{"id":23147,"date":"2026-07-13T22:00:00","date_gmt":"2026-07-13T22:00:00","guid":{"rendered":"https:\/\/atiasavocats.com\/?p=23147"},"modified":"2026-07-12T17:20:31","modified_gmt":"2026-07-12T17:20:31","slug":"sous-traitants-ulterieurs-cascade-rgpd","status":"publish","type":"post","link":"https:\/\/atiasavocats.com\/en\/sous-traitants-ulterieurs-cascade-rgpd\/","title":{"rendered":"Sous-traitants ult\u00e9rieurs (sub-processors) : g\u00e9rer la cascade"},"content":{"rendered":"<p class=\"wp-block-paragraph\"><em><br><em>Par\u00a0<\/em><a href=\"https:\/\/www.malt.fr\/profile\/josephdavidatias\" target=\"_blank\" rel=\"noopener\"><em>David Joseph Atias<\/em><\/a><em>, avocat au Barreau de Paris \u00b7\u00a0<\/em><a href=\"https:\/\/www.linkedin.com\/in\/david-joseph-atias-b04a7153\" target=\"_blank\" rel=\"noopener\"><em>LinkedIn<\/em><\/a><em>\u00a0\u00b7 Juillet 2026<\/em><\/em><\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">Vos donn\u00e9es ne sont jamais trait\u00e9es par un seul prestataire. Derri\u00e8re votre \u00e9diteur SaaS se cache un h\u00e9bergeur cloud, lui-m\u00eame appuy\u00e9 sur d&rsquo;autres services. C&rsquo;est la cascade de sous-traitance, et elle est un angle mort majeur de la conformit\u00e9. Les sous-traitants ult\u00e9rieurs (sub-processors) prolongent la cha\u00eene de traitement de vos donn\u00e9es, souvent \u00e0 votre insu. Le RGPD impose pourtant de les autoriser, de les contr\u00f4ler et de leur r\u00e9percuter les m\u00eames obligations. Cet article d\u00e9crypte le r\u00e9gime des sous-traitants ult\u00e9rieurs, son cadre juridique et les pi\u00e8ges \u00e0 \u00e9viter pour reprendre le contr\u00f4le de votre cha\u00eene.<\/p>\n<\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">SOMMAIRE<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><a href=\"#section-1\">Pourquoi la cascade de sous-traitance est strat\u00e9gique en 2026<\/a><\/li>\n\n\n\n<li><a href=\"#section-2\">Le cadre juridique applicable<\/a><\/li>\n\n\n\n<li><a href=\"#section-3\">Les 6 obligations cl\u00e9s \u00e0 ma\u00eetriser<\/a><\/li>\n\n\n\n<li><a href=\"#section-4\">Tableau de synth\u00e8se des obligations<\/a><\/li>\n\n\n\n<li><a href=\"#section-5\">Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/a><\/li>\n\n\n\n<li><a href=\"#section-6\">Pourquoi faire appel \u00e0 Atias Avocats<\/a><\/li>\n\n\n\n<li><a href=\"#faq\">FAQ \u2014 Questions fr\u00e9quentes<\/a><\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">1. Pourquoi la cascade de sous-traitance est strat\u00e9gique en 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La cha\u00eene de sous-traitance s&rsquo;allonge sans cesse. Chaque service en appelle d&rsquo;autres, dans une cascade complexe. Trois dynamiques renforcent l&rsquo;importance des sous-traitants ult\u00e9rieurs en 2026.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.1 La multiplication des maillons<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Un outil SaaS repose rarement sur sa seule infrastructure. Il s&rsquo;appuie sur un h\u00e9bergeur cloud, un service d&rsquo;e-mailing, un outil d&rsquo;analyse, parfois une brique d&rsquo;IA. Chacun est un maillon suppl\u00e9mentaire. La cha\u00eene compte donc souvent plusieurs niveaux. Or, le responsable de traitement reste responsable de l&rsquo;ensemble. Cette multiplication des maillons d\u00e9multiplie le risque et rend la ma\u00eetrise de la cha\u00eene indispensable.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.2 Le contr\u00f4le accru de la CNIL<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La CNIL examine de plus en plus la cha\u00eene de sous-traitance. Elle v\u00e9rifie non seulement le contrat principal, mais aussi les prestataires en cascade et leurs garanties. Un maillon non conforme suffit \u00e0 caract\u00e9riser un manquement. La cascade n&rsquo;est donc plus un sujet technique : c&rsquo;est un point de contr\u00f4le majeur de la conformit\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.3 L&rsquo;irruption de l&rsquo;IA dans la cha\u00eene<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">En 2026, de nombreux services int\u00e8grent des briques d&rsquo;IA fournies par des tiers. Ces fournisseurs d&rsquo;IA deviennent des maillons de la cha\u00eene. Ils peuvent traiter les donn\u00e9es pour entra\u00eener leurs mod\u00e8les, ce qui soul\u00e8ve de nouveaux risques. Le responsable de traitement doit donc cartographier ces acteurs et encadrer leurs usages, en coh\u00e9rence avec l&rsquo;AI Act. