Skip to content Skip to sidebar Skip to footer

Audit RGPD d’un sous-traitant : la méthode opérationnelle


Par David Joseph Atias, avocat au Barreau de Paris · LinkedIn · Juillet 2026

Choisir un sous-traitant ne se limite pas à signer un contrat. Le RGPD impose de vérifier ses garanties, avant et pendant la relation. L’audit RGPD d’un sous-traitant est cette vérification, trop souvent négligée. Pourtant, en cas de violation de données chez un prestataire, le responsable de traitement qui n’a rien contrôlé engage sa propre responsabilité. La CNIL examine désormais la chaîne de sous-traitance de près. Cet article présente la méthode opérationnelle en 7 étapes pour auditer un sous-traitant, les documents à examiner et les pièges à éviter, afin de transformer une obligation en réflexe de protection.

SOMMAIRE

  1. Pourquoi l’audit RGPD d’un sous-traitant est stratégique en 2026
  2. Le cadre juridique applicable
  3. La méthode en 7 étapes
  4. Tableau de synthèse des étapes
  5. Les 5 pièges à éviter
  6. Pourquoi faire appel à Atias Avocats
  7. FAQ — Questions fréquentes

1. Pourquoi l’audit RGPD d’un sous-traitant est stratégique en 2026

Vérifier ses sous-traitants n’est plus optionnel. La responsabilité du responsable de traitement s’étend à ses prestataires. Trois dynamiques renforcent l’importance de cette vérification en 2026.

1.1 Une obligation dont il faut prouver le respect

Le RGPD impose de ne choisir que des sous-traitants offrant des garanties suffisantes. Mais cette obligation va plus loin : le responsable doit pouvoir le prouver. C’est le principe d’accountability. Sans audit documenté, cette preuve est impossible. L’audit RGPD d’un sous-traitant devient donc la trace concrète d’une vérification exigée par la loi. Il matérialise une diligence dont l’absence est un manquement.

1.2 Des contrôles CNIL sur toute la chaîne

La CNIL ne se limite plus au contrat principal. Elle examine la réalité de la conformité, y compris chez les sous-traitants. Un prestataire défaillant révèle souvent l’absence de contrôle du responsable. Les sanctions atteignent 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Vérifier ses sous-traitants devient donc une protection directe contre le risque de sanction. La chaîne entière est désormais scrutée.

1.3 Des risques nouveaux liés à l’IA

En 2026, de nombreux sous-traitants intègrent des fonctions d’IA. Ces fonctions peuvent traiter les données de façon inattendue, par exemple pour entraîner des modèles. L’audit doit donc désormais interroger ces usages, en cohérence avec l’AI Act (Règlement UE 2024/1689). La vérification s’étend ainsi aux nouveaux risques technologiques. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.

2. Le cadre juridique applicable

L’audit RGPD d’un sous-traitant repose sur un socle précis. Quatre fondements principaux justifient et encadrent cette vérification.

2.1 Les garanties suffisantes (article 28.1 du RGPD)

L’article 28 paragraphe 1 du RGPD est le fondement de l’audit. Il impose de ne recourir qu’à des sous-traitants présentant des garanties suffisantes de conformité. Ces garanties portent sur la sécurité, l’organisation et le sérieux du prestataire. Le responsable doit les vérifier avant de confier les données. L’audit est l’outil de cette vérification. Sans lui, l’exigence de garanties suffisantes reste théorique.

2.2 Le principe d’accountability (article 5.2)

L’article 5 paragraphe 2 du RGPD impose la responsabilité de démontrer sa conformité. La charge de la preuve pèse sur le responsable de traitement. Il doit pouvoir prouver qu’il a vérifié ses sous-traitants. Un audit documenté constitue cette preuve. En cas de contrôle, il démontre la diligence accomplie. L’audit RGPD d’un sous-traitant n’est donc pas seulement utile : il est probatoire.

2.3 Le droit d’audit contractuel (article 28.3)

L’article 28 paragraphe 3 du RGPD prévoit que le sous-traitant met à disposition du responsable les informations nécessaires et permet des audits. Ce droit d’audit doit figurer dans le DPA (Data Processing Agreement, l’accord de sous-traitance). Il fonde la possibilité concrète de contrôler le prestataire. Un DPA qui vide ce droit de sa substance est problématique. Le droit d’audit est la clé opérationnelle de la vérification.

