Sous-traitance et RGPD : Obligations et clauses contractuelles

Le Règlement Général sur la Protection des Données (RGPD) a profondément transformé la manière dont les entreprises gèrent les données personnelles. Pour les PME françaises, la sous-traitance RGPD clauses représente un enjeu majeur, surtout lorsqu’elles externalisent tout ou partie de leur traitement de données. En effet, près de 60% des PME françaises sous-traitent au moins une partie de leurs activités impliquant des données personnelles (source : CNIL, 2023). Pourtant, beaucoup ignorent encore leurs obligations légales et les risques encourus en cas de non-respect.

Dans cet article, nous décryptons les obligations RGPD en matière de sous-traitance, les clauses contractuelles essentielles à intégrer, et les bonnes pratiques pour sécuriser vos partenariats. Que vous soyez responsable, dirigeant ou DPO (Délégué à la Protection des Données), ces informations vous aideront à éviter les pièges et à vous conformer sereinement.

1. Sous-traitance et RGPD : Définitions et cadre légal

1.1 Qu’est-ce qu’un sous-traitant au sens du RGPD ?

Le RGPD distingue deux acteurs principaux dans le traitement des données personnelles :

• Le responsable de traitement : c’est l’entreprise (ou l’organisme) qui détermine les finalités et les moyens du traitement. Par exemple, une PME qui collecte les données de ses clients pour gérer ses commandes.
• Le sous-traitant : c’est un tiers qui traite des données personnelles pour le compte du responsable de traitement, sans en déterminer les finalités. Par exemple, un hébergeur cloud, un prestataire de paie, ou un outil de marketing automation.

1.2 Pourquoi la sous-traitance est-elle un risque RGPD ?

La sous-traitance expose les PME à plusieurs risques :

• Perte de contrôle : Les données sortent de votre périmètre direct, ce qui peut compliquer leur protection.
• Responsabilité partagée : En cas de violation de données, vous restez responsable devant la CNIL, même si la faute incombe à votre sous-traitant.
• Sanctions financières : Les amendes RGPD peuvent atteindre jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros (le montant le plus élevé étant retenu).

1.3 Le cadre légal : Que dit le RGPD ?

L’article 28 du RGPD encadre spécifiquement la sous-traitance RGPD clauses. Il impose au responsable de traitement de :

• Choisir un sous-traitant offrant des garanties suffisantes en matière de sécurité et de protection des données.
• Encadrer la relation par un contrat écrit (ou un autre acte juridique) incluant des clauses obligatoires.
• S’assurer que le sous-traitant respecte ses obligations (audits, contrôles, etc.).

2. Les clauses contractuelles obligatoires selon le RGPD

Un contrat de sous-traitance conforme au RGPD doit impérativement inclure 9 clauses obligatoires, définies par l’article 28. Voici ce que vous devez vérifier (ou faire rédiger) :

2.1 Les 9 clauses obligatoires

2.2 Exemple de clause type à intégrer

Voici un modèle de clause que vous pouvez adapter à vos contrats (à faire valider par un juriste ou un expert RGPD comme MyISI) :

Clause 5 : Mesures de sécurité
Le sous-traitant s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques, notamment :
Le chiffrement des données en transit et au repos ;
La pseudonymisation des données lorsque cela est possible ;
La mise en place d’un accès restreint aux données (principe du moindre privilège) ;
La réalisation de sauvegardes régulières et sécurisées ;
La formation régulière de son personnel aux bonnes pratiques RGPD.
Le sous-traitant s’engage à informer sans délai le responsable de traitement de toute violation de données susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.

2.3 Les erreurs à éviter

❌ Se contenter d’un simple échange d’emails : Un contrat écrit est obligatoire. ❌ Oublier la clause de sous-traitance en cascade : Votre sous-traitant peut lui-même sous-traiter à un tiers (ex : un hébergeur cloud qui utilise un data center externe). ❌ Négliger les audits : Le RGPD vous autorise à auditer votre sous-traitant pour vérifier sa conformité. ❌ Ne pas prévoir de clause de sortie : Que deviennent les données à la fin du contrat ?

3. Comment choisir un sous-traitant conforme au RGPD ?

Toutes les entreprises ne se valent pas en matière de protection des données. Voici une checklist pour évaluer un sous-traitant avant de signer un contrat :

3.1 Les critères de sélection

✅ Certifications et labels :

• ISO 27001 (norme internationale de sécurité de l’information).
• HDS (Hébergement de Données de Santé) pour les données médicales.
• Label CNIL « Gouvernance RGPD » (pour les acteurs français).

• Privilégiez les solutions souveraines (hébergement en France ou dans l’UE) pour éviter les transferts de données hors UE (soumis à des règles strictes).
• Si les données sont hébergées hors UE, vérifiez la présence de clauses contractuelles types (SCC) ou d’un bouclier de protection des données (ex : Privacy Shield 2.0 pour les États-Unis).

• Le sous-traitant doit fournir une documentation détaillée de ses mesures de sécurité (chiffrement, sauvegardes, gestion des accès, etc.).
• Demandez un rapport d’audit récent (ex : SOC 2, ISO 27001).

