Sous-traitant RGPD : définition, obligations et audit de conformité

3/2/2026
Tous les guides
📚 Notions de base

En bref:  Un sous-traitant au sens du RGPD est un organisme qui traite des données personnelles pour le compte d'un responsable de traitement. Ce guide vous explique la définition exacte, les obligations légales du sous-traitant et la méthodologie pour auditer vos prestataires.

Qu'est-ce qu'un sous-traitant au sens du RGPD ?

Définition du sous-traitant RGPD

Selon l'article 4 du RGPD, le sous-traitant est « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

En termes simples, un sous-traitant RGPD est toute entité externe à laquelle vous confiez le traitement de données personnelles dans le cadre de vos activités.

Exemples concrets de sous-traitants

Voici les sous-traitants les plus courants pour une entreprise :

  • Hébergement & Cloud : AWS, OVH, Google Cloud, Microsoft Azure
  • Outils SaaS : Salesforce, HubSpot, Mailchimp, Slack, Notion
  • Paie & RH : PayFit, Lucca, Silae
  • Comptabilité : Pennylane, Sage, experts-comptables
  • Marketing : Agences de communication, outils analytics
  • Support client : Zendesk, Intercom, centres d'appels externalisés

A noter : Un prestataire n'est pas automatiquement un sous-traitant au sens du RGPD ! Il le devient uniquement s'il traite des données personnelles pour votre compte. Un fournisseur de mobilier de bureau par exemple n'est pas un sous-traitant RGPD.

Responsable de traitement vs sous-traitant : quelle différence ?

Cette distinction est fondamentale pour comprendre vos obligations respectives. Voici un petit récapitulatif des points clés à retenir :

Définition : le responsable de traitements (RT) détermine les finalités et les moyens du traitement. Le sous-traitant RGPD (ST) agit sur instruction du responsable de traitement. 

Décision : le responsable de traitements (RT) décide pourquoi et comment sont traitées les données personnelles. Le sous-traitant (ST) exécute les instructions du responsable de traitement.

Responsabilité principale : le RT est responsable de la conformité globale. Le ST est responsable de ses propres obligations.

Comment déterminer qui est responsable ou sous-traitant ?

Le responsable de traitement est donc l'entité (personne morale, organisation, entreprise, etc.) qui détermine les finalités et les moyens du traitement des données personnelles. Il lui appartient de prendre toutes les mesures techniques et organisationnelles pour assurer l'intégrité des données qui lui sont confiées.

Exemple : un e-commerce qui recueille des informations sur ses clients (nom, adresse, etc.) pour envoyer les commandes est un responsable de traitement. Cette entreprise décide des renseignements qu'elle collecte, de la manière dont elle les utilise et à quelles fins.

Le sous-traitant est un organisme choisi par le responsable de traitement pour effectuer des traitements de données conformément aux ordres de ce dernier.

Exemple : des fournisseurs de logiciels (comme Leto) ou de services (comme une agence de communication) sont des sous-traitants puisqu'ils agissent sur instruction de l'entreprise cliente (le responsable du traitement).

En résumé, posez-vous ces questions :

  1. Qui décide de collecter ces données ? → Responsable de traitement
  2. Qui décide de la finalité du traitement ? → Responsable de traitement  
  3. Qui exécute le traitement selon des instructions ? → Sous-traitant

Cas particulier : la co-responsabilité

Lorsque deux entités déterminent conjointement les finalités et moyens d'un traitement, elles sont co-responsables de traitement (article 26 RGPD). C'est différent de la sous-traitance.

👉 Pour aller plus loin sur ces éléments de différenciation, n'hésitez pas à consulter notre guide dédié : Responsable Traitement vs Sous-Traitant RGPD

Les obligations du sous-traitant RGPD en matière de conformité

Le cadre légal de la sous-traitance est défini par l'article 28 du RGPD. Voici les obligations principales qui en découlent pour le sous-traitant.

