Sous-traitant RGPD : la checklist de conformité

· 4 min de lecture · SOVALYX Technologies

PARTAGER

Hébergeur, infogéreur, éditeur SaaS, BPO, agence : dès que vous traitez des données personnelles pour le compte d'un client, vous êtes sous-traitant au sens du RGPD. L'article 28 vous impose alors un socle contractuel et opérationnel précis — que vos clients européens vérifient de plus en plus systématiquement. Voici comment le transformer en points de contrôle.

Êtes-vous sous-traitant ? Le test en une question

La question à poser : traitez-vous des données personnelles pour le compte et sur instruction d'un autre organisme ? Si oui, vous êtes sous-traitant — que vous hébergiez une base clients, opériez une paie externalisée, traitiez des dossiers en BPO ou mainteniez l'application d'un client. Et vous cumulez souvent les deux rôles : responsable de traitement pour vos propres données (RH, prospection, facturation), sous-traitant pour celles de vos clients.

Point important pour les prestataires hors UE : même sans être directement soumis au règlement, vous en héritez les obligations par contrat dès que vos clients y sont soumis. L'article 28 leur interdit de recourir à un sous-traitant qui ne présente pas des « garanties suffisantes » — votre conformité est donc une condition d'accès au marché.

Le contrat de l'article 28 : ce qu'il doit contenir

Aucun traitement pour le compte d'un client sans contrat écrit — le fameux DPA (data processing agreement). Il fixe l'objet, la durée, la nature et la finalité du traitement, les types de données et les catégories de personnes concernées, puis huit engagements du sous-traitant :

Au quotidien : registre, sécurité, violations

Le contrat ne suffit pas : l'article 28 se vit en opérations. Trois chantiers permanents. D'abord le registre des catégories d'activités de traitement effectuées pour vos clients (article 30) : client, nature du traitement, transferts éventuels, mesures de sécurité. Ensuite la sécurité démontrable : chiffrement, contrôle d'accès nominatif, journalisation, sauvegardes testées — et de préférence immuables — sans oublier la question de fond : où vivent les données que vos clients vous confient, détaillée dans RGPD et hébergement.

Enfin, les violations de données : vous devez notifier votre client « dans les meilleurs délais » après en avoir pris connaissance, car c'est lui qui dispose de 72 heures pour notifier l'autorité de contrôle. Votre vitesse de détection conditionne donc directement son délai légal : une procédure écrite, connue de l'astreinte et testée au moins une fois par an n'est pas un luxe, c'est le cœur de l'engagement.

Pourquoi vos clients vont vous auditer davantage

Chaque responsable de traitement doit prouver qu'il ne travaille qu'avec des sous-traitants présentant des garanties suffisantes : questionnaires de due diligence, clauses d'audit, revues annuelles se généralisent — la même mécanique contractuelle que NIS2 impose déjà aux fournisseurs des entités régulées, comme nous l'expliquons dans NIS2 : pourquoi votre client européen va vous demander votre PRA. Un dossier de preuves prêt à l'envoi transforme cette contrainte en avantage commercial : vous devenez le sous-traitant facile à choisir.

La checklist article 28

Cette checklist résume les obligations types et ne constitue pas un conseil juridique : faites valider vos contrats et vos cas particuliers par un conseil spécialisé — et pour transformer ces exigences en preuves d'infrastructure, faites le point avec un spécialiste.

Point de contrôleBase RGPDVous êtes prêt si…
Contrat de traitement (DPA) signéArt. 28(3)Chaque traitement pour un client est couvert par un contrat écrit complet
Instructions documentéesArt. 28(3)(a)Les instructions sont archivées ; toute demande hors contrat est signalée avant exécution
Confidentialité du personnelArt. 28(3)(b)Engagements de confidentialité signés, sensibilisation régulière des équipes
Sécurité du traitementArt. 32Chiffrement, accès nominatifs, journaux, sauvegardes testées et restaurables
Sous-traitance ultérieureArt. 28(2) et (4)Liste des sous-traitants à jour, autorisation préalable, obligations répercutées en cascade
Assistance aux droits des personnesArt. 28(3)(e)Procédure et délais définis pour relayer chaque demande au client
Notification des violationsArt. 33(2)Détection, qualification et alerte du client sans délai indu — il a 72 heures
Registre des activitésArt. 30(2)Registre des catégories de traitements tenu à jour, exportable à la demande
Fin de contratArt. 28(3)(g)Suppression ou restitution des données, avec preuves à l'appui
Audits et preuvesArt. 28(3)(h)Dossier de conformité prêt à l'envoi, modalités d'audit prévues au contrat

Comment SOVALYX peut vous aider

Beaucoup d'exigences de l'article 28 se prouvent au niveau de l'infrastructure : SOVALYX opère un cloud privé où les accès sont journalisés, les sauvegardes testées et la chaîne de sous-traitance réduite au minimum documentable. La supervision 24/7 sous SLA permet de détecter et de qualifier un incident assez vite pour que votre client tienne son délai de 72 heures. Et nos LLM privés internes garantissent qu'aucune donnée confiée par un client ne part vers une IA publique — un point que les audits vérifient désormais.

Parler conformité avec un ingénieur

🧰 L'outil qui va avec : Sous-traitant : êtes-vous prêt pour les questionnaires de vos donneurs d'ordres ? — gratuit · 2 minutes.

Relu et optimisé par IA.