Skip to content Skip to sidebar Skip to footer

Sous-traitants ultérieurs (sub-processors) : gérer la cascade


Par David Joseph Atias, avocat au Barreau de Paris · LinkedIn · Juillet 2026

Vos données ne sont jamais traitées par un seul prestataire. Derrière votre éditeur SaaS se cache un hébergeur cloud, lui-même appuyé sur d’autres services. C’est la cascade de sous-traitance, et elle est un angle mort majeur de la conformité. Les sous-traitants ultérieurs (sub-processors) prolongent la chaîne de traitement de vos données, souvent à votre insu. Le RGPD impose pourtant de les autoriser, de les contrôler et de leur répercuter les mêmes obligations. Cet article décrypte le régime des sous-traitants ultérieurs, son cadre juridique et les pièges à éviter pour reprendre le contrôle de votre chaîne.

SOMMAIRE

  1. Pourquoi la cascade de sous-traitance est stratégique en 2026
  2. Le cadre juridique applicable
  3. Les 6 obligations clés à maîtriser
  4. Tableau de synthèse des obligations
  5. Les 5 pièges à éviter
  6. Pourquoi faire appel à Atias Avocats
  7. FAQ — Questions fréquentes

1. Pourquoi la cascade de sous-traitance est stratégique en 2026

La chaîne de sous-traitance s’allonge sans cesse. Chaque service en appelle d’autres, dans une cascade complexe. Trois dynamiques renforcent l’importance des sous-traitants ultérieurs en 2026.

1.1 La multiplication des maillons

Un outil SaaS repose rarement sur sa seule infrastructure. Il s’appuie sur un hébergeur cloud, un service d’e-mailing, un outil d’analyse, parfois une brique d’IA. Chacun est un maillon supplémentaire. La chaîne compte donc souvent plusieurs niveaux. Or, le responsable de traitement reste responsable de l’ensemble. Cette multiplication des maillons démultiplie le risque et rend la maîtrise de la chaîne indispensable.

1.2 Le contrôle accru de la CNIL

La CNIL examine de plus en plus la chaîne de sous-traitance. Elle vérifie non seulement le contrat principal, mais aussi les prestataires en cascade et leurs garanties. Un maillon non conforme suffit à caractériser un manquement. La cascade n’est donc plus un sujet technique : c’est un point de contrôle majeur de la conformité.

1.3 L’irruption de l’IA dans la chaîne

En 2026, de nombreux services intègrent des briques d’IA fournies par des tiers. Ces fournisseurs d’IA deviennent des maillons de la chaîne. Ils peuvent traiter les données pour entraîner leurs modèles, ce qui soulève de nouveaux risques. Le responsable de traitement doit donc cartographier ces acteurs et encadrer leurs usages, en cohérence avec l’AI Act. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.

2. Le cadre juridique applicable

Le régime de la sous-traitance en cascade repose sur un socle précis. Quatre fondements principaux structurent leur encadrement.

2.1 L’autorisation préalable (article 28.2 du RGPD)

L’article 28 paragraphe 2 du RGPD encadre le recours en cascade. Le sous-traitant ne peut recruter un autre sous-traitant sans autorisation écrite, préalable, spécifique ou générale, du responsable de traitement. Cette autorisation est la condition de la sous-traitance ultérieure. Sans elle, le recours à un nouveau prestataire est irrégulier. C’est la première règle à respecter dans la gestion de la cascade.

2.2 L’information et le droit d’opposition

En cas d’autorisation générale, le sous-traitant doit informer le responsable de tout ajout ou remplacement de prestataires. Le responsable doit pouvoir s’y opposer. Cette information ne peut être théorique : elle doit être effective et donner un délai raisonnable. Un droit d’opposition vidé de substance ne respecte pas le RGPD. Le contrat doit organiser concrètement cette information et cette faculté d’opposition.

2.3 La répercussion des obligations (article 28.4 du RGPD)

L’article 28 paragraphe 4 du RGPD pose le principe central. Le sous-traitant doit imposer à ses propres prestataires les mêmes obligations de protection que celles qui le lient au responsable. C’est la répercussion en cascade. Le niveau de protection doit rester constant à chaque maillon. Cette exigence garantit que la chaîne ne se fragilise pas en descendant. Elle est au cœur du dispositif.