1. Assister le responsable du traitement

Le sous-traitant doit assister son responsable de traitement dans plusieurs cas de figure :

  • la demande d'exercice des droits des personnes concernées (accès, rectification, suppression des données, etc.).
  • la gestion des incidents et, le cas échéant, les notifications à la CNIL et/ou aux personnes concernées.  Le sous-traitant est tenu d'informer dans les meilleurs délais le responsable de traitement en cas de violation des données. Ce délai peut être précisé dans le contrat entre le responsable de traitement et le sous-traitant.
  • la réalisation d'Analyse d'Impact relative à la Protection des Données (AIPD) : le sous-traitant doit coopérer avec le responsable du traitement pour la réaliser.
  • la coopération avec la CNIL : le sous-traitant doit coopérer avec les autorités de protection des données à la demande du responsable de traitement.

2. Sécuriser les données personnelles

Le RGPD exige que le sous-traitant mette en place des mesures techniques et organisationnelles pour assurer un niveau de sécurité suffisant des données personnelles confiées. Les mesures sont souvent décrites dans un document dédié et qui doit être remis au responsable du traitement.

Les salariés du sous-traitant doivent également être soumis à un engagement de confidentialité.

3. Faire preuve de transparence

Le sous-traitant doit traiter les données personnelles du responsable de traitement en respectant ce qui a été prévu par le contrat et en assurant la communication de toutes informations utiles au responsable de traitement.

A ce titre, les points d'attention sont les suivants :

  • Contractualisation : l'article 28-3 du RGPD impose qu'un contrat soit conclu entre le sous-traitant et le responsable de traitement ;
  • Sous-traitants ultérieurs : le sous-traitant doit a minima informer le responsable de traitement qu'il fait appel à des sous-traitants ultérieurs. Suivant le contrat signé, le responsable de traitement peut également demander une l’autorisation préalable avant de faire appel à un sous-traitant ultérieur.  
  • Registre des activités de traitement : il doit documenter ses activités de traitement en précisant les catégories d'activités effectuées pour le compte du responsable de traitement, les mesures de sécurité, etc.
  • Audit : il lui incombe naturellement de faciliter la tâche au responsable de traitement lorsque des inspections sont nécessaires pour vérifier que le sous-traitant prend les garanties adéquates pour la protection des données.

Comment auditer vos sous-traitants RGPD ?

L'audit des sous-traitants est essentiel : vous devez vous assurer que vos prestataires offrent des garanties suffisantes pour la protection des données.

1. Cartographier de façon exhaustive vos sous-traitants

Vous n'avez pas attendu le RGPD pour faire des affaires. Vous avez sans doute des sous-traitants historiques comme :

  • des prestataires de services (agence marketing) ;
  • des consultants (avocats, experts-comptables) ;
  • des fournisseurs d'outils SaaS (espace de stockage, d'échanges, logiciels métiers).

Le plus souvent, cette liste ne s'arrête pas là. Selon votre industrie et les missions confiées, vos sous-traitants peuvent aussi avoir recours à d'autres sous-traitants.

L'un des dangers réside dans le fait que les données personnelles puissent être transférées dans des pays tiers non soumis au RGPD ou être transmises à un prestataire qui ne respecte pas les exigences du RGPD.

2. Vérifier les contrats de sous-traitance

On les appelle aussi Data Processing Agreement (DPA). Le contenu de ces contrats est détaillé à l'article 28-3 du RGPD : objet, durée, nature et finalité du traitement, type de données personnelles et catégories de personnes concernées, obligations et droits du responsable du traitement.

Pour les obligations du sous-traitant, on trouve notamment :

  • traitement des données personnelles selon les instructions documentées du client ;
  • engagement à ce que les personnes autorisées à traiter les données personnelles respectent la confidentialité ;
  • sort des données personnelles au terme de la prestation de services ;
  • mesures de sécurité ;
  • possibilité pour le responsable de traitement de justement effectuer des audits ;
  • ect...

Nous vous conseillons donc de prévoir des contrats types à faire signer à vos sous-traitants et de vérifier les DPA des sous-traitants que vous utilisez.

