{"id":22640,"date":"2026-05-17T10:00:00","date_gmt":"2026-05-17T10:00:00","guid":{"rendered":"https:\/\/atiasavocats.com\/?p=22640"},"modified":"2026-05-15T10:29:12","modified_gmt":"2026-05-15T10:29:12","slug":"audit-sous-traitant-rgpd-5-etapes","status":"publish","type":"post","link":"https:\/\/atiasavocats.com\/en\/audit-sous-traitant-rgpd-5-etapes\/","title":{"rendered":"Sous-traitance RGPD : choisir et auditer ses sous-traitants en 5 \u00e9tapes"},"content":{"rendered":"


Par\u00a0<\/em>Joseph David Atias<\/em><\/a>, avocat au Barreau de Paris \u00b7\u00a0<\/em>LinkedIn<\/em><\/a>\u00a0\u00b7 Mai 2026<\/em><\/em><\/p>\n\n\n\n

\n

Le responsable de traitement reste pleinement responsable des manquements RGPD de ses sous-traitants \u2014 c’est l’un des principes structurants du r\u00e8glement europ\u00e9en, trop souvent sous-estim\u00e9 en pratique. Sans audit sous-traitant RGPD structur\u00e9, une grande entreprise compte aujourd’hui en moyenne entre 50 et 300 sous-traitants traitant des donn\u00e9es personnelles : SaaS, infog\u00e9reurs, prestataires marketing, agences, h\u00e9bergeurs, outils IA. La d\u00e9faillance d’un seul peut d\u00e9clencher une sanction CNIL massive contre le responsable. Le bon r\u00e9flexe n’est plus de signer un DPA standard puis d’oublier le sujet : c’est de structurer une d\u00e9marche compl\u00e8te d’audit sous-traitant RGPD en cinq \u00e9tapes. Cet article d\u00e9taille cette m\u00e9thode op\u00e9rationnelle.<\/p>\n<\/blockquote>\n\n\n\n

SOMMAIRE<\/p>\n\n\n\n

    \n
  1. Pourquoi auditer ses sous-traitants est une obligation structurante<\/a><\/li>\n\n\n\n
  2. Les 5 \u00e9tapes pour choisir et auditer ses sous-traitants<\/a><\/li>\n\n\n\n
  3. Tableau de synth\u00e8se : les crit\u00e8res et leur fondement<\/a><\/li>\n\n\n\n
  4. Les pi\u00e8ges les plus fr\u00e9quents en pratique<\/a><\/li>\n\n\n\n
  5. Pourquoi faire appel \u00e0 Atias Avocats<\/a><\/li>\n\n\n\n
  6. FAQ \u2014 Questions fr\u00e9quentes<\/a><\/li>\n<\/ol>\n\n\n\n

    1. Pourquoi auditer ses sous-traitants est une obligation structurante<\/h2>\n\n\n\n

    La d\u00e9marche d’audit sous-traitant RGPD n’est pas une bonne pratique optionnelle : c’est une obligation juridique structurante qui d\u00e9coule directement de l’architecture du r\u00e8glement europ\u00e9en. Comprendre cette obligation et ses sanctions est la condition d’une approche m\u00e9thodologique s\u00e9rieuse plut\u00f4t que cosm\u00e9tique.<\/p>\n\n\n\n

    1.1 L’obligation de l’article 28.1 du RGPD<\/h3>\n\n\n\n

    L’article 28.1 du RGPD impose au responsable de traitement de ne recourir qu’\u00e0 des sous-traitants qui pr\u00e9sentent des garanties suffisantes en mati\u00e8re de mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es. Cette formulation, en apparence g\u00e9n\u00e9rale, cr\u00e9e une v\u00e9ritable obligation de vigilance. Le responsable ne peut se contenter de la d\u00e9claration unilat\u00e9rale du sous-traitant : il doit v\u00e9rifier objectivement ces garanties, id\u00e9alement par des certifications, des questionnaires, ou des audits.<\/p>\n\n\n\n