2.4 La responsabilité maintenue et l’AI Act

L’article 28 paragraphe 4 précise aussi que le sous-traitant reste pleinement responsable, envers le responsable, des manquements de ses propres prestataires. La responsabilité remonte donc la chaîne. De plus, lorsqu’un sous-traitant ultérieur fournit une brique d’IA, le Règlement UE 2024/1689 (AI Act) peut s’appliquer, ajoutant des obligations de transparence. La chaîne de sous-traitance croise ainsi plusieurs réglementations. Pour aller plus loin, consultez nos services en matière de contrats commerciaux et IT.

3. Les 6 obligations clés à maîtriser

La gestion des sous-traitants ultérieurs repose sur six obligations clés. Les maîtriser permet de sécuriser toute la chaîne de traitement.

3.1 Encadrer l’autorisation

La première obligation est l’autorisation. Le contrat doit préciser le régime retenu : autorisation spécifique ou générale. En cas d’autorisation générale, il faut définir les modalités d’information et le délai d’opposition. Le responsable de traitement doit conserver un véritable pouvoir de décision. Une autorisation claire est la base d’une cascade maîtrisée.

3.2 Tenir la liste des sous-traitants

La deuxième obligation est la transparence. Le sous-traitant doit fournir et tenir à jour la liste de ses prestataires en cascade. Cette liste précise l’identité, la localisation et la nature des prestations de chaque acteur. Elle permet au responsable de connaître réellement sa chaîne. Sans liste à jour, aucun contrôle n’est possible. C’est un document essentiel de la gouvernance.

3.3 Répercuter les obligations en cascade

La troisième obligation est la répercussion. Chaque maillon doit être lié par un contrat reprenant les mêmes garanties que le contrat principal. Sécurité, confidentialité, notification, audit, restrictions de transfert : tout doit descendre la chaîne. Cette exigence de l’article 28.4 du RGPD garantit un niveau de protection homogène. Une rupture dans la cascade crée une faille de conformité.

3.4 Vérifier les garanties de sécurité

La quatrième obligation est la vérification. Le responsable et le sous-traitant doivent s’assurer que chaque prestataire de la chaîne présente des garanties suffisantes (article 28.1 du RGPD). Cela passe par l’examen des mesures de sécurité, des certifications et de l’annexe TOMS (mesures techniques et organisationnelles). Choisir un maillon non sérieux fragilise toute la chaîne. La vérification est une diligence indispensable.

3.5 Maîtriser les transferts hors UE

La cinquième obligation concerne la localisation. Un prestataire en cascade peut être situé hors de l’Union européenne. Cela déclenche les règles sur les transferts internationaux et l’arrêt Schrems II de la CJUE (C-311/18). Le contrat doit identifier ces transferts et exiger les garanties appropriées (clauses contractuelles types). Un prestataire hors UE non encadré est un risque majeur dans la cascade.

3.6 Auditer la chaîne

La sixième obligation est l’audit. Le droit d’audit du responsable doit pouvoir s’étendre, en pratique, à toute la chaîne. Le contrat doit organiser ce contrôle, directement ou via des rapports et certifications. Une cascade jamais auditée échappe au contrôle. L’audit périodique de la chaîne est la garantie d’une conformité durable, et non seulement affichée.

4. Tableau de synthèse des obligations

Le tableau ci-dessous synthétise les 6 obligations liées à la sous-traitance en cascade, leur fondement et leur niveau de criticité.

ObligationFondementCriticité
1. Encadrer l’autorisationArt. 28.2 RGPD🔴 Critique
2. Tenir la liste des sous-traitantsTransparence / Art. 28🟠 Élevée
3. Répercuter les obligationsArt. 28.4 RGPD🔴 Critique
4. Vérifier les garantiesArt. 28.1 RGPD🔴 Critique
5. Maîtriser les transferts hors UESchrems II / Chap. V🔴 Critique
6. Auditer la chaîneArt. 28.3 h) RGPD🟠 Élevée

5. Les 5 pièges à éviter

Au-delà des obligations, plusieurs pièges récurrents fragilisent la maîtrise de la cascade. Les identifier permet de sécuriser la chaîne.