• Vérifiez si le sous-traitant a déjà été sanctionné par la CNIL ou d’autres autorités.
• Consultez les avis clients et les retours d’expérience.

• Le sous-traitant doit proposer un contrat pré-rempli conforme au RGPD (ou accepter de signer le vôtre).

3.2 Questions à poser à votre sous-traitant

Avant de signer, posez ces questions clés :

• Où sont hébergées les données ? (Pays, data centers)
• Quelles mesures de sécurité sont en place ? (Chiffrement, sauvegardes, etc.)
• Comment gérez-vous les violations de données ? (Délai de notification, processus)
• Sous-traitez-vous à d’autres prestataires ? (Si oui, lesquels ?)
• Pouvez-vous fournir un rapport d’audit récent ? (ISO 27001, SOC 2, etc.)
• Comment gérez-vous les demandes d’exercice de droits ? (Droit d’accès, de rectification, etc.)

4. Les bonnes pratiques pour gérer la sous-traitance RGPD

Une fois le contrat signé, votre travail ne s’arrête pas là. Voici comment piloter efficacement vos relations avec vos sous-traitants :

4.1 Documenter et tracer les traitements

• Tenir un registre des sous-traitants : Listez tous vos sous-traitants, les données qu’ils traitent, et les contrats associés.
• Mettre à jour votre registre des activités de traitement (RAT) : Le RGPD impose de documenter tous les traitements de données, y compris ceux externalisés.

4.2 Former et sensibiliser vos équipes

• Former vos collaborateurs aux enjeux de la sous-traitance RGPD (ex : ne pas partager de données sans contrat).
• Sensibiliser vos sous-traitants : Organisez des réunions régulières pour rappeler leurs obligations.

4.3 Auditer et contrôler vos sous-traitants

• Réaliser des audits réguliers : Vérifiez que vos sous-traitants respectent bien leurs engagements (ex : mesures de sécurité, suppression des données).
• Demander des preuves : Certificats de sécurité, rapports d’audit, logs d’accès.
• Tester leur réactivité : Simulez une violation de données pour évaluer leur temps de réponse.

• Questionnaires RGPD (ex : modèle CNIL).
• Outils de monitoring (ex : solutions de détection des fuites de données).

4.4 Prévoir un plan de sortie

• Anticiper la fin du contrat : Prévoyez dès la signature comment les données seront restituées ou supprimées.
• Tester la suppression : Demandez une preuve de suppression des données après la fin du contrat.

4.5 Gérer les violations de données

• Exiger une notification rapide : Votre contrat doit imposer un délai maximal de 24 à 48h pour notifier une violation.
• Documenter les incidents : Consignez toutes les violations, même mineures, dans un registre interne.
• Notifier la CNIL si nécessaire : En cas de risque élevé pour les personnes concernées, vous avez 72h pour notifier l’autorité.

5. Cas pratiques : Sous-traitance RGPD dans les PME françaises

Pour illustrer ces principes, voici 3 cas concrets de sous-traitance et leurs enjeux RGPD :

5.1 Cas n°1 : Externalisation de la paie

Contexte : Une PME de 50 salariés externalise sa paie à un cabinet comptable.

Données traitées : Noms, adresses, numéros de sécurité sociale, bulletins de salaire.

Risques RGPD :

• Données sensibles (numéro de sécurité sociale = donnée biométrique).
• Sous-traitance en cascade : Le cabinet peut lui-même sous-traiter à un éditeur de logiciel (ex : Cegid, Sage).

• Contrat RGPD avec clause de sous-traitance en cascade.
• Chiffrement des données (ex : envoi des fichiers paie via une plateforme sécurisée comme MyISI Cloud).
• Audit annuel du cabinet comptable.

5.2 Cas n°2 : Utilisation d’un outil de marketing automation

Contexte : Une boutique en ligne utilise Mailchimp pour envoyer des newsletters.

Données traitées : Adresses email, historique des achats, comportements de navigation.

Risques RGPD :

• Consentement : Les abonnés doivent avoir donné leur accord explicite (double opt-in).
• Transferts de données : Mailchimp héberge ses données aux États-Unis (nécessité de clauses contractuelles types).

• Vérifier le consentement : Mettre en place un double opt-in.
• Signer des SCC (Standard Contractual Clauses) avec Mailchimp.
• Privilégier une alternative européenne (ex : Brevo, Sendinblue) pour éviter les transferts hors UE.

5.3 Cas n°3 : Hébergement cloud des données clients

Contexte : Une PME utilise AWS (Amazon Web Services) pour héberger sa base de données clients.

Données traitées : Noms, emails, adresses, historiques d’achat.

Risques RGPD :

• Localisation des données : AWS héberge ses données dans le monde entier (risque de transfert hors UE).
• Sécurité : Risque de violation de données en cas de mauvaise configuration.

• Choisir une région AWS en UE (ex : Francfort, Paris).
• Configurer le chiffrement (AWS KMS).
• Auditer régulièrement les accès et les logs.
• Envisager une solution souveraine (ex : OVHcloud, Scaleway) pour plus