    1.2 La responsabilit\u00e9 conserv\u00e9e du responsable<\/h3>\n\n\n\n

    Un principe central du RGPD est que le responsable de traitement conserve sa responsabilit\u00e9 m\u00eame lorsqu’il recourt \u00e0 un sous-traitant. La CNIL a sanctionn\u00e9 \u00e0 plusieurs reprises des responsables de traitement pour des fuites de donn\u00e9es ou des manquements survenus chez leurs sous-traitants. Le raisonnement est constant : le d\u00e9faut de vigilance dans la s\u00e9lection et le suivi du sous-traitant constitue lui-m\u00eame un manquement du responsable, sanctionnable ind\u00e9pendamment de la faute du sous-traitant.<\/p>\n\n\n\n

    1.3 Les sanctions encourues<\/h3>\n\n\n\n

    Les manquements \u00e0 l’article 28 RGPD rel\u00e8vent de la premi\u00e8re cat\u00e9gorie de sanctions de l’article 83.4 du r\u00e8glement : jusqu’\u00e0 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel \u2014 le montant le plus \u00e9lev\u00e9 \u00e9tant retenu. \u00c0 ces sanctions administratives s’ajoutent la responsabilit\u00e9 civile envers les personnes concern\u00e9es et l’impact r\u00e9putationnel d’une d\u00e9cision rendue publique par l’autorit\u00e9 de contr\u00f4le. Pour des secteurs sensibles (sant\u00e9, finance, t\u00e9l\u00e9coms), l’effet en cascade sur les contrats clients peut \u00eatre consid\u00e9rable.<\/p>\n\n\n\n

    2. Les 5 \u00e9tapes pour choisir et auditer ses sous-traitants<\/h2>\n\n\n\n

    Une d\u00e9marche d’audit sous-traitant RGPD op\u00e9rationnelle se structure en cinq \u00e9tapes successives. Cette s\u00e9quence permet de couvrir l’ensemble du cycle de vie de la relation contractuelle \u2014 de la s\u00e9lection initiale \u00e0 la fin de relation \u2014 sans omettre les phases critiques.<\/p>\n\n\n\n

    2.1 \u00c9tape 1 \u2014 Cartographier ses sous-traitants<\/h3>\n\n\n\n

    La premi\u00e8re \u00e9tape consiste \u00e0 recenser tous les sous-traitants traitant des donn\u00e9es personnelles pour le compte de l’entreprise. Cette cartographie est souvent partielle dans la r\u00e9alit\u00e9 : SaaS command\u00e9s par des directions m\u00e9tier sans validation IT, outils gratuits utilis\u00e9s au quotidien, prestataires occasionnels jamais formalis\u00e9s. Une cartographie rigoureuse r\u00e9v\u00e8le syst\u00e9matiquement 30 \u00e0 50 % de sous-traitants suppl\u00e9mentaires par rapport \u00e0 l’inventaire initial. La distinction juridique avec les co-responsables et les tiers destinataires doit \u00e9galement \u00eatre pos\u00e9e pr\u00e9cis\u00e9ment.<\/p>\n\n\n\n

    2.2 \u00c9tape 2 \u2014 \u00c9valuer la maturit\u00e9 RGPD avant contractualisation<\/h3>\n\n\n\n

    Avant tout engagement contractuel, une \u00e9valuation de la maturit\u00e9 RGPD du sous-traitant doit \u00eatre conduite. Cette \u00e9valuation s’articule autour d’un questionnaire standardis\u00e9 couvrant : les certifications obtenues (ISO 27001, SOC 2, HDS pour les donn\u00e9es de sant\u00e9, SecNumCloud), la localisation effective des donn\u00e9es et des traitements, la liste des sous-traitants ult\u00e9rieurs envisag\u00e9s, les politiques de s\u00e9curit\u00e9 document\u00e9es, les d\u00e9lais de notification des incidents, la qualit\u00e9 des engagements pris dans le DPA propos\u00e9. Cette \u00e9valuation peut faire l’objet d’une note de risque interne qui d\u00e9termine la suite du processus.<\/p>\n\n\n\n

    2.3 \u00c9tape 3 \u2014 N\u00e9gocier un DPA conforme \u00e0 l’article 28<\/h3>\n\n\n\n

