{"id":23157,"date":"2026-07-15T22:00:00","date_gmt":"2026-07-15T22:00:00","guid":{"rendered":"https:\/\/atiasavocats.com\/?p=23157"},"modified":"2026-07-12T17:20:31","modified_gmt":"2026-07-12T17:20:31","slug":"audit-rgpd-sous-traitant-methode","status":"publish","type":"post","link":"https:\/\/atiasavocats.com\/en\/audit-rgpd-sous-traitant-methode\/","title":{"rendered":"Audit RGPD d&rsquo;un sous-traitant : la m\u00e9thode op\u00e9rationnelle"},"content":{"rendered":"<p class=\"wp-block-paragraph\"><em><br><em>Par\u00a0<\/em><a href=\"https:\/\/www.malt.fr\/profile\/josephdavidatias\" target=\"_blank\" rel=\"noopener\"><em>David Joseph Atias<\/em><\/a><em>, avocat au Barreau de Paris \u00b7\u00a0<\/em><a href=\"https:\/\/www.linkedin.com\/in\/david-joseph-atias-b04a7153\" target=\"_blank\" rel=\"noopener\"><em>LinkedIn<\/em><\/a><em>\u00a0\u00b7 Juillet 2026<\/em><\/em><\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">Choisir un sous-traitant ne se limite pas \u00e0 signer un contrat. Le RGPD impose de v\u00e9rifier ses garanties, avant et pendant la relation. L&rsquo;audit RGPD d&rsquo;un sous-traitant est cette v\u00e9rification, trop souvent n\u00e9glig\u00e9e. Pourtant, en cas de violation de donn\u00e9es chez un prestataire, le responsable de traitement qui n&rsquo;a rien contr\u00f4l\u00e9 engage sa propre responsabilit\u00e9. La CNIL examine d\u00e9sormais la cha\u00eene de sous-traitance de pr\u00e8s. Cet article pr\u00e9sente la m\u00e9thode op\u00e9rationnelle en 7 \u00e9tapes pour auditer un sous-traitant, les documents \u00e0 examiner et les pi\u00e8ges \u00e0 \u00e9viter, afin de transformer une obligation en r\u00e9flexe de protection.<\/p>\n<\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">SOMMAIRE<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><a href=\"#section-1\">Pourquoi l&rsquo;audit RGPD d&rsquo;un sous-traitant est strat\u00e9gique en 2026<\/a><\/li>\n\n\n\n<li><a href=\"#section-2\">Le cadre juridique applicable<\/a><\/li>\n\n\n\n<li><a href=\"#section-3\">La m\u00e9thode en 7 \u00e9tapes<\/a><\/li>\n\n\n\n<li><a href=\"#section-4\">Tableau de synth\u00e8se des \u00e9tapes<\/a><\/li>\n\n\n\n<li><a href=\"#section-5\">Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/a><\/li>\n\n\n\n<li><a href=\"#section-6\">Pourquoi faire appel \u00e0 Atias Avocats<\/a><\/li>\n\n\n\n<li><a href=\"#faq\">FAQ \u2014 Questions fr\u00e9quentes<\/a><\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">1. Pourquoi l&rsquo;audit RGPD d&rsquo;un sous-traitant est strat\u00e9gique en 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">V\u00e9rifier ses sous-traitants n&rsquo;est plus optionnel. La responsabilit\u00e9 du responsable de traitement s&rsquo;\u00e9tend \u00e0 ses prestataires. Trois dynamiques renforcent l&rsquo;importance de cette v\u00e9rification en 2026.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.1 Une obligation dont il faut prouver le respect<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le RGPD impose de ne choisir que des sous-traitants offrant des garanties suffisantes. Mais cette obligation va plus loin : le responsable doit pouvoir le prouver. C&rsquo;est le principe d&rsquo;accountability. Sans audit document\u00e9, cette preuve est impossible. L&rsquo;audit RGPD d&rsquo;un sous-traitant devient donc la trace concr\u00e8te d&rsquo;une v\u00e9rification exig\u00e9e par la loi. Il mat\u00e9rialise une diligence dont l&rsquo;absence est un manquement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.2 Des contr\u00f4les CNIL sur toute la cha\u00eene<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La CNIL ne se limite plus au contrat principal. Elle examine la r\u00e9alit\u00e9 de la conformit\u00e9, y compris chez les sous-traitants. Un prestataire d\u00e9faillant r\u00e9v\u00e8le souvent l&rsquo;absence de contr\u00f4le du responsable. Les sanctions atteignent 20 millions d&rsquo;euros ou 4 % du chiffre d&rsquo;affaires mondial. V\u00e9rifier ses sous-traitants devient donc une protection directe contre le risque de sanction. La cha\u00eene enti\u00e8re est d\u00e9sormais scrut\u00e9e.