, les catégories de données et de personnes, et intégrer les huit engagements de l’article 28 paragraphe 3 : instructions documentées, confidentialité, sécurité, encadrement des sous-traitants ultérieurs, assistance aux droits des personnes, assistance à la notification, restitution ou destruction des données en fin de contrat, mise à disposition des informations pour les audits. La liste des sous-traitants ultérieurs doit être annexée.

L’évaluation repose sur quelques critères clés : existence d’un DPA conforme, présence d’un DPO, localisation des données (UE de préférence), certifications de sécurité (ISO 27001, HDS pour la santé), liste à jour des sous-traitants ultérieurs, références et historique d’incidents. Un questionnaire de conformité formalisé, complété et conservé, constitue la preuve de votre diligence en cas de contrôle.

Un hébergeur cloud qui héberge des données personnelles pour un client est sous-traitant. Il doit assurer la sécurité (chiffrement, contrôle d’accès, sauvegardes), informer son client en cas de violation, encadrer ses sous-traitants ultérieurs, permettre la portabilité et la suppression effective des données, et fournir une transparence sur la localisation et les transferts. Pour les données de santé, des certifications spécifiques comme HDS sont requises.

Évaluer, encadrer et piloter vos sous-traitants ne s’improvise pas.

Pour aller plus loin : retrouvez l’ensemble de nos ressources sur la conformité RGPD sur la plateforme Viqtor.

fr_FRFR