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/personal-data\/\"><strong>services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. Le cadre juridique applicable<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le r\u00e9gime de la sous-traitance en cascade repose sur un socle pr\u00e9cis. Quatre fondements principaux structurent leur encadrement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.1 L&rsquo;autorisation pr\u00e9alable (article 28.2 du RGPD)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;article 28 paragraphe 2 du RGPD encadre le recours en cascade. Le sous-traitant ne peut recruter un autre sous-traitant sans autorisation \u00e9crite, pr\u00e9alable, sp\u00e9cifique ou g\u00e9n\u00e9rale, du responsable de traitement. Cette autorisation est la condition de la sous-traitance ult\u00e9rieure. Sans elle, le recours \u00e0 un nouveau prestataire est irr\u00e9gulier. C&rsquo;est la premi\u00e8re r\u00e8gle \u00e0 respecter dans la gestion de la cascade.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.2 L&rsquo;information et le droit d&rsquo;opposition<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">En cas d&rsquo;autorisation g\u00e9n\u00e9rale, le sous-traitant doit informer le responsable de tout ajout ou remplacement de prestataires. Le responsable doit pouvoir s&rsquo;y opposer. Cette information ne peut \u00eatre th\u00e9orique : elle doit \u00eatre effective et donner un d\u00e9lai raisonnable. Un droit d&rsquo;opposition vid\u00e9 de substance ne respecte pas le RGPD. Le contrat doit organiser concr\u00e8tement cette information et cette facult\u00e9 d&rsquo;opposition.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.3 La r\u00e9percussion des obligations (article 28.4 du RGPD)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;article 28 paragraphe 4 du RGPD pose le principe central. Le sous-traitant doit imposer \u00e0 ses propres prestataires les m\u00eames obligations de protection que celles qui le lient au responsable. C&rsquo;est la r\u00e9percussion en cascade. Le niveau de protection doit rester constant \u00e0 chaque maillon. Cette exigence garantit que la cha\u00eene ne se fragilise pas en descendant. Elle est au c\u0153ur du dispositif.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.4 La responsabilit\u00e9 maintenue et l&rsquo;AI Act<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;article 28 paragraphe 4 pr\u00e9cise aussi que le sous-traitant reste pleinement responsable, envers le responsable, des manquements de ses propres prestataires. La responsabilit\u00e9 remonte donc la cha\u00eene. De plus, lorsqu&rsquo;un sous-traitant ult\u00e9rieur fournit une brique d&rsquo;IA, le R\u00e8glement UE 2024\/1689 (AI Act) peut s&rsquo;appliquer, ajoutant des obligations de transparence. La cha\u00eene de sous-traitance croise ainsi plusieurs r\u00e9glementations. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/it-contracts\/\"><strong>services en mati\u00e8re de contrats commerciaux et IT<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. Les 6 obligations cl\u00e9s \u00e0 ma\u00eetriser<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La gestion des sous-traitants ult\u00e9rieurs repose sur six obligations cl\u00e9s. Les ma\u00eetriser permet de s\u00e9curiser toute la cha\u00eene de traitement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.1 Encadrer l&rsquo;autorisation<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La premi\u00e8re obligation est l&rsquo;autorisation. Le contrat doit pr\u00e9ciser le r\u00e9gime retenu : autorisation sp\u00e9cifique ou g\u00e9n\u00e9rale. En cas d&rsquo;autorisation g\u00e9n\u00e9rale, il faut d\u00e9finir les modalit\u00e9s d&rsquo;information et le d\u00e9lai d&rsquo;opposition. Le responsable de traitement doit conserver un v\u00e9ritable pouvoir de d\u00e9cision. Une autorisation claire est la base d&rsquo;une cascade ma\u00eetris\u00e9e.