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.3 Des risques nouveaux li\u00e9s \u00e0 l&rsquo;IA<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">En 2026, de nombreux sous-traitants int\u00e8grent des fonctions d&rsquo;IA. Ces fonctions peuvent traiter les donn\u00e9es de fa\u00e7on inattendue, par exemple pour entra\u00eener des mod\u00e8les. L&rsquo;audit doit donc d\u00e9sormais interroger ces usages, en coh\u00e9rence avec l&rsquo;AI Act (R\u00e8glement UE 2024\/1689). La v\u00e9rification s&rsquo;\u00e9tend ainsi aux nouveaux risques technologiques. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/personal-data\/\"><strong>services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. Le cadre juridique applicable<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;audit RGPD d&rsquo;un sous-traitant repose sur un socle pr\u00e9cis. Quatre fondements principaux justifient et encadrent cette v\u00e9rification.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.1 Les garanties suffisantes (article 28.1 du RGPD)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;article 28 paragraphe 1 du RGPD est le fondement de l&rsquo;audit. Il impose de ne recourir qu&rsquo;\u00e0 des sous-traitants pr\u00e9sentant des garanties suffisantes de conformit\u00e9. Ces garanties portent sur la s\u00e9curit\u00e9, l&rsquo;organisation et le s\u00e9rieux du prestataire. Le responsable doit les v\u00e9rifier avant de confier les donn\u00e9es. L&rsquo;audit est l&rsquo;outil de cette v\u00e9rification. Sans lui, l&rsquo;exigence de garanties suffisantes reste th\u00e9orique.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.2 Le principe d&rsquo;accountability (article 5.2)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;article 5 paragraphe 2 du RGPD impose la responsabilit\u00e9 de d\u00e9montrer sa conformit\u00e9. La charge de la preuve p\u00e8se sur le responsable de traitement. Il doit pouvoir prouver qu&rsquo;il a v\u00e9rifi\u00e9 ses sous-traitants. Un audit document\u00e9 constitue cette preuve. En cas de contr\u00f4le, il d\u00e9montre la diligence accomplie. L&rsquo;audit RGPD d&rsquo;un sous-traitant n&rsquo;est donc pas seulement utile : il est probatoire.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.3 Le droit d&rsquo;audit contractuel (article 28.3)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;article 28 paragraphe 3 du RGPD pr\u00e9voit que le sous-traitant met \u00e0 disposition du responsable les informations n\u00e9cessaires et permet des audits. Ce droit d&rsquo;audit doit figurer dans le DPA (Data Processing Agreement, l&rsquo;accord de sous-traitance). Il fonde la possibilit\u00e9 concr\u00e8te de contr\u00f4ler le prestataire. Un DPA qui vide ce droit de sa substance est probl\u00e9matique. Le droit d&rsquo;audit est la cl\u00e9 op\u00e9rationnelle de la v\u00e9rification.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.4 La s\u00e9curit\u00e9 et l&rsquo;AI Act<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;article 32 du RGPD impose des mesures de s\u00e9curit\u00e9 adapt\u00e9es, que l&rsquo;audit doit v\u00e9rifier. De plus, lorsque le sous-traitant utilise un syst\u00e8me d&rsquo;IA, le R\u00e8glement UE 2024\/1689 (AI Act) ajoute des obligations : transparence, surveillance humaine, encadrement des syst\u00e8mes \u00e0 haut risque. L&rsquo;audit moderne int\u00e8gre donc ces nouveaux points de contr\u00f4le. Il croise plusieurs r\u00e9glementations. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/it-contracts\/\"><strong>services en mati\u00e8re de contrats commerciaux et IT<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. La m\u00e9thode en 7 \u00e9tapes<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Un audit efficace suit une m\u00e9thode structur\u00e9e en sept \u00e9tapes. Chacune v\u00e9rifie un aspect essentiel de la conformit\u00e9 du sous-traitant.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.1 Cartographier le traitement et le risque<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La premi\u00e8re \u00e9tape situe l&rsquo;enjeu. Il faut identifier les donn\u00e9es confi\u00e9es au sous-traitant, leur nature (sensibles ou non), leur volume et les finalit\u00e9s. Cette cartographie d\u00e9termine le niveau de risque et donc l&rsquo;intensit\u00e9 de l&rsquo;audit. Un traitement de donn\u00e9es sensibles exige un contr\u00f4le renforc\u00e9. Cette premi\u00e8re \u00e9tape oriente toute la d\u00e9marche. Elle \u00e9vite un audit disproportionn\u00e9 ou insuffisant.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.2 Examiner le DPA et sa conformit\u00e9<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La deuxi\u00e8me \u00e9tape v\u00e9rifie le contrat. Le DPA doit respecter les mentions obligatoires de l&rsquo;article 28 : finalit\u00e9s, dur\u00e9e, obligations, s\u00e9curit\u00e9, sous-traitance ult\u00e9rieure. Il faut v\u00e9rifier que le droit d&rsquo;audit est r\u00e9el et que les responsabilit\u00e9s sont \u00e9quilibr\u00e9es. Un DPA lacunaire est un premier signal d&rsquo;alerte. L&rsquo;examen du contrat est le socle de l&rsquo;audit RGPD d&rsquo;un sous-traitant.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.3 Contr\u00f4ler les mesures de s\u00e9curit\u00e9 (TOMS)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La troisi\u00e8me \u00e9tape porte sur la s\u00e9curit\u00e9. Il faut examiner l&rsquo;annexe TOMS (mesures techniques et organisationnelles) et sa pr\u00e9cision. Les mesures sont-elles concr\u00e8tes et adapt\u00e9es au risque ? Le chiffrement, le contr\u00f4le d&rsquo;acc\u00e8s, la journalisation sont-ils d\u00e9crits ? Les certifications (ISO 27001, SOC 2) confortent l&rsquo;analyse. Une s\u00e9curit\u00e9 vague est un facteur de risque majeur \u00e0 documenter.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.4 V\u00e9rifier la cha\u00eene de sous-traitance<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La quatri\u00e8me \u00e9tape remonte la cascade. Il faut obtenir la liste des sous-traitants ult\u00e9rieurs du prestataire et v\u00e9rifier leurs garanties. Le r\u00e9gime d&rsquo;autorisation et d&rsquo;information est-il respect\u00e9 ? Les obligations sont-elles r\u00e9percut\u00e9es en cascade ? Un maillon faible en aval fragilise toute la cha\u00eene. Cette v\u00e9rification est souvent n\u00e9glig\u00e9e, alors qu&rsquo;elle est essentielle.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.5 Analyser les transferts hors UE<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La cinqui\u00e8me \u00e9tape traite de la localisation. Les donn\u00e9es sont-elles h\u00e9berg\u00e9es ou accessibles hors de l&rsquo;Union europ\u00e9enne ? Si oui, quelles garanties encadrent ces transferts ? L&rsquo;arr\u00eat Schrems II de la CJUE (C-311\/18) impose des clauses contractuelles types et une analyse d&rsquo;impact des transferts. Un transfert non encadr\u00e9 est une non-conformit\u00e9 grave. Cette \u00e9tape est cruciale pour les prestataires internationaux.