5.1 Ignorer l’existence des sous-traitants ultérieurs

Le premier piège est l’aveuglement. Beaucoup de responsables de traitement ignorent que leur prestataire recourt à d’autres. La chaîne reste invisible, donc incontrôlée. Or, leur responsabilité s’étend à toute la cascade. Il faut donc exiger la liste des prestataires et la connaître. Ignorer la chaîne, c’est accepter un risque que l’on ne mesure pas.

5.2 Se contenter d’une information sans droit d’opposition réel

Le deuxième piège est l’opposition fictive. Certains contrats prévoient une simple information sur les nouveaux prestataires, sans véritable faculté de s’y opposer. C’est insuffisant. L’information doit s’accompagner d’un droit d’opposition effectif, avec un délai raisonnable. Une clause qui annonce un changement sans permettre de le refuser ne respecte pas le RGPD. Le droit d’opposition doit être réel.

5.3 Oublier de répercuter les obligations

Le troisième piège est la rupture de la cascade. Un sous-traitant peut accorder de fortes garanties au responsable, mais ne pas les imposer à ses propres prestataires. Le niveau de protection chute alors en descendant la chaîne. L’article 28.4 du RGPD interdit cette rupture. Chaque maillon doit transmettre les mêmes obligations. Vérifier cette répercussion est essentiel pour éviter une faille cachée.

5.4 Négliger les transferts hors UE en bout de chaîne

Le quatrième piège est le transfert invisible. Un prestataire en bout de chaîne peut héberger ou traiter les données hors de l’Union européenne. Ce transfert passe souvent inaperçu. Pourtant, il déclenche les règles strictes de l’arrêt Schrems II. Il faut donc remonter toute la cascade pour identifier les transferts. Un maillon lointain hors UE peut exposer toute la chaîne.

5.5 Sous-estimer les fournisseurs d’IA dans la chaîne

Le cinquième piège, spécifique à 2026, concerne l’IA. Un maillon de la chaîne peut être un fournisseur d’IA qui traite les données pour entraîner ses modèles. Ce risque est souvent ignoré. Il faut l’encadrer strictement, en cohérence avec l’AI Act. La présence d’un fournisseur d’IA dans la cascade ajoute des obligations de transparence. Ce point de vigilance est devenu central dans la chaîne de sous-traitance.

6. Pourquoi faire appel à Atias Avocats

Maîtriser la cascade de sous-traitance exige une combinaison rare de compétences : maîtrise du RGPD et de l’article 28 (régime de la sous-traitance ultérieure, répercussion des obligations), connaissance des transferts internationaux (arrêt Schrems II, clauses contractuelles types), pratique de la cartographie et de l’audit des chaînes de traitement, et compréhension des enjeux de l’AI Act lorsqu’un fournisseur d’IA intervient. Cette pluridisciplinarité est précisément la valeur ajoutée d’un cabinet spécialisé en protection des données et contrats IT.

Atias Avocats accompagne DPO, DSI, directions juridiques, éditeurs SaaS, fondateurs et grands groupes sur l’ensemble du sujet : rédaction et revue des clauses de sous-traitance ultérieure, cartographie et audit de la chaîne de sous-traitance, mise en place d’une gouvernance des sous-traitants (autorisation, registre, modèles de clauses), accompagnement sur l’ajout ou le remplacement d’un prestataire, mise en conformité Schrems II et AI Act, défense en cas de contrôle CNIL. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.

Conclusion

La cascade de sous-traitance est un angle mort de la conformité, et pourtant un point de contrôle majeur. La responsabilité du responsable de traitement s’étend à toute la chaîne, jusqu’au maillon le plus éloigné. Les six obligations présentées ici — autorisation, liste, répercussion, vérification, transferts, audit — combinées à la vigilance sur les cinq pièges classiques, offrent un référentiel directement utilisable par DPO, DSI et directions juridiques pour reprendre le contrôle.