    Le DPA (Data Processing Agreement) doit comporter les mentions obligatoires de l’article 28.3 du RGPD : objet et dur\u00e9e du traitement, nature et finalit\u00e9, types de donn\u00e9es, cat\u00e9gories de personnes concern\u00e9es, obligations et droits du responsable. \u00c0 ces mentions de base s’ajoutent les engagements op\u00e9rationnels essentiels : confidentialit\u00e9 du personnel, s\u00e9curit\u00e9 (article 32), recours \u00e0 la sous-traitance ult\u00e9rieure encadr\u00e9, assistance aux droits des personnes, notification des incidents dans un d\u00e9lai court (24 \u00e0 72 heures), restitution ou suppression des donn\u00e9es en fin de contrat, droit d’audit. Pour aller plus loin, consultez nos services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n

    2.4 \u00c9tape 4 \u2014 Auditer p\u00e9riodiquement<\/h3>\n\n\n\n

    La signature du DPA ne suffit pas \u00e0 conduire un audit sous-traitant RGPD efficace : l’audit sous-traitant RGPD doit \u00eatre conduit p\u00e9riodiquement tout au long de la relation. Trois modalit\u00e9s compl\u00e9mentaires structurent ce suivi. Les audits documentaires reposent sur des questionnaires annuels d’auto-\u00e9valuation envoy\u00e9s au sous-traitant et la collecte des certifications mises \u00e0 jour. Les revues ad hoc se d\u00e9clenchent en cas d’\u00e9v\u00e9nement significatif (incident, changement organisationnel, \u00e9volution r\u00e9glementaire). Les audits sur site, plus rares mais possibles, peuvent \u00eatre r\u00e9alis\u00e9s directement ou via un tiers ind\u00e9pendant pour les sous-traitants les plus critiques.<\/p>\n\n\n\n

    2.5 \u00c9tape 5 \u2014 G\u00e9rer la fin de relation<\/h3>\n\n\n\n

    La fin de la relation contractuelle est une phase trop souvent n\u00e9glig\u00e9e. Le DPA doit pr\u00e9voir pr\u00e9cis\u00e9ment le sort des donn\u00e9es : restitution dans un format exploitable, suppression certifi\u00e9e, dur\u00e9e de conservation post-contrat pour les obligations l\u00e9gales, modalit\u00e9s techniques de la sortie. La preuve de la suppression doit \u00eatre obtenue par \u00e9crit (attestation, certificat). En l’absence de ces dispositions, le risque d’une persistance non contr\u00f4l\u00e9e des donn\u00e9es chez l’ancien sous-traitant est majeur \u2014 avec une responsabilit\u00e9 r\u00e9siduelle du responsable de traitement.<\/p>\n\n\n\n

    3. Tableau de synth\u00e8se : les crit\u00e8res et leur fondement<\/h2>\n\n\n\n

    Le tableau ci-dessous r\u00e9capitule les principaux crit\u00e8res d’\u00e9valuation d’un sous-traitant, leur fondement juridique et le niveau de criticit\u00e9 associ\u00e9.<\/p>\n\n\n\n

    Crit\u00e8re<\/th>Fondement<\/th>Criticit\u00e9<\/th><\/tr><\/thead>
    Garanties techniques & organisationnelles<\/td>RGPD art. 28.1 et 32<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    DPA conforme avec mentions obligatoires<\/td>RGPD art. 28.3<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    Sous-traitance ult\u00e9rieure encadr\u00e9e<\/td>RGPD art. 28.2 et 28.4<\/td>\ud83d\udd34 Critique<\/td><\/tr>
    Localisation et transferts hors UE<\/td>RGPD chapitre V + Schrems II<\/td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr>
    Notification d’incidents<\/td>RGPD art. 33 + DPA<\/td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr>
    Certifications (ISO 27001, SOC 2, HDS)<\/td>Bonne pratique + art. 28.1<\/td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr>
    Droit d’audit effectif<\/td>RGPD art. 28.3.h<\/td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr>
    Restitution\/suppression en fin de contrat<\/td>RGPD art. 28.3.g<\/td>\ud83d\udfe1 Moyenne<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    4. Les pi\u00e8ges les plus fr\u00e9quents en pratique<\/h2>\n\n\n\n

    Plusieurs pi\u00e8ges r\u00e9currents compromettent les d\u00e9marches d’audit sous-traitant RGPD pourtant engag\u00e9es de bonne foi. Les identifier permet d’\u00e9viter les principales causes d’\u00e9chec et de sanctions ult\u00e9rieures.<\/p>\n\n\n\n