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.6 \u00c9valuer la gestion des violations et de l&rsquo;IA<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La sixi\u00e8me \u00e9tape teste la r\u00e9activit\u00e9. Comment le sous-traitant d\u00e9tecte-t-il et notifie-t-il les violations de donn\u00e9es ? Le d\u00e9lai d&rsquo;alerte permet-il de respecter les 72 heures envers la CNIL (article 33) ? Si le prestataire utilise de l&rsquo;IA, ses usages sont-ils encadr\u00e9s au regard de l&rsquo;AI Act ? Cette \u00e9tape \u00e9value la capacit\u00e9 de r\u00e9action et les risques technologiques nouveaux.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.7 Formaliser le rapport et le plan d&rsquo;action<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La septi\u00e8me \u00e9tape conclut l&rsquo;audit. Il faut formaliser un rapport \u00e9crit, qui constate les points conformes et les \u00e9carts. Ce rapport hi\u00e9rarchise les non-conformit\u00e9s et propose un plan de rem\u00e9diation avec des d\u00e9lais. Il constitue la preuve de la diligence accomplie. Sans formalisation, l&rsquo;audit perd sa valeur probatoire. Le rapport est le livrable essentiel de la d\u00e9marche.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Tableau de synth\u00e8se des \u00e9tapes<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le tableau ci-dessous synth\u00e9tise les 7 \u00e9tapes de l&rsquo;audit, leur objet et leur niveau de criticit\u00e9.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">\u00c9tape<\/th><th class=\"has-text-align-left\" data-align=\"left\">Objet<\/th><th class=\"has-text-align-left\" data-align=\"left\">Criticit\u00e9<\/th><\/tr><\/thead><tbody><tr><td>1. Cartographier le risque<\/td><td>Calibrer l&rsquo;audit<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><tr><td>2. Examiner le DPA<\/td><td>V\u00e9rifier le contrat (art. 28)<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>3. Contr\u00f4ler la s\u00e9curit\u00e9 (TOMS)<\/td><td>Prot\u00e9ger les donn\u00e9es<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>4. V\u00e9rifier la cha\u00eene<\/td><td>Contr\u00f4ler les sous-traitants<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><tr><td>5. Analyser les transferts<\/td><td>Encadrer le hors UE (Schrems II)<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>6. Violations et IA<\/td><td>Tester la r\u00e9activit\u00e9<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><tr><td>7. Rapport et plan d&rsquo;action<\/td><td>Prouver la diligence<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">5. Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Au-del\u00e0 de la m\u00e9thode, plusieurs pi\u00e8ges r\u00e9currents fragilisent l&rsquo;audit. Les identifier permet de le rendre r\u00e9ellement efficace.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.1 Se contenter d&rsquo;un questionnaire d\u00e9claratif<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le premier pi\u00e8ge est l&rsquo;audit purement d\u00e9claratif. Envoyer un questionnaire et se fier aux r\u00e9ponses ne suffit pas. Un sous-traitant peut affirmer sa conformit\u00e9 sans la d\u00e9montrer. Il faut demander des preuves : certificats, extraits de politique, rapports. L&rsquo;audit RGPD d&rsquo;un sous-traitant doit confronter les d\u00e9clarations \u00e0 des \u00e9l\u00e9ments tangibles. Croire sur parole est le risque le plus courant.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.2 N\u00e9gliger les sous-traitants ult\u00e9rieurs<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le deuxi\u00e8me pi\u00e8ge est l&rsquo;oubli de la cascade. Auditer le prestataire direct sans regarder ses propres sous-traitants laisse un angle mort. Or, la responsabilit\u00e9 s&rsquo;\u00e9tend \u00e0 toute la cha\u00eene. Un maillon lointain non conforme peut suffire \u00e0 cr\u00e9er une faille. Il faut donc exiger la liste des sous-traitants ult\u00e9rieurs et v\u00e9rifier leurs garanties. La cha\u00eene enti\u00e8re doit \u00eatre audit\u00e9e.