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.2 Tenir la liste des sous-traitants<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La deuxi\u00e8me obligation est la transparence. Le sous-traitant doit fournir et tenir \u00e0 jour la liste de ses prestataires en cascade. Cette liste pr\u00e9cise l&rsquo;identit\u00e9, la localisation et la nature des prestations de chaque acteur. Elle permet au responsable de conna\u00eetre r\u00e9ellement sa cha\u00eene. Sans liste \u00e0 jour, aucun contr\u00f4le n&rsquo;est possible. C&rsquo;est un document essentiel de la gouvernance.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.3 R\u00e9percuter les obligations en cascade<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La troisi\u00e8me obligation est la r\u00e9percussion. Chaque maillon doit \u00eatre li\u00e9 par un contrat reprenant les m\u00eames garanties que le contrat principal. S\u00e9curit\u00e9, confidentialit\u00e9, notification, audit, restrictions de transfert : tout doit descendre la cha\u00eene. Cette exigence de l&rsquo;article 28.4 du RGPD garantit un niveau de protection homog\u00e8ne. Une rupture dans la cascade cr\u00e9e une faille de conformit\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.4 V\u00e9rifier les garanties de s\u00e9curit\u00e9<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La quatri\u00e8me obligation est la v\u00e9rification. Le responsable et le sous-traitant doivent s&rsquo;assurer que chaque prestataire de la cha\u00eene pr\u00e9sente des garanties suffisantes (article 28.1 du RGPD). Cela passe par l&rsquo;examen des mesures de s\u00e9curit\u00e9, des certifications et de l&rsquo;annexe TOMS (mesures techniques et organisationnelles). Choisir un maillon non s\u00e9rieux fragilise toute la cha\u00eene. La v\u00e9rification est une diligence indispensable.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.5 Ma\u00eetriser les transferts hors UE<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La cinqui\u00e8me obligation concerne la localisation. Un prestataire en cascade peut \u00eatre situ\u00e9 hors de l&rsquo;Union europ\u00e9enne. Cela d\u00e9clenche les r\u00e8gles sur les transferts internationaux et l&rsquo;arr\u00eat Schrems II de la CJUE (C-311\/18). Le contrat doit identifier ces transferts et exiger les garanties appropri\u00e9es (clauses contractuelles types). Un prestataire hors UE non encadr\u00e9 est un risque majeur dans la cascade.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.6 Auditer la cha\u00eene<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La sixi\u00e8me obligation est l&rsquo;audit. Le droit d&rsquo;audit du responsable doit pouvoir s&rsquo;\u00e9tendre, en pratique, \u00e0 toute la cha\u00eene. Le contrat doit organiser ce contr\u00f4le, directement ou via des rapports et certifications. Une cascade jamais audit\u00e9e \u00e9chappe au contr\u00f4le. L&rsquo;audit p\u00e9riodique de la cha\u00eene est la garantie d&rsquo;une conformit\u00e9 durable, et non seulement affich\u00e9e.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Tableau de synth\u00e8se des obligations<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le tableau ci-dessous synth\u00e9tise les 6 obligations li\u00e9es \u00e0 la sous-traitance en cascade, leur fondement et leur niveau de criticit\u00e9.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">Obligation<\/th><th class=\"has-text-align-left\" data-align=\"left\">Fondement<\/th><th class=\"has-text-align-left\" data-align=\"left\">Criticit\u00e9<\/th><\/tr><\/thead><tbody><tr><td>1. Encadrer l&rsquo;autorisation<\/td><td>Art. 28.2 RGPD<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>2. Tenir la liste des sous-traitants<\/td><td>Transparence \/ Art. 28<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><tr><td>3. R\u00e9percuter les obligations<\/td><td>Art. 28.4 RGPD<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>4. V\u00e9rifier les garanties<\/td><td>Art. 28.1 RGPD<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>5. Ma\u00eetriser les transferts hors UE<\/td><td>Schrems II \/ Chap. V<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>6. Auditer la cha\u00eene<\/td><td>Art. 28.3 h) RGPD<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">5. Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Au-del\u00e0 des obligations, plusieurs pi\u00e8ges r\u00e9currents fragilisent la ma\u00eetrise de la cascade. Les identifier permet de s\u00e9curiser la cha\u00eene.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.1 Ignorer l&rsquo;existence des sous-traitants ult\u00e9rieurs<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le premier pi\u00e8ge est l&rsquo;aveuglement. Beaucoup de responsables de traitement ignorent que leur prestataire recourt \u00e0 d&rsquo;autres. La cha\u00eene reste invisible, donc incontr\u00f4l\u00e9e. Or, leur responsabilit\u00e9 s&rsquo;\u00e9tend \u00e0 toute la cascade. Il faut donc exiger la liste des prestataires et la conna\u00eetre. Ignorer la cha\u00eene, c&rsquo;est accepter un risque que l&rsquo;on ne mesure pas.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.2 Se contenter d&rsquo;une information sans droit d&rsquo;opposition r\u00e9el<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le deuxi\u00e8me pi\u00e8ge est l&rsquo;opposition fictive. Certains contrats pr\u00e9voient une simple information sur les nouveaux prestataires, sans v\u00e9ritable facult\u00e9 de s&rsquo;y opposer. C&rsquo;est insuffisant. L&rsquo;information doit s&rsquo;accompagner d&rsquo;un droit d&rsquo;opposition effectif, avec un d\u00e9lai raisonnable. Une clause qui annonce un changement sans permettre de le refuser ne respecte pas le RGPD. Le droit d&rsquo;opposition doit \u00eatre r\u00e9el.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.3 Oublier de r\u00e9percuter les obligations<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le troisi\u00e8me pi\u00e8ge est la rupture de la cascade. Un sous-traitant peut accorder de fortes garanties au responsable, mais ne pas les imposer \u00e0 ses propres prestataires. Le niveau de protection chute alors en descendant la cha\u00eene. L&rsquo;article 28.4 du RGPD interdit cette rupture. Chaque maillon doit transmettre les m\u00eames obligations. V\u00e9rifier cette r\u00e9percussion est essentiel pour \u00e9viter une faille cach\u00e9e.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.4 N\u00e9gliger les transferts hors UE en bout de cha\u00eene<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le quatri\u00e8me pi\u00e8ge est le transfert invisible. Un prestataire en bout de cha\u00eene peut h\u00e9berger ou traiter les donn\u00e9es hors de l&rsquo;Union europ\u00e9enne. Ce transfert passe souvent inaper\u00e7u. Pourtant, il d\u00e9clenche les r\u00e8gles strictes de l&rsquo;arr\u00eat Schrems II. Il faut donc remonter toute la cascade pour identifier les transferts. Un maillon lointain hors UE peut exposer toute la cha\u00eene.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.5 Sous-estimer les fournisseurs d&rsquo;IA dans la cha\u00eene<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le cinqui\u00e8me pi\u00e8ge, sp\u00e9cifique \u00e0 2026, concerne l&rsquo;IA. Un maillon de la cha\u00eene peut \u00eatre un fournisseur d&rsquo;IA qui traite les donn\u00e9es pour entra\u00eener ses mod\u00e8les. Ce risque est souvent ignor\u00e9. Il faut l&rsquo;encadrer strictement, en coh\u00e9rence avec l&rsquo;AI Act. La pr\u00e9sence d&rsquo;un fournisseur d&rsquo;IA dans la cascade ajoute des obligations de transparence. Ce point de vigilance est devenu central dans la cha\u00eene de sous-traitance.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">6. Pourquoi faire appel \u00e0 Atias Avocats<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ma\u00eetriser la cascade de sous-traitance exige une combinaison rare de comp\u00e9tences : ma\u00eetrise du RGPD et de l&rsquo;article 28 (r\u00e9gime de la sous-traitance ult\u00e9rieure, r\u00e9percussion des obligations), connaissance des transferts internationaux (arr\u00eat Schrems II, clauses contractuelles types), pratique de la cartographie et de l&rsquo;audit des cha\u00eenes de traitement, et compr\u00e9hension des enjeux de l&rsquo;AI Act lorsqu&rsquo;un fournisseur d&rsquo;IA intervient. Cette pluridisciplinarit\u00e9 est pr\u00e9cis\u00e9ment la valeur ajout\u00e9e d&rsquo;un cabinet sp\u00e9cialis\u00e9 en protection des donn\u00e9es et contrats IT.