    4.1 La cartographie incompl\u00e8te des sous-traitants<\/h3>\n\n\n\n

    L’erreur initiale la plus fr\u00e9quente est de s’appuyer sur l’inventaire fourni par la direction des achats ou l’IT. Cette source est presque toujours incompl\u00e8te : elle ignore les outils gratuits utilis\u00e9s par les \u00e9quipes, les SaaS pay\u00e9s par carte bancaire d’entreprise, les prestataires occasionnels jamais r\u00e9f\u00e9renc\u00e9s. Une cartographie efficace combine plusieurs sources : achats, IT, factures, t\u00e9moignages d’\u00e9quipes, scan technique du SI. L’omission d’un sous-traitant signifie l’absence de DPA et donc une non-conformit\u00e9 directe.<\/p>\n\n\n\n

    4.2 La confiance excessive dans les certifications<\/h3>\n\n\n\n

    Une certification ISO 27001 ou SOC 2 n’est pas un blanc-seing. Ces certifications attestent d’un syst\u00e8me de management de la s\u00e9curit\u00e9 mais ne valident pas la conformit\u00e9 RGPD sp\u00e9cifique du traitement concern\u00e9. Un sous-traitant certifi\u00e9 ISO 27001 peut parfaitement avoir un DPA non conforme, ne pas informer correctement de ses sous-traitants ult\u00e9rieurs, ou maintenir des transferts hors UE probl\u00e9matiques. La certification doit \u00eatre un point de d\u00e9part, pas un point d’arriv\u00e9e. Pour aller plus loin, consultez nos services en mati\u00e8re de contrats informatiques<\/strong><\/a>.<\/p>\n\n\n\n

    4.3 La n\u00e9gligence des sous-traitants ult\u00e9rieurs<\/h3>\n\n\n\n

    Les sous-traitants ult\u00e9rieurs (sub-processors) sont souvent l’angle mort des programmes RGPD. Un \u00e9diteur SaaS principal peut recourir \u00e0 plusieurs dizaines de sous-traitants ult\u00e9rieurs (h\u00e9bergement, monitoring, support, analytics, IA). Chacun repr\u00e9sente potentiellement un point de fragilit\u00e9 juridique. L’article 28.2 du RGPD impose une transparence active de la part du sous-traitant principal \u2014 mais en pratique, cette information est souvent incompl\u00e8te ou dissimul\u00e9e dans des documents annexes. Exiger une liste exhaustive \u00e0 jour est une bonne pratique non n\u00e9gociable.<\/p>\n\n\n\n

    4.4 L’absence d’audit post-contractualisation<\/h3>\n\n\n\n

    Le pi\u00e8ge classique consiste \u00e0 investir massivement dans la phase de s\u00e9lection et de contractualisation initiale, puis \u00e0 ne plus auditer pendant des ann\u00e9es. Or les pratiques d’un sous-traitant \u00e9voluent : nouveaux sous-traitants ult\u00e9rieurs, changement de localisation des donn\u00e9es, abandon d’une certification, rachat par un groupe \u00e9tranger. Sans audit p\u00e9riodique, le DPA initial peut devenir obsol\u00e8te sans que le responsable de traitement en soit averti.<\/p>\n\n\n\n

    4.5 Le traitement uniforme de tous les sous-traitants<\/h3>\n\n\n\n

    Auditer tous les sous-traitants avec la m\u00eame profondeur est \u00e0 la fois co\u00fbteux et inefficace. Une approche par criticit\u00e9 s’impose : audit annuel approfondi pour les sous-traitants critiques (sant\u00e9, finance, donn\u00e9es sensibles \u00e0 grande \u00e9chelle), revue documentaire all\u00e9g\u00e9e pour les sous-traitants secondaires, qualification de base pour les sous-traitants occasionnels. Cette hi\u00e9rarchisation de l’audit sous-traitant RGPD optimise les ressources tout en s\u00e9curisant les enjeux majeurs.<\/p>\n\n\n\n

