Par Joseph David Atias, avocat au Barreau de Paris · LinkedIn · Mai 2026
Le responsable de traitement reste pleinement responsable des manquements RGPD de ses sous-traitants — c’est l’un des principes structurants du règlement européen, trop souvent sous-estimé en pratique. Sans audit sous-traitant RGPD structuré, une grande entreprise compte aujourd’hui en moyenne entre 50 et 300 sous-traitants traitant des données personnelles : SaaS, infogéreurs, prestataires marketing, agences, hébergeurs, outils IA. La défaillance d’un seul peut déclencher une sanction CNIL massive contre le responsable. Le bon réflexe n’est plus de signer un DPA standard puis d’oublier le sujet : c’est de structurer une démarche complète d’audit sous-traitant RGPD en cinq étapes. Cet article détaille cette méthode opérationnelle.
SOMMAIRE
- Pourquoi auditer ses sous-traitants est une obligation structurante
- Les 5 étapes pour choisir et auditer ses sous-traitants
- Tableau de synthèse : les critères et leur fondement
- Les pièges les plus fréquents en pratique
- Pourquoi faire appel à Atias Avocats
- FAQ — Questions fréquentes
1. Pourquoi auditer ses sous-traitants est une obligation structurante
La démarche d’audit sous-traitant RGPD n’est pas une bonne pratique optionnelle : c’est une obligation juridique structurante qui découle directement de l’architecture du règlement européen. Comprendre cette obligation et ses sanctions est la condition d’une approche méthodologique sérieuse plutôt que cosmétique.
1.1 L’obligation de l’article 28.1 du RGPD
L’article 28.1 du RGPD impose au responsable de traitement de ne recourir qu’à des sous-traitants qui présentent des garanties suffisantes en matière de mise en œuvre de mesures techniques et organisationnelles appropriées. Cette formulation, en apparence générale, crée une véritable obligation de vigilance. Le responsable ne peut se contenter de la déclaration unilatérale du sous-traitant : il doit vérifier objectivement ces garanties, idéalement par des certifications, des questionnaires, ou des audits.
1.2 La responsabilité conservée du responsable
Un principe central du RGPD est que le responsable de traitement conserve sa responsabilité même lorsqu’il recourt à un sous-traitant. La CNIL a sanctionné à plusieurs reprises des responsables de traitement pour des fuites de données ou des manquements survenus chez leurs sous-traitants. Le raisonnement est constant : le défaut de vigilance dans la sélection et le suivi du sous-traitant constitue lui-même un manquement du responsable, sanctionnable indépendamment de la faute du sous-traitant.
1.3 Les sanctions encourues
Les manquements à l’article 28 RGPD relèvent de la première catégorie de sanctions de l’article 83.4 du règlement : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel — le montant le plus élevé étant retenu. À ces sanctions administratives s’ajoutent la responsabilité civile envers les personnes concernées et l’impact réputationnel d’une décision rendue publique par l’autorité de contrôle. Pour des secteurs sensibles (santé, finance, télécoms), l’effet en cascade sur les contrats clients peut être considérable.
2. Les 5 étapes pour choisir et auditer ses sous-traitants
Une démarche d’audit sous-traitant RGPD opérationnelle se structure en cinq étapes successives. Cette séquence permet de couvrir l’ensemble du cycle de vie de la relation contractuelle — de la sélection initiale à la fin de relation — sans omettre les phases critiques.
2.1 Étape 1 — Cartographier ses sous-traitants
La première étape consiste à recenser tous les sous-traitants traitant des données personnelles pour le compte de l’entreprise. Cette cartographie est souvent partielle dans la réalité : SaaS commandés par des directions métier sans validation IT, outils gratuits utilisés au quotidien, prestataires occasionnels jamais formalisés. Une cartographie rigoureuse révèle systématiquement 30 à 50 % de sous-traitants supplémentaires par rapport à l’inventaire initial. La distinction juridique avec les co-responsables et les tiers destinataires doit également être posée précisément.