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.3 Confondre certification et conformit\u00e9<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le troisi\u00e8me pi\u00e8ge est l&rsquo;exc\u00e8s de confiance dans les certifications. Une certification (ISO 27001, SOC 2) est utile, mais ne prouve pas tout. Elle atteste d&rsquo;un r\u00e9f\u00e9rentiel, pas de la conformit\u00e9 RGPD compl\u00e8te du traitement pr\u00e9cis. Il faut donc l&rsquo;analyser de fa\u00e7on critique, en v\u00e9rifiant son p\u00e9rim\u00e8tre et sa validit\u00e9. Une certification n&rsquo;est pas un blanc-seing. Elle conforte l&rsquo;audit sans le remplacer.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.4 Oublier de formaliser le rapport<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le quatri\u00e8me pi\u00e8ge est l&rsquo;audit non document\u00e9. V\u00e9rifier sans \u00e9crire ne laisse aucune preuve. Or, l&rsquo;accountability exige de d\u00e9montrer la diligence. Un audit non formalis\u00e9 est, pour la CNIL, un audit inexistant. Il faut donc r\u00e9diger un rapport constatant les points v\u00e9rifi\u00e9s, les \u00e9carts et le plan d&rsquo;action. La formalisation transforme la v\u00e9rification en preuve opposable.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.5 Auditer une fois puis oublier<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le cinqui\u00e8me pi\u00e8ge est l&rsquo;audit ponctuel. V\u00e9rifier un sous-traitant \u00e0 la signature, puis ne jamais y revenir, est insuffisant. La conformit\u00e9 \u00e9volue : les mesures changent, de nouveaux sous-traitants apparaissent, l&rsquo;IA s&rsquo;ajoute. Un suivi p\u00e9riodique est indispensable, surtout pour les prestataires critiques. L&rsquo;audit RGPD d&rsquo;un sous-traitant est un processus continu, pas un acte unique. La v\u00e9rification doit vivre dans le temps.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">6. Pourquoi faire appel \u00e0 Atias Avocats<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Conduire un audit RGPD d&rsquo;un sous-traitant exige une combinaison rare de comp\u00e9tences : ma\u00eetrise du RGPD et de l&rsquo;article 28 (garanties suffisantes, DPA, droit d&rsquo;audit), compr\u00e9hension des mesures de s\u00e9curit\u00e9 (annexe TOMS, certifications), connaissance des transferts internationaux (arr\u00eat Schrems II, clauses contractuelles types) et des enjeux de l&rsquo;AI Act lorsque le prestataire utilise de l&rsquo;IA. \u00c0 cela s&rsquo;ajoute une m\u00e9thode structur\u00e9e et une capacit\u00e9 \u00e0 formaliser des rapports opposables. Cette pluridisciplinarit\u00e9 est pr\u00e9cis\u00e9ment la valeur ajout\u00e9e d&rsquo;un cabinet sp\u00e9cialis\u00e9 en protection des donn\u00e9es et contrats IT.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Atias Avocats accompagne DPO, DSI, directions juridiques, directions achats, fondateurs et grands groupes sur l&rsquo;ensemble du sujet : audit sur pi\u00e8ces ou approfondi d&rsquo;un sous-traitant, mise en place d&rsquo;un programme d&rsquo;audit du parc de prestataires, \u00e9laboration d&rsquo;un questionnaire et d&rsquo;une grille d&rsquo;\u00e9valuation, r\u00e9daction du rapport et du plan de rem\u00e9diation, cartographie de la cha\u00eene de sous-traitance, mise en conformit\u00e9 Schrems II et AI Act. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/personal-data\/\"><strong>services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusion<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Auditer ses sous-traitants n&rsquo;est pas une option, c&rsquo;est une obligation dont il faut prouver le respect. Le responsable de traitement qui n\u00e9glige cette v\u00e9rification engage sa propre responsabilit\u00e9 en cas de d\u00e9faillance de son prestataire. La m\u00e9thode en sept \u00e9tapes pr\u00e9sent\u00e9e ici \u2014 cartographier, examiner le DPA, contr\u00f4ler la s\u00e9curit\u00e9, v\u00e9rifier la cha\u00eene, analyser les transferts, tester la r\u00e9activit\u00e9, formaliser le rapport \u2014 combin\u00e9e \u00e0 la vigilance sur les cinq pi\u00e8ges classiques, offre un r\u00e9f\u00e9rentiel directement utilisable par DPO, DSI et directions juridiques.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00c0 l&rsquo;heure des contr\u00f4les renforc\u00e9s et de l&rsquo;IA, l&rsquo;audit RGPD d&rsquo;un sous-traitant est un pilier de la conformit\u00e9. Le r\u00e9flexe \u00e0 adopter est clair : cartographier le risque, examiner les documents, v\u00e9rifier la cha\u00eene, formaliser un rapport et renouveler la d\u00e9marche. C&rsquo;est pr\u00e9cis\u00e9ment cette rigueur qui transforme une obligation en protection r\u00e9elle et durable.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">FAQ \u2014 Questions fr\u00e9quentes<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Pourquoi auditer un sous-traitant RGPD ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Parce que le RGPD l&rsquo;impose au responsable de traitement. L&rsquo;article 28 paragraphe 1 exige de ne recourir qu&rsquo;\u00e0 des sous-traitants pr\u00e9sentant des garanties suffisantes quant \u00e0 la protection des donn\u00e9es. Cette v\u00e9rification n&rsquo;est pas une simple formalit\u00e9 : c&rsquo;est une obligation dont le responsable doit pouvoir prouver le respect (principe d&rsquo;accountability, article 5). L&rsquo;audit RGPD d&rsquo;un sous-traitant permet de v\u00e9rifier concr\u00e8tement ces garanties avant et pendant la relation. En cas de violation de donn\u00e9es chez le sous-traitant, le responsable qui n&rsquo;a pas v\u00e9rifi\u00e9 les garanties engage sa propre responsabilit\u00e9. L&rsquo;audit prot\u00e8ge donc l&rsquo;entreprise face \u00e0 la CNIL, dont les contr\u00f4les portent de plus en plus sur la cha\u00eene de sous-traitance. C&rsquo;est une d\u00e9marche \u00e0 la fois obligatoire et protectrice, qui conditionne la conformit\u00e9 globale des traitements.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Quels documents examiner lors d&rsquo;un audit de sous-traitant ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Plusieurs documents cl\u00e9s doivent \u00eatre examin\u00e9s. Le DPA (Data Processing Agreement, l&rsquo;accord de sous-traitance de l&rsquo;article 28) et sa conformit\u00e9 aux mentions obligatoires. L&rsquo;annexe TOMS (mesures techniques et organisationnelles de s\u00e9curit\u00e9) et sa pr\u00e9cision. La liste des sous-traitants ult\u00e9rieurs et leurs garanties. La politique de gestion des violations de donn\u00e9es et les d\u00e9lais de notification. Les certifications \u00e9ventuelles (ISO 27001, SOC 2, HDS pour la sant\u00e9). La documentation sur les transferts hors Union europ\u00e9enne (clauses contractuelles types, analyse d&rsquo;impact). Le registre des traitements du sous-traitant, s&rsquo;il est accessible. Un audit complet croise ces documents avec les r\u00e9ponses \u00e0 un questionnaire et, si possible, une v\u00e9rification sur place ou \u00e0 distance. L&rsquo;objectif est de confronter les engagements affich\u00e9s \u00e0 la r\u00e9alit\u00e9 op\u00e9rationnelle.