    5. Pourquoi faire appel \u00e0 Atias Avocats<\/h2>\n\n\n\n

    Conduire un programme d’audit sous-traitant RGPD performant exige une combinaison rare de comp\u00e9tences : ma\u00eetrise fine du RGPD et de la doctrine CNIL, connaissance des architectures techniques (cloud, SaaS, sous-traitance en cascade), expertise contractuelle (r\u00e9daction et n\u00e9gociation de DPA conformes), capacit\u00e9 \u00e0 articuler la conformit\u00e9 RGPD avec les exigences AI Act et NIS2 d\u00e9sormais convergentes. Cette pluridisciplinarit\u00e9 est pr\u00e9cis\u00e9ment la valeur ajout\u00e9e d’un cabinet sp\u00e9cialis\u00e9 en droit du num\u00e9rique.<\/p>\n\n\n\n

    Atias Avocats accompagne entreprises, startups et grands comptes sur l’ensemble du cycle de gouvernance des sous-traitants : cartographie initiale et qualification juridique, \u00e9laboration des grilles d’audit standardis\u00e9es, r\u00e9daction et n\u00e9gociation des DPA conformes article 28, audits de sous-traitants critiques, mise en place de la gouvernance vendor management dans la dur\u00e9e, accompagnement des incidents et des contentieux avec les sous-traitants.<\/p>\n\n\n\n

    Conclusion<\/h2>\n\n\n\n

    La gestion rigoureuse de la sous-traitance n’est plus une option pour les responsables de traitement. C’est une obligation structurante qui conditionne directement leur conformit\u00e9 globale au RGPD \u2014 et leur exposition aux sanctions de la CNIL et des autres autorit\u00e9s europ\u00e9ennes. La m\u00e9thode d’audit sous-traitant RGPD en cinq \u00e9tapes pr\u00e9sent\u00e9e ici offre une approche \u00e9prouv\u00e9e pour transformer cette obligation en d\u00e9marche ma\u00eetris\u00e9e : cartographie exhaustive, \u00e9valuation pr\u00e9-contractuelle, DPA conforme, audit p\u00e9riodique, gestion de fin de relation.<\/p>\n\n\n\n

    Au-del\u00e0 du risque juridique, une d\u00e9marche structur\u00e9e d’audit sous-traitant RGPD pr\u00e9sente plusieurs b\u00e9n\u00e9fices op\u00e9rationnels : am\u00e9lioration de la qualit\u00e9 des sous-traitants s\u00e9lectionn\u00e9s, r\u00e9duction du risque cyber par effet d’entra\u00eenement, renforcement de la confiance des clients finaux et des partenaires B2B exigeants. L’investissement requis \u2014 variable selon le portefeuille de sous-traitants \u2014 s’amortit largement par l’\u00e9vitement des sanctions et par l’effet positif sur la r\u00e9silience op\u00e9rationnelle de l’organisation.<\/p>\n\n\n\n

    FAQ \u2014 Questions fr\u00e9quentes<\/h2>\n\n\n\n

    Quels sont les crit\u00e8res de choix d’un sous-traitant conforme RGPD ?<\/h3>\n\n\n\n

    Cinq crit\u00e8res principaux guident le choix d’un sous-traitant conforme : les garanties suffisantes en mati\u00e8re de mesures techniques et organisationnelles (article 28.1 RGPD), les certifications pertinentes (ISO 27001, SOC 2, HDS pour les donn\u00e9es de sant\u00e9, SecNumCloud pour les organismes sensibles), la localisation des donn\u00e9es et la politique vis-\u00e0-vis des transferts hors UE, la qualit\u00e9 de la politique de sous-traitance ult\u00e9rieure, et la transparence sur les proc\u00e9dures de notification des incidents. Aucun sous-traitant ne doit \u00eatre engag\u00e9 sans validation explicite de ces crit\u00e8res.<\/p>\n\n\n\n

    \u00c0 quelle fr\u00e9quence faut-il auditer ses sous-traitants RGPD ?<\/h3>\n\n\n\n

    La fr\u00e9quence d\u00e9pend de la criticit\u00e9 du sous-traitant. Pour les sous-traitants strat\u00e9giques traitant des donn\u00e9es sensibles ou en grande quantit\u00e9, un audit annuel minimum est recommand\u00e9 (questionnaire d’auto-\u00e9valuation, revue des certifications, v\u00e9rification des sous-traitants ult\u00e9rieurs). Pour les sous-traitants secondaires, un cycle de 24 \u00e0 36 mois peut suffire. Tout incident significatif chez un sous-traitant ou toute \u00e9volution majeure (rachat, changement de localisation, nouvelle r\u00e9glementation) doit d\u00e9clencher un audit ad hoc ind\u00e9pendamment du calendrier pr\u00e9vu.<\/p>\n\n\n\n