2.2 Étape 2 — Évaluer la maturité RGPD avant contractualisation
Avant tout engagement contractuel, une évaluation de la maturité RGPD du sous-traitant doit être conduite. Cette évaluation s’articule autour d’un questionnaire standardisé couvrant : les certifications obtenues (ISO 27001, SOC 2, HDS pour les données de santé, SecNumCloud), la localisation effective des données et des traitements, la liste des sous-traitants ultérieurs envisagés, les politiques de sécurité documentées, les délais de notification des incidents, la qualité des engagements pris dans le DPA proposé. Cette évaluation peut faire l’objet d’une note de risque interne qui détermine la suite du processus.
2.3 Étape 3 — Négocier un DPA conforme à l’article 28
Le DPA (Data Processing Agreement) doit comporter les mentions obligatoires de l’article 28.3 du RGPD : objet et durée du traitement, nature et finalité, types de données, catégories de personnes concernées, obligations et droits du responsable. À ces mentions de base s’ajoutent les engagements opérationnels essentiels : confidentialité du personnel, sécurité (article 32), recours à la sous-traitance ultérieure encadré, assistance aux droits des personnes, notification des incidents dans un délai court (24 à 72 heures), restitution ou suppression des données en fin de contrat, droit d’audit. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
2.4 Étape 4 — Auditer périodiquement
La signature du DPA ne suffit pas à conduire un audit sous-traitant RGPD efficace : l’audit sous-traitant RGPD doit être conduit périodiquement tout au long de la relation. Trois modalités complémentaires structurent ce suivi. Les audits documentaires reposent sur des questionnaires annuels d’auto-évaluation envoyés au sous-traitant et la collecte des certifications mises à jour. Les revues ad hoc se déclenchent en cas d’événement significatif (incident, changement organisationnel, évolution réglementaire). Les audits sur site, plus rares mais possibles, peuvent être réalisés directement ou via un tiers indépendant pour les sous-traitants les plus critiques.
2.5 Étape 5 — Gérer la fin de relation
La fin de la relation contractuelle est une phase trop souvent négligée. Le DPA doit prévoir précisément le sort des données : restitution dans un format exploitable, suppression certifiée, durée de conservation post-contrat pour les obligations légales, modalités techniques de la sortie. La preuve de la suppression doit être obtenue par écrit (attestation, certificat). En l’absence de ces dispositions, le risque d’une persistance non contrôlée des données chez l’ancien sous-traitant est majeur — avec une responsabilité résiduelle du responsable de traitement.
3. Tableau de synthèse : les critères et leur fondement
Le tableau ci-dessous récapitule les principaux critères d’évaluation d’un sous-traitant, leur fondement juridique et le niveau de criticité associé.
| Critère | Fondement | Criticité |
|---|---|---|
| Garanties techniques & organisationnelles | RGPD art. 28.1 et 32 | 🔴 Critique |
| DPA conforme avec mentions obligatoires | RGPD art. 28.3 | 🔴 Critique |
| Sous-traitance ultérieure encadrée | RGPD art. 28.2 et 28.4 | 🔴 Critique |
| Localisation et transferts hors UE | RGPD chapitre V + Schrems II | 🟠 Élevée |
| Notification d’incidents | RGPD art. 33 + DPA | 🟠 Élevée |
| Certifications (ISO 27001, SOC 2, HDS) | Bonne pratique + art. 28.1 | 🟠 Élevée |
| Droit d’audit effectif | RGPD art. 28.3.h | 🟠 Élevée |
| Restitution/suppression en fin de contrat | RGPD art. 28.3.g | 🟡 Moyenne |
4. Les pièges les plus fréquents en pratique
Plusieurs pièges récurrents compromettent les démarches d’audit sous-traitant RGPD pourtant engagées de bonne foi. Les identifier permet d’éviter les principales causes d’échec et de sanctions ultérieures.