3. Mener une enquête pour détecter des non conformités

Tout d'abord, analysez les documents de sécurité mis à disposition par le sous-traitant afin d'évaluer leur niveau de maturité. Vous pouvez également demander à votre sous-traitant s'il est conforme à une norme de sécurité (ISO, SOC...).

Si les documents ne suffisent pas ou que le sous-traitant n'est pas capable de les fournir, un travail sur le terrain s'impose : armez-vous de questionnaires ou rendez-vous sur site. L'idée est d'être au plus proche du quotidien de vos sous-traitants pour repérer une éventuelle non-conformité.

Vous devrez être vigilant sur le respect des instructions, la gestion de l'exercice des droits, la façon dont les données sont traitées (conformément aux finalités prévues), leur suppression, etc.

4. Tester la sécurité des données

En cas de doute, vous pouvez également vous faire accompagner d'un professionnel pour analyser les mesures de sécurité mises en place par vos sous-traitants : test d'intrusion ("Pentest"), évaluation des habilitations et des accès physiques...

Selon les cas, il sera nécessaire que le sous-traitant prenne des mesures pour sa conformité : pseudonymisation ou chiffrement des données, processus pour rétablir la disponibilité des données en cas d'incident, procédures pour tester régulièrement la fiabilité des systèmes...

5. Suivre la conformité de façon régulière

La conformité est un exercice sur le long terme et demande une analyse régulière des activités de vos sous-traitants.

Le suivi régulier permet de détecter rapidement les écarts, de faciliter la mise en œuvre de solutions de réajustement et de garder vos sous-traitants en alerte sur ces sujets.

Exemples de points de contrôles à mettre en place

Exemples de critères

Criticité des données :

  • Volume de données traitées
  • Sensibilité des données (données de santé, données financières...)
  • Accès direct ou indirect aux données

Niveau de conformité

  • Contrat conforme aux exigences du RGPD ?
  • Mesures de sécurité documentées ?
  • Certifications obtenues ?

Localisation :

  • Données hébergées dans l'UE ?
  • Transferts hors UE encadrés (clauses contractuelles types, décision d'adéquation) ?

Exemples de questions essentielles à poser à vos sous-traitants RGPD:

  • Disposez-vous d'un DPO ou référent RGPD ?
  • Quelles mesures de sécurité avez-vous mises en place ?
  • Comment gérez-vous les demandes d'exercice des droits ?
  • Quel est votre processus de notification des violations ?
  • Où sont hébergées les données ?
  • Faites-vous appel à des sous-traitants ultérieurs ?

Conclusion

La sous-traitance n'est pas sans danger pour le responsable de traitement en cas de défaillance de ce dernier :

  • Risque financier : le fait de ne pas faire appel à un sous-traitant qui ne présentait pas les garanties suffisantes peut entraîner des amendes allant jusqu'à 2 % du chiffre d'affaires annuel mondial ou 10 millions d'euros.
  • Risque réputationnel : une violation de données de la part du sous-traitant peut nuire à votre image auprès des clients ou des partenaires.
  • Risque organisationnel : une mauvaise gestion des données par le sous-traitant peut conduire à altérer l'intégrité des données, impactant les opérations du responsable du traitement.

Le sous-traitant sera également responsable de ses propres obligations avec des amendes allant jusqu'à 2 % du chiffre d'affaires annuel mondial ou 10 millions d'euros.

Leto peut vous épauler pour gérer les relations avec vos sous-traitants : mise à disposition des éléments contractuels de vos sous-traitants, recherche de clauses contractuelles types et notifications.

Questions fréquentes sur les sous-traitants RGPD

Qu'est-ce qu'un sous-traitant au sens du RGPD ?

Un sous-traitant est une personne physique ou morale qui traite des données personnelles pour le compte d'un responsable de traitement. Il agit sur instruction de ce dernier et ne décide ni des finalités ni des moyens essentiels du traitement.

