Sous-traitant RGPD : la checklist de conformité

Hébergeur, infogéreur, éditeur SaaS, BPO, agence : dès que vous traitez des données personnelles pour le compte d'un client, vous êtes sous-traitant au sens du RGPD. L'article 28 vous impose alors un socle contractuel et opérationnel précis — que vos clients européens vérifient de plus en plus systématiquement. Voici comment le transformer en points de contrôle.
Êtes-vous sous-traitant ? Le test en une question
La question à poser : traitez-vous des données personnelles pour le compte et sur instruction d'un autre organisme ? Si oui, vous êtes sous-traitant — que vous hébergiez une base clients, opériez une paie externalisée, traitiez des dossiers en BPO ou mainteniez l'application d'un client. Et vous cumulez souvent les deux rôles : responsable de traitement pour vos propres données (RH, prospection, facturation), sous-traitant pour celles de vos clients.
Point important pour les prestataires hors UE : même sans être directement soumis au règlement, vous en héritez les obligations par contrat dès que vos clients y sont soumis. L'article 28 leur interdit de recourir à un sous-traitant qui ne présente pas des « garanties suffisantes » — votre conformité est donc une condition d'accès au marché.
Le contrat de l'article 28 : ce qu'il doit contenir
Aucun traitement pour le compte d'un client sans contrat écrit — le fameux DPA (data processing agreement). Il fixe l'objet, la durée, la nature et la finalité du traitement, les types de données et les catégories de personnes concernées, puis huit engagements du sous-traitant :
- ne traiter que sur instructions documentées du responsable, y compris pour les transferts hors UE ;
- garantir la confidentialité des personnes autorisées à traiter les données ;
- mettre en œuvre les mesures de sécurité de l'article 32 ;
- ne recruter un sous-traitant ultérieur qu'avec autorisation écrite préalable, en lui répercutant les mêmes obligations ;
- aider le responsable à répondre aux demandes d'exercice des droits des personnes ;
- l'assister pour la sécurité, la notification des violations et les analyses d'impact ;
- supprimer ou restituer les données au terme de la prestation ;
- mettre à disposition les preuves de conformité et permettre les audits, y compris les inspections.
Au quotidien : registre, sécurité, violations
Le contrat ne suffit pas : l'article 28 se vit en opérations. Trois chantiers permanents. D'abord le registre des catégories d'activités de traitement effectuées pour vos clients (article 30) : client, nature du traitement, transferts éventuels, mesures de sécurité. Ensuite la sécurité démontrable : chiffrement, contrôle d'accès nominatif, journalisation, sauvegardes testées — et de préférence immuables — sans oublier la question de fond : où vivent les données que vos clients vous confient, détaillée dans RGPD et hébergement.
Enfin, les violations de données : vous devez notifier votre client « dans les meilleurs délais » après en avoir pris connaissance, car c'est lui qui dispose de 72 heures pour notifier l'autorité de contrôle. Votre vitesse de détection conditionne donc directement son délai légal : une procédure écrite, connue de l'astreinte et testée au moins une fois par an n'est pas un luxe, c'est le cœur de l'engagement.
Pourquoi vos clients vont vous auditer davantage
Chaque responsable de traitement doit prouver qu'il ne travaille qu'avec des sous-traitants présentant des garanties suffisantes : questionnaires de due diligence, clauses d'audit, revues annuelles se généralisent — la même mécanique contractuelle que NIS2 impose déjà aux fournisseurs des entités régulées, comme nous l'expliquons dans NIS2 : pourquoi votre client européen va vous demander votre PRA. Un dossier de preuves prêt à l'envoi transforme cette contrainte en avantage commercial : vous devenez le sous-traitant facile à choisir.
La checklist article 28
Cette checklist résume les obligations types et ne constitue pas un conseil juridique : faites valider vos contrats et vos cas particuliers par un conseil spécialisé — et pour transformer ces exigences en preuves d'infrastructure, faites le point avec un spécialiste.
| Point de contrôle | Base RGPD | Vous êtes prêt si… |
|---|---|---|
| Contrat de traitement (DPA) signé | Art. 28(3) | Chaque traitement pour un client est couvert par un contrat écrit complet |
| Instructions documentées | Art. 28(3)(a) | Les instructions sont archivées ; toute demande hors contrat est signalée avant exécution |
| Confidentialité du personnel | Art. 28(3)(b) | Engagements de confidentialité signés, sensibilisation régulière des équipes |
| Sécurité du traitement | Art. 32 | Chiffrement, accès nominatifs, journaux, sauvegardes testées et restaurables |
| Sous-traitance ultérieure | Art. 28(2) et (4) | Liste des sous-traitants à jour, autorisation préalable, obligations répercutées en cascade |
| Assistance aux droits des personnes | Art. 28(3)(e) | Procédure et délais définis pour relayer chaque demande au client |
| Notification des violations | Art. 33(2) | Détection, qualification et alerte du client sans délai indu — il a 72 heures |
| Registre des activités | Art. 30(2) | Registre des catégories de traitements tenu à jour, exportable à la demande |
| Fin de contrat | Art. 28(3)(g) | Suppression ou restitution des données, avec preuves à l'appui |
| Audits et preuves | Art. 28(3)(h) | Dossier de conformité prêt à l'envoi, modalités d'audit prévues au contrat |
Comment SOVALYX peut vous aider
Beaucoup d'exigences de l'article 28 se prouvent au niveau de l'infrastructure : SOVALYX opère un cloud privé où les accès sont journalisés, les sauvegardes testées et la chaîne de sous-traitance réduite au minimum documentable. La supervision 24/7 sous SLA permet de détecter et de qualifier un incident assez vite pour que votre client tienne son délai de 72 heures. Et nos LLM privés internes garantissent qu'aucune donnée confiée par un client ne part vers une IA publique — un point que les audits vérifient désormais.
Parler conformité avec un ingénieur🧰 L'outil qui va avec : Sous-traitant : êtes-vous prêt pour les questionnaires de vos donneurs d'ordres ? — gratuit · 2 minutes.
Relu et optimisé par IA.