4.1 La cartographie incomplète des sous-traitants
L’erreur initiale la plus fréquente est de s’appuyer sur l’inventaire fourni par la direction des achats ou l’IT. Cette source est presque toujours incomplète : elle ignore les outils gratuits utilisés par les équipes, les SaaS payés par carte bancaire d’entreprise, les prestataires occasionnels jamais référencés. Une cartographie efficace combine plusieurs sources : achats, IT, factures, témoignages d’équipes, scan technique du SI. L’omission d’un sous-traitant signifie l’absence de DPA et donc une non-conformité directe.
4.2 La confiance excessive dans les certifications
Une certification ISO 27001 ou SOC 2 n’est pas un blanc-seing. Ces certifications attestent d’un système de management de la sécurité mais ne valident pas la conformité RGPD spécifique du traitement concerné. Un sous-traitant certifié ISO 27001 peut parfaitement avoir un DPA non conforme, ne pas informer correctement de ses sous-traitants ultérieurs, ou maintenir des transferts hors UE problématiques. La certification doit être un point de départ, pas un point d’arrivée. Pour aller plus loin, consultez nos services en matière de contrats informatiques.
4.3 La négligence des sous-traitants ultérieurs
Les sous-traitants ultérieurs (sub-processors) sont souvent l’angle mort des programmes RGPD. Un éditeur SaaS principal peut recourir à plusieurs dizaines de sous-traitants ultérieurs (hébergement, monitoring, support, analytics, IA). Chacun représente potentiellement un point de fragilité juridique. L’article 28.2 du RGPD impose une transparence active de la part du sous-traitant principal — mais en pratique, cette information est souvent incomplète ou dissimulée dans des documents annexes. Exiger une liste exhaustive à jour est une bonne pratique non négociable.
4.4 L’absence d’audit post-contractualisation
Le piège classique consiste à investir massivement dans la phase de sélection et de contractualisation initiale, puis à ne plus auditer pendant des années. Or les pratiques d’un sous-traitant évoluent : nouveaux sous-traitants ultérieurs, changement de localisation des données, abandon d’une certification, rachat par un groupe étranger. Sans audit périodique, le DPA initial peut devenir obsolète sans que le responsable de traitement en soit averti.
4.5 Le traitement uniforme de tous les sous-traitants
Auditer tous les sous-traitants avec la même profondeur est à la fois coûteux et inefficace. Une approche par criticité s’impose : audit annuel approfondi pour les sous-traitants critiques (santé, finance, données sensibles à grande échelle), revue documentaire allégée pour les sous-traitants secondaires, qualification de base pour les sous-traitants occasionnels. Cette hiérarchisation de l’audit sous-traitant RGPD optimise les ressources tout en sécurisant les enjeux majeurs.
5. Pourquoi faire appel à Atias Avocats
Conduire un programme d’audit sous-traitant RGPD performant exige une combinaison rare de compétences : maîtrise fine du RGPD et de la doctrine CNIL, connaissance des architectures techniques (cloud, SaaS, sous-traitance en cascade), expertise contractuelle (rédaction et négociation de DPA conformes), capacité à articuler la conformité RGPD avec les exigences AI Act et NIS2 désormais convergentes. Cette pluridisciplinarité est précisément la valeur ajoutée d’un cabinet spécialisé en droit du numérique.
Atias Avocats accompagne entreprises, startups et grands comptes sur l’ensemble du cycle de gouvernance des sous-traitants : cartographie initiale et qualification juridique, élaboration des grilles d’audit standardisées, rédaction et négociation des DPA conformes article 28, audits de sous-traitants critiques, mise en place de la gouvernance vendor management dans la durée, accompagnement des incidents et des contentieux avec les sous-traitants.
Conclusion
La gestion rigoureuse de la sous-traitance n’est plus une option pour les responsables de traitement. C’est une obligation structurante qui conditionne directement leur conformité globale au RGPD — et leur exposition aux sanctions de la CNIL et des autres autorités européennes. La méthode d’audit sous-traitant RGPD en cinq étapes présentée ici offre une approche éprouvée pour transformer cette obligation en démarche maîtrisée : cartographie exhaustive, évaluation pré-contractuelle, DPA conforme, audit périodique, gestion de fin de relation.
