Blog
GDPR compliance and best practices

Auditez la conformité RGPD de vos sous-traitants : le guide pour sécuriser votre responsabilité

La conformité d'un responsable de traitement dépend directement de la rigueur de ses prestataires. En vertu du RGPD, l'externalisation n'exonère pas de la responsabilité : vous devez garantir que vos sous-traitants présentent des garanties suffisantes en matière de sécurité et de confidentialité. Ce guide détaille les obligations de vigilance, les leviers contractuels comme le Plan d'assurance sécurité (PAS) et propose une check-list de 16 points de contrôle pour industrialiser vos audits et prouver votre diligence (Accountability).

By
Anne-Angélique de Tourtier
1
Min
Share this article
Checklist de sujets à traiter
Summary
Heading 2

Dans un écosystème numérique où l'externalisation est la norme, la conformité d'un responsable de traitement est intrinsèquement liée à celle de ses partenaires. Le RGPD a instauré un principe de coresponsabilité : si votre sous-traitant subit une violation de données, c’est votre réputation, votre responsabilité juridique et votre diligence qui seront examinées par l’autorité de contrôle.

Passer d’une conformité administrative à une gouvernance maîtrisée nécessite de s'assurer que vos prestataires présentent des garanties suffisantes pour assurer la confidentialité, la disponibilité et l’intégrité des données confiées.

Comprendre le devoir de vigilance et l'article 28 du RGPD

L'article 28 du RGPD dispose que le responsable de traitement ne doit faire appel qu'à des sous-traitants offrant des garanties suffisantes. En cas de faille de sécurité ou de contrôle de la CNIL, votre responsabilité peut être engagée sur deux fronts :

  • La culpa in eligendo (la faute dans le choix) : avez-vous vérifié la maturité du prestataire avant de lui confier des données ?
  • Le défaut de surveillance : avez-vous maintenu un suivi régulier et documenté de ses engagements ?

L'enjeu juridique est clair : si le sous-traitant est responsable de ses propres manquements, le responsable de traitement peut être sanctionné pour manquement à son devoir de vigilance. L'audit constitue votre preuve de diligence (Accountability).

{{newsletter}}

Comment évaluer la sécurité de vos sous-traitants SaaS ?

L’évaluation ne doit pas être perçue comme une contrainte, mais comme une étape de sécurisation mutuelle.

Le levier du PAS (Plan d'assurance sécurité)

Pour réaliser vos analyses d'impact (AIPD), vous devez collecter les mesures techniques de vos sous-traitants. Demander le PAS ou un rapport de test d'intrusion (pentest) est un excellent moyen d'évaluer la solidité réelle d'un logiciel SaaS avant d'entamer les discussions contractuelles.

La recontractualisation et les instructions documentées

Tout traitement de données par un sous-traitant doit être régi par un contrat ou un acte juridique. Profitez des renouvellements pour intégrer des clauses précisant que le sous-traitant agit uniquement sur vos instructions documentées et qu'il a l'obligation de vous alerter immédiatement si une violation de données survient.

Check-list RGPD : 16 points clés pour l'audit de vos sous-traitants

Inspirée de la méthodologie Adequacy et des référentiels de la CNIL, voici les 16 questions à vous poser dans le cadre d’une évaluation d’un sous-traitant :

  • Instructions du RT : communiquons-nous par écrit nos instructions précises sur la manière de traiter les données ?
  • Privacy by design : le prestataire prend-il en compte la protection des données dès la conception de ses outils ?
  • Sous-traitants ultérieurs : le contrat définit-il clairement comment le prestataire peut recruter ses propres sous-traitants (autorisation préalable ou droit d'opposition) ?
  • Droit d’information : le prestataire vous aide-t-il à informer les personnes concernées selon vos modalités ?
  • Registre : le prestataire tient-il bien un registre des activités effectuées pour votre compte ?
  • Mesures de sécurité : quelles sont les preuves réelles (chiffrement, accès sécurisés, sauvegardes) de la protection des données ?
  • Confidentialité : les employés du prestataire sont-ils soumis à une obligation de secret documentée ?
  • Évaluation des risques : le prestataire a-t-il fourni une étude des risques de sécurité pour son service ?
  • Coopération : le prestataire vous aide-t-il pour réaliser vos analyses d'impact (AIPD) ?
  • Sort des données : le prestataire peut-il prouver la destruction ou la restitution des données en fin de contrat ?
  • Audit interne : votre droit d'aller vérifier sur place ou sur pièces est-il garanti dans le contrat ?
  • Transferts hors UE : les flux de données hors Europe sont-ils sécurisés par des outils juridiques valides ?
  • Délégué (DPO) : le sous-traitant a-t-il désigné un point de contact conformité identifié ?
  • Violation de données : existe-t-il une procédure pour tracer et documenter chaque incident chez le prestataire ?
  • Notification : le prestataire s'engage-t-il à vous prévenir sans délai injustifié en cas de faille de sécurité ?
  • Matrice de responsabilité : une annexe précise-t-elle clairement qui fait quoi entre vous et lui ?

