L’externalisation est aujourd’hui au cœur du fonctionnement des organisations. Hébergement cloud, solutions SaaS, marketing digital, gestion RH ou support client : de nombreuses activités impliquant des données personnelles sont confiées à des prestataires.
Cette pratique présente de nombreux avantages : gain de temps et efficacité, accès à des compétences techniques spécialisées et réduction des coûts opérationnels.
Mais du point de vue du Règlement général sur la protection des données, la sous-traitance soulève un enjeu majeur : externaliser un traitement ne signifie pas que vous externaliser la responsabilité juridique.
Dans certains cas, les incidents de sécurité ou les manquements à la réglementation proviennent directement d’un prestataire. Pour faire simple, cela signifie qu’un risque RGPD peut naître en dehors de votre propre système d’information.
Le cadre juridique : la responsabilité du responsable de traitement
Le Règlement européen est très clair : en tant que responsable de traitement, vous ne pouvez pas choisir vos prestataires à la légère. L’article 28 vous impose de faire appel exclusivement à des sous-traitants capables de démontrer des « garanties suffisantes ».
Ces garanties ne sont pas de simples promesses orales ; elles doivent couvrir trois piliers fondamentaux :
- La sécurité technique et organisationnelle : Le prestataire doit prouver qu’il a mis en place des barrières robustes (chiffrement, pare-feu, gestion stricte des accès) pour protéger vos données.
- La confidentialité absolue : Il doit s’assurer que ses propres collaborateurs sont soumis à une obligation de secret professionnel ou de confidentialité.
- L’obéissance aux instructions : Le sous-traitant n’a aucune autonomie sur l’usage des données. Il agit uniquement selon vos ordres écrits et documentés.
Le texte impose également la conclusion d’un contrat de sous-traitance précisant les conditions dans lesquelles les données peuvent être traitées.
Ce principe repose sur une logique simple : la responsabilité première du traitement reste entre les mains de l’organisation qui collecte les données.
Quand la faille vient du prestataire : un scénario fréquent
Dans la pratique, de nombreuses violations de données impliquent un prestataire externe.
Il peut s’agir par exemple :
- d’un prestataire informatique victime d’une cyberattaque ;
- d’une solution SaaS mal configurée ;
- d’une agence marketing utilisant des outils non conformes ;
- d’un prestataire support disposant d’accès trop étendus aux systèmes internes.
Même lorsque l’incident provient d’un tiers, l’organisation responsable du traitement peut être tenue responsable devant l’autorité de contrôle et les personnes concernées.
La Commission nationale de l’informatique et des libertés (CNIL) rappelle régulièrement que les entreprises doivent être en mesure de démontrer qu’elles ont sélectionné et encadré leurs sous-traitants de manière conforme.
Trois affaires récentes illustrant les risques liés à la sous-traitance
France Travail
Plusieurs décisions et incidents récents montrent à quel point les prestataires peuvent constituer un point d’entrée dans les systèmes d’information.
En janvier 2026, l’organisme public France Travail a été sanctionné à hauteur de 5 millions d’euros après une violation de données ayant concerné près de 37 millions de personnes.
Les attaquants avaient exploité les comptes de conseillers d’un organisme partenaire, Cap Emploi, pour accéder au système d’information. L’enquête a notamment mis en évidence des droits d’accès trop étendus accordés aux intervenants externes, ainsi qu’une authentification insuffisamment robuste.
ManoMano
Le même mois, la plateforme de commerce en ligne ManoMano a informé ses utilisateurs d’une violation de données liée à l’un de ses sous-traitants en charge du support client. En compromettant le compte d’un agent disposant d’accès étendus, des cybercriminels ont pu télécharger illégalement différentes données personnelles, notamment les coordonnées et historiques d’échanges de clients.
NEXPUBLICA
Enfin, toujours en janvier 2026, la CNIL a infligé une sanction de 1,7 million d’euros à l’éditeur logiciel NEXPUBLICA. Des vulnérabilités de sécurité identifiées lors d’audits internes n’avaient pas été corrigées avant que des violations de données ne surviennent.
Ces affaires ont un point commun : la chaîne de sous-traitance n’atténue pas le risque, elle peut au contraire le multiplier.
Le contrat de sous-traitance : un pilier de la conformité RGPD
Afin d’encadrer juridiquement la relation avec les prestataires, le RGPD impose la conclusion d’un contrat spécifique.
Ce contrat doit notamment préciser :
- l’objet et la durée du traitement ;
- la nature et la finalité des opérations réalisées ;
- les catégories de données traitées ;
- les obligations et les droits du responsable de traitement ;
- les mesures de sécurité appliquées.
Il doit également prévoir plusieurs mécanismes essentiels :
- les conditions de recours à des sous-traitants ultérieurs ;
- l’assistance en cas de violation de données personnelles ;
- la gestion des droits des personnes concernées ;
- les modalités de suppression ou de restitution des données en fin de contrat.
Pourquoi le contrat ne suffit pas : la nécessité d’un suivi des prestataires
La conformité RGPD ne repose pas uniquement sur la signature d’un contrat.
Les organisations doivent également mettre en place une gouvernance de leurs prestataires.
Cela implique notamment :
- d’évaluer les prestataires avant leur sélection ;
- de vérifier leurs mesures de sécurité ;
- de documenter les traitements dans le registre RGPD ;
- d’encadrer les transferts de données hors Union européenne ;
- de suivre régulièrement les prestataires (questionnaires, audits)
Cette approche s’inscrit dans le principe d’accountability, qui impose aux organisations de pouvoir démontrer leur conformité à tout moment.