Au-delà du risque juridique, une démarche structurée d’audit sous-traitant RGPD présente plusieurs bénéfices opérationnels : amélioration de la qualité des sous-traitants sélectionnés, réduction du risque cyber par effet d’entraînement, renforcement de la confiance des clients finaux et des partenaires B2B exigeants. L’investissement requis — variable selon le portefeuille de sous-traitants — s’amortit largement par l’évitement des sanctions et par l’effet positif sur la résilience opérationnelle de l’organisation.
FAQ — Questions fréquentes
Quels sont les critères de choix d’un sous-traitant conforme RGPD ?
Cinq critères principaux guident le choix d’un sous-traitant conforme : les garanties suffisantes en matière de mesures techniques et organisationnelles (article 28.1 RGPD), les certifications pertinentes (ISO 27001, SOC 2, HDS pour les données de santé, SecNumCloud pour les organismes sensibles), la localisation des données et la politique vis-à-vis des transferts hors UE, la qualité de la politique de sous-traitance ultérieure, et la transparence sur les procédures de notification des incidents. Aucun sous-traitant ne doit être engagé sans validation explicite de ces critères.
À quelle fréquence faut-il auditer ses sous-traitants RGPD ?
La fréquence dépend de la criticité du sous-traitant. Pour les sous-traitants stratégiques traitant des données sensibles ou en grande quantité, un audit annuel minimum est recommandé (questionnaire d’auto-évaluation, revue des certifications, vérification des sous-traitants ultérieurs). Pour les sous-traitants secondaires, un cycle de 24 à 36 mois peut suffire. Tout incident significatif chez un sous-traitant ou toute évolution majeure (rachat, changement de localisation, nouvelle réglementation) doit déclencher un audit ad hoc indépendamment du calendrier prévu.
Les certifications ISO 27001 ou SOC 2 suffisent-elles pour la conformité RGPD ?
Non, ces certifications sont des indicateurs importants mais ne suffisent pas. La certification ISO 27001 valide un système de management de la sécurité de l’information, le SOC 2 atteste de la mise en œuvre de contrôles spécifiques. Ces certifications constituent des présomptions de garanties suffisantes au sens de l’article 28.1 RGPD, mais elles doivent être complétées par : un DPA conforme à l’article 28.3, une analyse spécifique des traitements concernés, une vérification des sous-traitants ultérieurs, et une évaluation des transferts internationaux le cas échéant.
Comment gérer les sous-traitants ultérieurs (sub-processors) ?
La sous-traitance ultérieure est strictement encadrée par l’article 28.2 RGPD. Le sous-traitant ne peut recruter un sous-traitant ultérieur qu’avec autorisation écrite préalable du responsable de traitement (autorisation spécifique ou générale). En cas d’autorisation générale, le sous-traitant doit informer le responsable de tout changement avec un délai permettant de s’y opposer. Le contrat avec le sous-traitant ultérieur doit prévoir les mêmes obligations que le contrat principal. En pratique, exiger une liste à jour des sous-traitants ultérieurs et un mécanisme de notification fiable est indispensable.
Quelles sanctions encourt l’entreprise qui n’audite pas ses sous-traitants ?
La CNIL a sanctionné à plusieurs reprises des responsables de traitement pour défaut de vigilance sur leurs sous-traitants, sur le fondement des articles 28 et 32 RGPD. Les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial (article 83.4) pour les manquements à l’article 28. À ces sanctions administratives s’ajoute la responsabilité civile envers les personnes concernées en cas d’incident, et l’impact réputationnel d’une décision rendue publique. L’audit régulier des sous-traitants n’est donc pas une option mais une obligation opérationnelle structurante.
Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris
Atias Avocats — Droit du numérique, RGPD, Contrats IT, Cybersécurité
