Sous-traitant RGPD : définition, obligations et audit de conformité

7/5/2026
Tous les guides
📚 Notions de base

En bref : Un sous-traitant au sens du RGPD est un organisme qui traite des données personnelles pour le compte d'un responsable de traitement. Ce guide vous explique la définition exacte, les obligations légales du sous-traitant et la méthodologie pour auditer vos prestataires.

Qu'est-ce qu'un sous-traitant au sens du RGPD ?

Définition du sous-traitant RGPD

Selon l'article 4 du RGPD, le sous-traitant est « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

En termes simples, un sous-traitant RGPD est toute entité externe à laquelle vous confiez le traitement de données personnelles dans le cadre de vos activités.

Exemples concrets de sous-traitants

Voici les sous-traitants les plus courants pour une entreprise :

  • Hébergement & Cloud : AWS, OVH, Google Cloud, Microsoft Azure
  • Outils SaaS : Salesforce, HubSpot, Mailchimp, Slack, Notion
  • Paie & RH : PayFit, Lucca, Silae
  • Comptabilité : Pennylane, Sage, experts-comptables
  • Marketing : Agences de communication, outils analytics
  • Support client : Zendesk, Intercom, centres d'appels externalisés

À noter : Un prestataire n'est pas automatiquement un sous-traitant au sens du RGPD. Il le devient uniquement s'il traite des données personnelles pour votre compte. Un fournisseur de mobilier de bureau, par exemple, n'est pas un sous-traitant RGPD.

Responsable de traitement vs sous-traitant : quelle différence ?

Cette distinction est fondamentale pour comprendre vos obligations respectives.

Le responsable de traitement

Il détermine les finalités et les moyens du traitement. Il décide pourquoi et comment sont traitées les données personnelles et est responsable de la conformité globale.

Le sous-traitant

Il agit sur instruction du responsable de traitement, sans décider des finalités ni des moyens essentiels. Il est responsable de ses propres obligations RGPD.

Cas particulier : la co-responsabilité

Lorsque deux entités déterminent conjointement les finalités et moyens d'un traitement, elles sont co-responsables de traitement (article 26 RGPD). C'est différent de la sous-traitance.

👉 Pour aller plus loin : Responsable de traitement, sous-traitant, co-responsable : quelle différence ?

Quelles sont les obligations du sous-traitant RGPD ?

L'article 28 du RGPD pose le cadre de la relation responsable/sous-traitant. Voici les 5 obligations clés du sous-traitant :

1. Agir uniquement sur instruction

Le sous-traitant ne traite les données que sur instruction documentée du responsable de traitement. Il doit alerter le responsable si une instruction lui semble contraire au RGPD.

2. Sécuriser les données personnelles

Le sous-traitant doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données (chiffrement, pseudonymisation, tests d'intrusion, etc.).

3. Faire preuve de transparence

Le sous-traitant doit informer le responsable de tout recours à un sous-traitant ultérieur et obtenir son accord préalable.

4. Assister le responsable de traitement

Le sous-traitant doit aider le responsable à répondre aux demandes d'exercice des droits des personnes concernées et à ses obligations RGPD (AIPD, notification de violations, etc.).

5. Restituer ou détruire les données

À la fin de la prestation, le sous-traitant doit restituer toutes les données au responsable et supprimer les copies existantes, sauf obligation légale de conservation.

Comment auditer vos sous-traitants RGPD ?

Un audit des sous-traitants permet de vérifier que chaque prestataire respecte ses obligations RGPD. Voici la méthodologie en 5 étapes :

1. Cartographier de façon exhaustive vos sous-traitants

Dressez la liste de tous vos prestataires qui traitent des données personnelles pour votre compte. Consultez vos équipes IT, juridique, RH et achats pour ne rien oublier.

2. Vérifier les contrats de sous-traitance

Chaque relation de sous-traitance doit être encadrée par un Data Processing Agreement (DPA) conforme à l'article 28 du RGPD. Vérifiez que le DPA couvre bien : les finalités et moyens du traitement, les obligations de sécurité, les conditions de sous-traitance ultérieure, et les modalités de restitution/destruction des données.

3. Mener une enquête pour détecter des non-conformités

Envoyez des questionnaires à vos sous-traitants pour évaluer leur niveau de conformité RGPD : politique de confidentialité, mesures de sécurité, gestion des incidents, localisation des données, etc.