2.4 La sécurité et l’AI Act

L’article 32 du RGPD impose des mesures de sécurité adaptées, que l’audit doit vérifier. De plus, lorsque le sous-traitant utilise un système d’IA, le Règlement UE 2024/1689 (AI Act) ajoute des obligations : transparence, surveillance humaine, encadrement des systèmes à haut risque. L’audit moderne intègre donc ces nouveaux points de contrôle. Il croise plusieurs réglementations. Pour aller plus loin, consultez nos services en matière de contrats commerciaux et IT.

3. La méthode en 7 étapes

Un audit efficace suit une méthode structurée en sept étapes. Chacune vérifie un aspect essentiel de la conformité du sous-traitant.

3.1 Cartographier le traitement et le risque

La première étape situe l’enjeu. Il faut identifier les données confiées au sous-traitant, leur nature (sensibles ou non), leur volume et les finalités. Cette cartographie détermine le niveau de risque et donc l’intensité de l’audit. Un traitement de données sensibles exige un contrôle renforcé. Cette première étape oriente toute la démarche. Elle évite un audit disproportionné ou insuffisant.

3.2 Examiner le DPA et sa conformité

La deuxième étape vérifie le contrat. Le DPA doit respecter les mentions obligatoires de l’article 28 : finalités, durée, obligations, sécurité, sous-traitance ultérieure. Il faut vérifier que le droit d’audit est réel et que les responsabilités sont équilibrées. Un DPA lacunaire est un premier signal d’alerte. L’examen du contrat est le socle de l’audit RGPD d’un sous-traitant.

3.3 Contrôler les mesures de sécurité (TOMS)

La troisième étape porte sur la sécurité. Il faut examiner l’annexe TOMS (mesures techniques et organisationnelles) et sa précision. Les mesures sont-elles concrètes et adaptées au risque ? Le chiffrement, le contrôle d’accès, la journalisation sont-ils décrits ? Les certifications (ISO 27001, SOC 2) confortent l’analyse. Une sécurité vague est un facteur de risque majeur à documenter.

3.4 Vérifier la chaîne de sous-traitance

La quatrième étape remonte la cascade. Il faut obtenir la liste des sous-traitants ultérieurs du prestataire et vérifier leurs garanties. Le régime d’autorisation et d’information est-il respecté ? Les obligations sont-elles répercutées en cascade ? Un maillon faible en aval fragilise toute la chaîne. Cette vérification est souvent négligée, alors qu’elle est essentielle.

3.5 Analyser les transferts hors UE

La cinquième étape traite de la localisation. Les données sont-elles hébergées ou accessibles hors de l’Union européenne ? Si oui, quelles garanties encadrent ces transferts ? L’arrêt Schrems II de la CJUE (C-311/18) impose des clauses contractuelles types et une analyse d’impact des transferts. Un transfert non encadré est une non-conformité grave. Cette étape est cruciale pour les prestataires internationaux.

3.6 Évaluer la gestion des violations et de l’IA

La sixième étape teste la réactivité. Comment le sous-traitant détecte-t-il et notifie-t-il les violations de données ? Le délai d’alerte permet-il de respecter les 72 heures envers la CNIL (article 33) ? Si le prestataire utilise de l’IA, ses usages sont-ils encadrés au regard de l’AI Act ? Cette étape évalue la capacité de réaction et les risques technologiques nouveaux.

3.7 Formaliser le rapport et le plan d’action

La septième étape conclut l’audit. Il faut formaliser un rapport écrit, qui constate les points conformes et les écarts. Ce rapport hiérarchise les non-conformités et propose un plan de remédiation avec des délais. Il constitue la preuve de la diligence accomplie. Sans formalisation, l’audit perd sa valeur probatoire. Le rapport est le livrable essentiel de la démarche.

4. Tableau de synthèse des étapes

Le tableau ci-dessous synthétise les 7 étapes de l’audit, leur objet et leur niveau de criticité.