Quelles sont les obligations d'un sous-traitant RGPD ?

Les principales obligations sont : traiter les données uniquement sur instruction, garantir la confidentialité, assurer la sécurité, encadrer la sous-traitance ultérieure, assister le responsable de traitement et tenir un registre des traitements.

Quelle est la différence entre responsable de traitement et sous-traitant ?

Le responsable de traitement détermine les finalités et les moyens du traitement. Le sous-traitant exécute le traitement selon les instructions du responsable, sans pouvoir décider de l'usage des données.

Comment le sous-traitant peut-il être soumis aux obligations RGPD ?

Le sous-traitant est directement soumis au RGPD dès lors qu'il traite des données de personnes situées dans l'UE, même s'il est établi hors Europe. Ses obligations sont définies notamment aux articles 28, 29, 30 et 32 du RGPD.

Comment auditer un sous-traitant RGPD ?

L'audit comprend : la cartographie de vos sous-traitants, la collecte de la documentation (contrat, mesures de sécurité, certifications), l'évaluation des risques, l'envoi de questionnaires et la vérification des garanties pour les transferts hors UE.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

Comment pratiquer le scraping de données en toute légalité ? 
9/7/2024
Qu'est-ce que le droit au déréférencement ?
22/11/2022
RGPD : l'importance du consentement explicite
10/1/2023
L’impact économique du RGPD sur la cybersécurité
17/6/2025
RGPD et prospection BtoC : quelles règles respecter ?
14/5/2024
AI Act : quelles sont autorités compétentes en France ?
15/9/2025

Questions fréquemment posées

Vous avez encore des questions? Contactez-nous! Nous serons ravis de vous aider.

Qu’est-ce que Leto et à qui s’adresse la solution ?

Leto est une suite logicielle qui aide les entreprises à piloter leur conformité RGPD, la sécurité des données et la sensibilisation des équipes, sans complexité inutile.La solution s’adresse aussi bien aux PME qu’aux ETI, et accompagne les dirigeants, DPO, équipes juridiques, RH et techniques dans la mise en œuvre concrète et continue de la conformité.

Combien de temps faut-il pour mettre en place Leto ?

La prise en main est rapide. En quelques jours, vous pouvez cartographier vos traitements, structurer votre feuille de route RGPD et commencer à sensibiliser vos équipes.Leto repose sur des modèles prêts à l’emploi, une automatisation poussée et un accompagnement guidé par l’IA, ce qui réduit fortement le temps et l’effort nécessaires.

En quoi Leto est-il différent des autres outils RGPD ?

Leto ne se limite pas à produire de la documentation. La plateforme automatise les tâches chronophages, facilite la collaboration entre équipes et transforme la conformité en un processus vivant et pilotable.Avec Hari, l’IA de Leto, vous êtes guidé à chaque étape : génération de documents, réponses aux questionnaires sécurité, priorisation des actions et aide à la décision.

Mes données sont-elles en sécurité avec Leto ?

Oui. Leto est conçu selon les principes de privacy by design.La plateforme ne copie pas vos données personnelles, l’hébergement est 100 % français et les mesures de sécurité sont intégrées nativement pour garantir la confidentialité, l’intégrité et la traçabilité des informations.

Puis-je tester Leto avant de m’engager ?

Oui. Vous pouvez demander une démonstration personnalisée afin de découvrir concrètement la plateforme, ses fonctionnalités et son adéquation avec vos enjeux. Cette démo vous permet d’évaluer rapidement la valeur de Leto pour votre organisation, sans engagement.

Leto peut-il remplacer un DPO ou un cabinet de conseil RGPD ?

Leto est un outil d'aide à la conformité, pas un remplacement du DPO. La plateforme automatise les tâches chronophages et structure votre démarche, mais les décisions et analyses de fond restent de la responsabilité des équipes ou du DPO. Pour les entreprises sans DPO interne ni profil en charge du sujet RGPD, Leto propose un accompagnement complémentaire via des partenaires certifiés.

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026