Automatiser la gestion de la conformité sous-traitants avec Adequacy

Suivre manuellement ces points sur des dizaines voir des centaines de prestataires via des tableurs est une source de risques juridiques majeure. Adequacy transforme cette contrainte en un processus fiable :

  • Campagnes d'audit automatisées : envoyez vos formulaires de sécurité ou de conformité et collectez les preuves (PAS, certifications)
  • Centralisation et traçabilité : toutes les réponses et les documents contractuels sont stockés dans un espace souverain, constituant votre dossier de preuve en cas de contrôle
  • Pilotage par les risques : identifiez les maillons faibles de votre chaîne de sous-traitance et priorisez vos actions de mise en conformité

FAQ : Évaluation des sous-traitants et RGPD

Un simple questionnaire suffit-il à prouver ma conformité ?

Le questionnaire est une première étape. Pour les traitements à risque élevé, la CNIL considère que le responsable de traitement doit procéder à des vérifications plus approfondies. Cela peut inclure des audits sur place, l'analyse des rapports d'audit tiers ou des certifications type ISO 27001.

Le sous-traitant peut-il me notifier une violation sous 72h ?

C'est un risque juridique pour le responsable de traitement. Puisque vous disposez de 72h à compter de votre connaissance de la violation pour notifier la CNIL, le sous-traitant doit vous informer sans délai. Ce délai est souvent interprété comme immédiat ou sous 24h à 48h maximum afin de vous laisser le temps d'analyser l'incident.

Qui est responsable en cas de faute du sous-traitant ?

La responsabilité est désormais partagée avec le RGPD. Le sous-traitant peut être sanctionné pour ses propres manquements selon l'article 82. Toutefois, le responsable de traitement reste responsable de son choix et de l'encadrement du prestataire. L'audit est votre seul moyen d'atténuer votre responsabilité.

Comment automatiser la surveillance de mes prestataires ?

L'utilisation d'une plateforme SaaS dédiée permet de centraliser les preuves de diligence et de programmer des rappels pour les audits périodiques. Cela assure une conformité continue plutôt que ponctuelle.

Vous souhaitez simplifier l'évaluation de vos sous-traitants ?Découvrez le module de gestion des sous-traitants d'Adequacy lors d'une démonstration personnalisée.

{{newsletter}}

The latest news

GDPR compliance and best practices

Auditez la conformité RGPD de vos sous-traitants : le guide pour sécuriser votre responsabilité

La conformité d'un responsable de traitement dépend directement de la rigueur de ses prestataires. En vertu du RGPD, l'externalisation n'exonère pas de la responsabilité : vous devez garantir que vos sous-traitants présentent des garanties suffisantes en matière de sécurité et de confidentialité. Ce guide détaille les obligations de vigilance, les leviers contractuels comme le Plan d'assurance sécurité (PAS) et propose une check-list de 16 points de contrôle pour industrialiser vos audits et prouver votre diligence (Accountability).

Anne-Angélique de Tourtier
Secteur de la santé

Digital Omnibus et données de santé : impacts sur la réutilisation des données médicales

Le projet Digital Omnibus ambitionne d'harmoniser le RGPD et l'AI Act pour simplifier la réutilisation des données de santé et favoriser l'innovation médicale en Europe. En clarifiant l'identifiabilité des données pseudonymisées, cette réforme pourrait transformer les pratiques de recherche tout en exigeant une gouvernance renforcée.

Calixte Descamps
News

DPO, AI Act et Digital Omnibus : stratégies de conformité pour 2026

Le rôle du DPO est en pleine mutation suite à l'entrée en vigueur progressive du Digital Omnibus (DSA, DMA, Data Act) et de l’AI Act. Ces textes obligent les organismes à passer d'une conformité RGPD classique à une stratégie globale de gouvernance des données et de l'IA. Le DPO devient un acteur stratégique qui doit garantir la transparence algorithmique, l'interopérabilité des données et la classification des systèmes d'IA selon leur niveau de risque. L'enjeu pour 2026 est l'intégration du compliance by design pour prévenir les sanctions et transformer ces défis réglementaires en avantage concurrentiel.

Guillemette Songy

They have trusted us for years

Used by over 10,000 legal entities

Discover Adequacy

One of our experts introduces Adequacy to you in a real situation.
Request a quote