ÉtapeObjetCriticité
1. Cartographier le risqueCalibrer l’audit🟠 Élevée
2. Examiner le DPAVérifier le contrat (art. 28)🔴 Critique
3. Contrôler la sécurité (TOMS)Protéger les données🔴 Critique
4. Vérifier la chaîneContrôler les sous-traitants🟠 Élevée
5. Analyser les transfertsEncadrer le hors UE (Schrems II)🔴 Critique
6. Violations et IATester la réactivité🟠 Élevée
7. Rapport et plan d’actionProuver la diligence🔴 Critique

5. Les 5 pièges à éviter

Au-delà de la méthode, plusieurs pièges récurrents fragilisent l’audit. Les identifier permet de le rendre réellement efficace.

5.1 Se contenter d’un questionnaire déclaratif

Le premier piège est l’audit purement déclaratif. Envoyer un questionnaire et se fier aux réponses ne suffit pas. Un sous-traitant peut affirmer sa conformité sans la démontrer. Il faut demander des preuves : certificats, extraits de politique, rapports. L’audit RGPD d’un sous-traitant doit confronter les déclarations à des éléments tangibles. Croire sur parole est le risque le plus courant.

5.2 Négliger les sous-traitants ultérieurs

Le deuxième piège est l’oubli de la cascade. Auditer le prestataire direct sans regarder ses propres sous-traitants laisse un angle mort. Or, la responsabilité s’étend à toute la chaîne. Un maillon lointain non conforme peut suffire à créer une faille. Il faut donc exiger la liste des sous-traitants ultérieurs et vérifier leurs garanties. La chaîne entière doit être auditée.

5.3 Confondre certification et conformité

Le troisième piège est l’excès de confiance dans les certifications. Une certification (ISO 27001, SOC 2) est utile, mais ne prouve pas tout. Elle atteste d’un référentiel, pas de la conformité RGPD complète du traitement précis. Il faut donc l’analyser de façon critique, en vérifiant son périmètre et sa validité. Une certification n’est pas un blanc-seing. Elle conforte l’audit sans le remplacer.

5.4 Oublier de formaliser le rapport

Le quatrième piège est l’audit non documenté. Vérifier sans écrire ne laisse aucune preuve. Or, l’accountability exige de démontrer la diligence. Un audit non formalisé est, pour la CNIL, un audit inexistant. Il faut donc rédiger un rapport constatant les points vérifiés, les écarts et le plan d’action. La formalisation transforme la vérification en preuve opposable.

5.5 Auditer une fois puis oublier

Le cinquième piège est l’audit ponctuel. Vérifier un sous-traitant à la signature, puis ne jamais y revenir, est insuffisant. La conformité évolue : les mesures changent, de nouveaux sous-traitants apparaissent, l’IA s’ajoute. Un suivi périodique est indispensable, surtout pour les prestataires critiques. L’audit RGPD d’un sous-traitant est un processus continu, pas un acte unique. La vérification doit vivre dans le temps.

6. Pourquoi faire appel à Atias Avocats

Conduire un audit RGPD d’un sous-traitant exige une combinaison rare de compétences : maîtrise du RGPD et de l’article 28 (garanties suffisantes, DPA, droit d’audit), compréhension des mesures de sécurité (annexe TOMS, certifications), connaissance des transferts internationaux (arrêt Schrems II, clauses contractuelles types) et des enjeux de l’AI Act lorsque le prestataire utilise de l’IA. À cela s’ajoute une méthode structurée et une capacité à formaliser des rapports opposables. Cette pluridisciplinarité est précisément la valeur ajoutée d’un cabinet spécialisé en protection des données et contrats IT.

Atias Avocats accompagne DPO, DSI, directions juridiques, directions achats, fondateurs et grands groupes sur l’ensemble du sujet : audit sur pièces ou approfondi d’un sous-traitant, mise en place d’un programme d’audit du parc de prestataires, élaboration d’un questionnaire et d’une grille d’évaluation, rédaction du rapport et du plan de remédiation, cartographie de la chaîne de sous-traitance, mise en conformité Schrems II et AI Act. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.