L’investissement requis pour maîtriser la cascade est sans commune mesure avec le coût d’un maillon non conforme. À l’heure des contrôles renforcés et de l’IA dans la chaîne, ignorer ses sous-traitants ultérieurs n’est plus tenable. Le réflexe à adopter est clair : connaître sa chaîne, encadrer l’autorisation, répercuter les obligations, vérifier les garanties, maîtriser les transferts et auditer régulièrement. C’est précisément cette rigueur qui transforme une cascade subie en chaîne maîtrisée et conforme.

FAQ — Questions fréquentes

Qu’est-ce qu’un sous-traitant ultérieur ?

Un sous-traitant ultérieur (en anglais sub-processor) est un prestataire auquel un sous-traitant fait appel pour exécuter tout ou partie du traitement de données qu’il réalise pour le compte d’un responsable de traitement. C’est le deuxième maillon de la chaîne de sous-traitance. Par exemple, un éditeur SaaS (sous-traitant de son client) recourt lui-même à un hébergeur cloud, à un service d’e-mailing et à un outil d’analyse : ce sont ses sous-traitants ultérieurs. Le RGPD encadre strictement ce recours en cascade par son article 28. Ces prestataires doivent être soumis aux mêmes obligations de protection des données que le sous-traitant initial. Le responsable de traitement doit pouvoir contrôler cette chaîne, car sa responsabilité s’étend à l’ensemble des acteurs qui traitent ses données, même indirectement.

Faut-il autoriser les sous-traitants ultérieurs ?

Oui, l’article 28 du RGPD impose une autorisation du responsable de traitement. Cette autorisation peut prendre deux formes. L’autorisation spécifique : le sous-traitant demande l’accord pour chaque nouveau prestataire ajouté à la chaîne. L’autorisation générale écrite : le responsable autorise par avance le recours en cascade, mais le sous-traitant doit l’informer de tout ajout ou remplacement, et lui laisser la possibilité de s’y opposer. En pratique, l’autorisation générale est la plus courante. Elle suppose toutefois une information effective et un véritable droit d’opposition. Un prestataire qui élargit la chaîne sans information ni possibilité d’opposition viole le RGPD. Le contrat de sous-traitance (DPA) doit préciser le régime applicable et ses modalités concrètes.

Quelles obligations s’imposent aux sous-traitants ultérieurs ?

Les sous-traitants ultérieurs doivent être soumis aux mêmes obligations de protection des données que le sous-traitant initial. C’est le principe de répercussion des obligations posé par l’article 28 paragraphe 4 du RGPD. Concrètement, le sous-traitant doit conclure avec chacun de ses prestataires un contrat qui reprend les mêmes garanties que celles qu’il a lui-même accordées au responsable de traitement : sécurité, confidentialité, assistance, notification des violations, droit d’audit, restrictions de transfert. Cette répercussion en cascade garantit que le niveau de protection ne se dégrade pas à mesure que l’on descend dans la chaîne. Si un prestataire manque à ses obligations, le sous-traitant initial reste pleinement responsable envers le responsable de traitement. La maîtrise de la chaîne est donc essentielle.

Qui est responsable en cas de faute d’un sous-traitant ultérieur ?

La responsabilité remonte la chaîne. L’article 28 paragraphe 4 du RGPD le précise : lorsque le prestataire ne remplit pas ses obligations, le sous-traitant initial demeure pleinement responsable envers le responsable de traitement de l’exécution de ces obligations. Autrement dit, le sous-traitant ne peut pas se cacher derrière la faute de son propre prestataire. De son côté, le responsable de traitement reste responsable vis-à-vis des personnes concernées et de la CNIL. La faute d’un maillon éloigné peut donc engager toute la chaîne. Cela explique pourquoi le contrôle des sous-traitants ultérieurs et la répercussion stricte des obligations sont indispensables.


Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris

Atias Avocats — RGPD, Sous-traitance, Protection des données, Conformité

Go to Top