4. Tester la sécurité des données

Pour les sous-traitants critiques (traitement de données sensibles ou volume élevé), envisagez des audits de sécurité, des tests d'intrusion ou des certifications (ISO 27001, SOC 2).

5. Suivre la conformité de façon régulière

L'audit des sous-traitants n'est pas un exercice ponctuel. Mettez en place un suivi régulier (annuel minimum) et intégrez des clauses de notification dans vos DPA pour être alerté en cas de changement chez le sous-traitant.

Cas particulier : auditer les sous-traitants IA

Depuis l'entrée en application de l'AI Act, l'audit des sous-traitants IA (fournisseurs d'outils d'intelligence artificielle) requiert une attention particulière. Consultez notre guide dédié : Audit IA des sous-traitants : méthode RGPD x AI Act 2026.

Exemples de points de contrôles à mettre en place

Exemples de critères

Pour évaluer vos sous-traitants, voici des critères à inclure dans votre grille d'audit :

  • Existence d'un DPA conforme à l'article 28 du RGPD
  • Politique de confidentialité à jour et accessible
  • Localisation des données (UE ou hors UE avec garanties adéquates)
  • Certifications de sécurité (ISO 27001, SOC 2, HDS pour la santé)
  • Procédure de gestion des violations de données
  • Conditions d'encadrement de la sous-traitance ultérieure
  • Durées de conservation des données

Exemples de questions essentielles à poser à vos sous-traitants RGPD

Voici des questions à intégrer dans votre questionnaire d'audit :

  • Disposez-vous d'un DPO nommé ? Si oui, quelles sont ses coordonnées ?
  • Dans quels pays les données sont-elles stockées et traitées ?
  • Avez-vous subi une violation de données au cours des 12 derniers mois ?
  • Faites-vous appel à des sous-traitants ultérieurs pour le traitement des données ?
  • Quelles certifications de sécurité détenez-vous ?
  • Comment gérez-vous les demandes d'exercice des droits des personnes concernées ?

Conclusion

L'audit des sous-traitants RGPD est une obligation légale et un levier stratégique pour garantir la conformité de votre organisation. En cartographiant vos prestataires, en vérifiant vos DPA et en mettant en place un suivi régulier, vous réduisez les risques de sanction et renforcez la confiance de vos clients et partenaires.

Leto vous accompagne dans la gestion de vos sous-traitants RGPD : registre des traitements, DPA, audit de conformité. Découvrez notre logiciel RGPD ou réservez une démo.

Questions fréquentes sur les sous-traitants RGPD

Qu'est-ce qu'un sous-traitant au sens du RGPD ?

Un sous-traitant RGPD est toute personne physique ou morale qui traite des données personnelles pour le compte d'un responsable de traitement, sur instruction de ce dernier (article 4 du RGPD).

Quelles sont les obligations d'un sous-traitant RGPD ?

Le sous-traitant doit : agir uniquement sur instruction du responsable de traitement, sécuriser les données, être transparent sur ses sous-traitants ultérieurs, assister le responsable dans ses obligations RGPD, et restituer ou détruire les données à la fin de la prestation (article 28 du RGPD).

Quelle est la différence entre responsable de traitement et sous-traitant ?

Le responsable de traitement détermine les finalités et les moyens du traitement. Le sous-traitant traite les données pour le compte du responsable, sur ses instructions. La distinction est fondamentale car elle détermine les obligations respectives de chaque partie.

Comment le sous-traitant peut-il être soumis aux obligations RGPD ?

Le sous-traitant est directement soumis aux obligations RGPD par l'article 28. Il peut être tenu responsable vis-à-vis des personnes concernées et faire l'objet de sanctions de la CNIL en cas de manquement à ses propres obligations.

Comment auditer un sous-traitant RGPD ?

L'audit d'un sous-traitant comprend : la vérification du DPA, l'envoi d'un questionnaire de conformité, l'évaluation des mesures de sécurité, et un suivi régulier. Pour les sous-traitants critiques, des audits de sécurité ou des certifications peuvent être exigés.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

Donnée sensible et RGPD : le guide pour vous mettre en conformité
11/4/2022
Prix d'une mise conformité RGPD en 2025 : découvrez les coûts réels
20/1/2025
SOC 2 : Définition et Checklist de Conformité pour les Entreprises Tech
14/5/2025
Non conformité au RGPD et concurrence déloyale
18/4/2023
Certification RGPD : Définition, objectifs et état des lieux
10/12/2024
Modèle de charte informatique : guide pour entreprises
31/5/2024

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026