Conclusion

Auditer ses sous-traitants n’est pas une option, c’est une obligation dont il faut prouver le respect. Le responsable de traitement qui néglige cette vérification engage sa propre responsabilité en cas de défaillance de son prestataire. La méthode en sept étapes présentée ici — cartographier, examiner le DPA, contrôler la sécurité, vérifier la chaîne, analyser les transferts, tester la réactivité, formaliser le rapport — combinée à la vigilance sur les cinq pièges classiques, offre un référentiel directement utilisable par DPO, DSI et directions juridiques.

À l’heure des contrôles renforcés et de l’IA, l’audit RGPD d’un sous-traitant est un pilier de la conformité. Le réflexe à adopter est clair : cartographier le risque, examiner les documents, vérifier la chaîne, formaliser un rapport et renouveler la démarche. C’est précisément cette rigueur qui transforme une obligation en protection réelle et durable.

FAQ — Questions fréquentes

Pourquoi auditer un sous-traitant RGPD ?

Parce que le RGPD l’impose au responsable de traitement. L’article 28 paragraphe 1 exige de ne recourir qu’à des sous-traitants présentant des garanties suffisantes quant à la protection des données. Cette vérification n’est pas une simple formalité : c’est une obligation dont le responsable doit pouvoir prouver le respect (principe d’accountability, article 5). L’audit RGPD d’un sous-traitant permet de vérifier concrètement ces garanties avant et pendant la relation. En cas de violation de données chez le sous-traitant, le responsable qui n’a pas vérifié les garanties engage sa propre responsabilité. L’audit protège donc l’entreprise face à la CNIL, dont les contrôles portent de plus en plus sur la chaîne de sous-traitance. C’est une démarche à la fois obligatoire et protectrice, qui conditionne la conformité globale des traitements.

Quels documents examiner lors d’un audit de sous-traitant ?

Plusieurs documents clés doivent être examinés. Le DPA (Data Processing Agreement, l’accord de sous-traitance de l’article 28) et sa conformité aux mentions obligatoires. L’annexe TOMS (mesures techniques et organisationnelles de sécurité) et sa précision. La liste des sous-traitants ultérieurs et leurs garanties. La politique de gestion des violations de données et les délais de notification. Les certifications éventuelles (ISO 27001, SOC 2, HDS pour la santé). La documentation sur les transferts hors Union européenne (clauses contractuelles types, analyse d’impact). Le registre des traitements du sous-traitant, s’il est accessible. Un audit complet croise ces documents avec les réponses à un questionnaire et, si possible, une vérification sur place ou à distance. L’objectif est de confronter les engagements affichés à la réalité opérationnelle.

Un audit sur pièces suffit-il ou faut-il un audit sur site ?

Cela dépend du risque. Pour un traitement à faible risque, un audit sur pièces (questionnaire, examen documentaire, certifications) est souvent suffisant. Pour un traitement à risque élevé (données sensibles, volume important, sous-traitant critique), un audit plus poussé s’impose, incluant si possible une vérification sur site ou à distance. Le RGPD donne au responsable un droit d’audit (article 28), qu’il faut prévoir contractuellement. En pratique, beaucoup de sous-traitants proposent des rapports de certification en lieu et place d’un audit direct. Ces rapports sont utiles, mais ne dispensent pas d’une analyse critique. Un audit proportionné au risque est la bonne approche : ni excessif pour les traitements bénins, ni superficiel pour les traitements sensibles. La proportionnalité guide l’intensité du contrôle.

À quelle fréquence auditer ses sous-traitants ?

Il n’existe pas de fréquence légale imposée, mais une logique de proportionnalité s’applique. Un audit initial doit précéder ou accompagner la conclusion du contrat, pour vérifier les garanties avant de confier les données. Ensuite, un suivi périodique est nécessaire, car la conformité n’est pas figée : les sous-traitants changent, les mesures évoluent, de nouveaux sous-traitants ultérieurs apparaissent. Pour les sous-traitants critiques, une revue annuelle est recommandée. Pour les autres, une revue tous les deux à trois ans peut suffire. Un audit doit aussi être déclenché par tout événement significatif : violation de données, changement d’hébergeur, ajout d’une fonction d’IA. La vérification n’est donc pas un acte unique, mais un processus continu adapté au niveau de risque.


Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris

Atias Avocats — RGPD, Sous-traitance, Audit, Protection des données

Retour en haut