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Atias Avocats accompagne DPO, DSI, directions juridiques, \u00e9diteurs SaaS, fondateurs et grands groupes sur l&rsquo;ensemble du sujet : r\u00e9daction et revue des clauses de sous-traitance ult\u00e9rieure, cartographie et audit de la cha\u00eene de sous-traitance, mise en place d&rsquo;une gouvernance des sous-traitants (autorisation, registre, mod\u00e8les de clauses), accompagnement sur l&rsquo;ajout ou le remplacement d&rsquo;un prestataire, mise en conformit\u00e9 Schrems II et AI Act, d\u00e9fense en cas de contr\u00f4le CNIL. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/personal-data\/\"><strong>services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusion<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La cascade de sous-traitance est un angle mort de la conformit\u00e9, et pourtant un point de contr\u00f4le majeur. La responsabilit\u00e9 du responsable de traitement s&rsquo;\u00e9tend \u00e0 toute la cha\u00eene, jusqu&rsquo;au maillon le plus \u00e9loign\u00e9. Les six obligations pr\u00e9sent\u00e9es ici \u2014 autorisation, liste, r\u00e9percussion, v\u00e9rification, transferts, audit \u2014 combin\u00e9es \u00e0 la vigilance sur les cinq pi\u00e8ges classiques, offrent un r\u00e9f\u00e9rentiel directement utilisable par DPO, DSI et directions juridiques pour reprendre le contr\u00f4le.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;investissement requis pour ma\u00eetriser la cascade est sans commune mesure avec le co\u00fbt d&rsquo;un maillon non conforme. \u00c0 l&rsquo;heure des contr\u00f4les renforc\u00e9s et de l&rsquo;IA dans la cha\u00eene, ignorer ses sous-traitants ult\u00e9rieurs n&rsquo;est plus tenable. Le r\u00e9flexe \u00e0 adopter est clair : conna\u00eetre sa cha\u00eene, encadrer l&rsquo;autorisation, r\u00e9percuter les obligations, v\u00e9rifier les garanties, ma\u00eetriser les transferts et auditer r\u00e9guli\u00e8rement. C&rsquo;est pr\u00e9cis\u00e9ment cette rigueur qui transforme une cascade subie en cha\u00eene ma\u00eetris\u00e9e et conforme.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">FAQ \u2014 Questions fr\u00e9quentes<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Qu&rsquo;est-ce qu&rsquo;un sous-traitant ult\u00e9rieur ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Un sous-traitant ult\u00e9rieur (en anglais sub-processor) est un prestataire auquel un sous-traitant fait appel pour ex\u00e9cuter tout ou partie du traitement de donn\u00e9es qu&rsquo;il r\u00e9alise pour le compte d&rsquo;un responsable de traitement. C&rsquo;est le deuxi\u00e8me maillon de la cha\u00eene de sous-traitance. Par exemple, un \u00e9diteur SaaS (sous-traitant de son client) recourt lui-m\u00eame \u00e0 un h\u00e9bergeur cloud, \u00e0 un service d&rsquo;e-mailing et \u00e0 un outil d&rsquo;analyse : ce sont ses sous-traitants ult\u00e9rieurs. Le RGPD encadre strictement ce recours en cascade par son article 28. Ces prestataires doivent \u00eatre soumis aux m\u00eames obligations de protection des donn\u00e9es que le sous-traitant initial. Le responsable de traitement doit pouvoir contr\u00f4ler cette cha\u00eene, car sa responsabilit\u00e9 s&rsquo;\u00e9tend \u00e0 l&rsquo;ensemble des acteurs qui traitent ses donn\u00e9es, m\u00eame indirectement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Faut-il autoriser les sous-traitants ult\u00e9rieurs ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Oui, l&rsquo;article 28 du RGPD impose une autorisation du responsable de traitement. Cette autorisation peut prendre deux formes. L&rsquo;autorisation sp\u00e9cifique : le sous-traitant demande l&rsquo;accord pour chaque nouveau prestataire ajout\u00e9 \u00e0 la cha\u00eene. L&rsquo;autorisation g\u00e9n\u00e9rale \u00e9crite : le responsable autorise par avance le recours en cascade, mais le sous-traitant doit l&rsquo;informer de tout ajout ou remplacement, et lui laisser la possibilit\u00e9 de s&rsquo;y opposer. En pratique, l&rsquo;autorisation g\u00e9n\u00e9rale est la plus courante. Elle suppose toutefois une information effective et un v\u00e9ritable droit d&rsquo;opposition. Un prestataire qui \u00e9largit la cha\u00eene sans information ni possibilit\u00e9 d&rsquo;opposition viole le RGPD. Le contrat de sous-traitance (DPA) doit pr\u00e9ciser le r\u00e9gime applicable et ses modalit\u00e9s concr\u00e8tes.