    Les certifications ISO 27001 ou SOC 2 suffisent-elles pour la conformit\u00e9 RGPD ?<\/h3>\n\n\n\n

    Non, ces certifications sont des indicateurs importants mais ne suffisent pas. La certification ISO 27001 valide un syst\u00e8me de management de la s\u00e9curit\u00e9 de l’information, le SOC 2 atteste de la mise en \u0153uvre de contr\u00f4les sp\u00e9cifiques. Ces certifications constituent des pr\u00e9somptions de garanties suffisantes au sens de l’article 28.1 RGPD, mais elles doivent \u00eatre compl\u00e9t\u00e9es par : un DPA conforme \u00e0 l’article 28.3, une analyse sp\u00e9cifique des traitements concern\u00e9s, une v\u00e9rification des sous-traitants ult\u00e9rieurs, et une \u00e9valuation des transferts internationaux le cas \u00e9ch\u00e9ant.<\/p>\n\n\n\n

    Comment g\u00e9rer les sous-traitants ult\u00e9rieurs (sub-processors) ?<\/h3>\n\n\n\n

    La sous-traitance ult\u00e9rieure est strictement encadr\u00e9e par l’article 28.2 RGPD. Le sous-traitant ne peut recruter un sous-traitant ult\u00e9rieur qu’avec autorisation \u00e9crite pr\u00e9alable du responsable de traitement (autorisation sp\u00e9cifique ou g\u00e9n\u00e9rale). En cas d’autorisation g\u00e9n\u00e9rale, le sous-traitant doit informer le responsable de tout changement avec un d\u00e9lai permettant de s’y opposer. Le contrat avec le sous-traitant ult\u00e9rieur doit pr\u00e9voir les m\u00eames obligations que le contrat principal. En pratique, exiger une liste \u00e0 jour des sous-traitants ult\u00e9rieurs et un m\u00e9canisme de notification fiable est indispensable.<\/p>\n\n\n\n

    Quelles sanctions encourt l’entreprise qui n’audite pas ses sous-traitants ?<\/h3>\n\n\n\n

    La CNIL a sanctionn\u00e9 \u00e0 plusieurs reprises des responsables de traitement pour d\u00e9faut de vigilance sur leurs sous-traitants, sur le fondement des articles 28 et 32 RGPD. Les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial (article 83.4) pour les manquements \u00e0 l’article 28. \u00c0 ces sanctions administratives s’ajoute la responsabilit\u00e9 civile envers les personnes concern\u00e9es en cas d’incident, et l’impact r\u00e9putationnel d’une d\u00e9cision rendue publique. L’audit r\u00e9gulier des sous-traitants n’est donc pas une option mais une obligation op\u00e9rationnelle structurante.<\/p>\n\n\n\n


    Contact :     david@atiasavocats.com<\/a> | LinkedIn: David Joseph Atias<\/em><\/a> | https:\/\/www.atiasavocats.com<\/a> | 42 rue de la Clef, 75005 Paris<\/p>\n\n\n\n

    Atias Avocats \u2014 Droit du num\u00e9rique, RGPD, Contrats IT, Cybers\u00e9curit\u00e9<\/em><\/p>","protected":false},"excerpt":{"rendered":"

    Par\u00a0Joseph David Atias, avocat au Barreau de Paris \u00b7\u00a0LinkedIn\u00a0\u00b7 Mai 2026 Le responsable de traitement reste pleinement responsable des manquements RGPD de ses sous-traitants \u2014 c’est l’un des principes structurants…<\/p>","protected":false},"author":1,"featured_media":22641,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[186],"tags":[],"class_list":["post-22640","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-legal-services"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/22640","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/comments?post=22640"}],"version-history":[{"count":1,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/22640\/revisions"}],"predecessor-version":[{"id":22642,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/22640\/revisions\/22642"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media\/22641"}],"wp:attachment":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media?parent=22640"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/categories?post=22640"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/tags?post=22640"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}