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Un audit sur pi\u00e8ces suffit-il ou faut-il un audit sur site ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Cela d\u00e9pend du risque. Pour un traitement \u00e0 faible risque, un audit sur pi\u00e8ces (questionnaire, examen documentaire, certifications) est souvent suffisant. Pour un traitement \u00e0 risque \u00e9lev\u00e9 (donn\u00e9es sensibles, volume important, sous-traitant critique), un audit plus pouss\u00e9 s&rsquo;impose, incluant si possible une v\u00e9rification sur site ou \u00e0 distance. Le RGPD donne au responsable un droit d&rsquo;audit (article 28), qu&rsquo;il faut pr\u00e9voir contractuellement. En pratique, beaucoup de sous-traitants proposent des rapports de certification en lieu et place d&rsquo;un audit direct. Ces rapports sont utiles, mais ne dispensent pas d&rsquo;une analyse critique. Un audit proportionn\u00e9 au risque est la bonne approche : ni excessif pour les traitements b\u00e9nins, ni superficiel pour les traitements sensibles. La proportionnalit\u00e9 guide l&rsquo;intensit\u00e9 du contr\u00f4le.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">\u00c0 quelle fr\u00e9quence auditer ses sous-traitants ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Il n&rsquo;existe pas de fr\u00e9quence l\u00e9gale impos\u00e9e, mais une logique de proportionnalit\u00e9 s&rsquo;applique. Un audit initial doit pr\u00e9c\u00e9der ou accompagner la conclusion du contrat, pour v\u00e9rifier les garanties avant de confier les donn\u00e9es. Ensuite, un suivi p\u00e9riodique est n\u00e9cessaire, car la conformit\u00e9 n&rsquo;est pas fig\u00e9e : les sous-traitants changent, les mesures \u00e9voluent, de nouveaux sous-traitants ult\u00e9rieurs apparaissent. Pour les sous-traitants critiques, une revue annuelle est recommand\u00e9e. Pour les autres, une revue tous les deux \u00e0 trois ans peut suffire. Un audit doit aussi \u00eatre d\u00e9clench\u00e9 par tout \u00e9v\u00e9nement significatif : violation de donn\u00e9es, changement d&rsquo;h\u00e9bergeur, ajout d&rsquo;une fonction d&rsquo;IA. La v\u00e9rification n&rsquo;est donc pas un acte unique, mais un processus continu adapt\u00e9 au niveau de risque.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><br>Contact : <a href=\"mailto:david@atiasavocats.com\">david@atiasavocats.com<\/a> | LinkedIn: <a href=\"https:\/\/www.linkedin.com\/in\/david-joseph-atias-b04a7153\" target=\"_blank\" rel=\"noopener\"><em>David Joseph Atias<\/em><\/a> | <a href=\"https:\/\/atiasavocats.com\/en\/\">https:\/\/www.atiasavocats.com<\/a> | 42 rue de la Clef, 75005 Paris<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Atias Avocats \u2014 RGPD, Sous-traitance, Audit, Protection des donn\u00e9es<\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Par\u00a0David Joseph Atias, avocat au Barreau de Paris \u00b7\u00a0LinkedIn\u00a0\u00b7 Juillet 2026 Choisir un sous-traitant ne se limite pas \u00e0 signer un contrat. Le RGPD impose de v\u00e9rifier ses garanties, avant&hellip;<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[186],"tags":[],"class_list":["post-23157","post","type-post","status-publish","format-standard","hentry","category-legal-services"],"_links":{"self":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23157","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/comments?post=23157"}],"version-history":[{"count":2,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23157\/revisions"}],"predecessor-version":[{"id":23221,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23157\/revisions\/23221"}],"wp:attachment":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media?parent=23157"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/categories?post=23157"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/tags?post=23157"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}