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Quelles obligations s&rsquo;imposent aux sous-traitants ult\u00e9rieurs ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Les sous-traitants ult\u00e9rieurs doivent \u00eatre soumis aux m\u00eames obligations de protection des donn\u00e9es que le sous-traitant initial. C&rsquo;est le principe de r\u00e9percussion des obligations pos\u00e9 par l&rsquo;article 28 paragraphe 4 du RGPD. Concr\u00e8tement, le sous-traitant doit conclure avec chacun de ses prestataires un contrat qui reprend les m\u00eames garanties que celles qu&rsquo;il a lui-m\u00eame accord\u00e9es au responsable de traitement : s\u00e9curit\u00e9, confidentialit\u00e9, assistance, notification des violations, droit d&rsquo;audit, restrictions de transfert. Cette r\u00e9percussion en cascade garantit que le niveau de protection ne se d\u00e9grade pas \u00e0 mesure que l&rsquo;on descend dans la cha\u00eene. Si un prestataire manque \u00e0 ses obligations, le sous-traitant initial reste pleinement responsable envers le responsable de traitement. La ma\u00eetrise de la cha\u00eene est donc essentielle.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Qui est responsable en cas de faute d&rsquo;un sous-traitant ult\u00e9rieur ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La responsabilit\u00e9 remonte la cha\u00eene. L&rsquo;article 28 paragraphe 4 du RGPD le pr\u00e9cise : lorsque le prestataire ne remplit pas ses obligations, le sous-traitant initial demeure pleinement responsable envers le responsable de traitement de l&rsquo;ex\u00e9cution de ces obligations. Autrement dit, le sous-traitant ne peut pas se cacher derri\u00e8re la faute de son propre prestataire. De son c\u00f4t\u00e9, le responsable de traitement reste responsable vis-\u00e0-vis des personnes concern\u00e9es et de la CNIL. La faute d&rsquo;un maillon \u00e9loign\u00e9 peut donc engager toute la cha\u00eene. Cela explique pourquoi le contr\u00f4le des sous-traitants ult\u00e9rieurs et la r\u00e9percussion stricte des obligations sont indispensables. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><br>Contact : <a href=\"mailto:david@atiasavocats.com\">david@atiasavocats.com<\/a> | LinkedIn: <a href=\"https:\/\/www.linkedin.com\/in\/david-joseph-atias-b04a7153\" target=\"_blank\" rel=\"noopener\"><em>David Joseph Atias<\/em><\/a> | <a href=\"https:\/\/atiasavocats.com\/en\/\">https:\/\/www.atiasavocats.com<\/a> | 42 rue de la Clef, 75005 Paris<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Atias Avocats \u2014 RGPD, Sous-traitance, Protection des donn\u00e9es, Conformit\u00e9<\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Par\u00a0David Joseph Atias, avocat au Barreau de Paris \u00b7\u00a0LinkedIn\u00a0\u00b7 Juillet 2026 Vos donn\u00e9es ne sont jamais trait\u00e9es par un seul prestataire. Derri\u00e8re votre \u00e9diteur SaaS se cache un h\u00e9bergeur cloud,&hellip;<\/p>","protected":false},"author":1,"featured_media":23148,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[186],"tags":[],"class_list":["post-23147","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-legal-services"],"_links":{"self":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23147","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/comments?post=23147"}],"version-history":[{"count":2,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23147\/revisions"}],"predecessor-version":[{"id":23215,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23147\/revisions\/23215"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media\/23148"}],"wp:attachment":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media?parent=23147"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/categories?post=23147"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/tags?post=23147"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}