Respect de votre vie privée

Nous utilisons des cookies pour améliorer votre expérience sur DPO Manager. Les cookies essentiels sont nécessaires au fonctionnement de la plateforme. Les cookies analytiques nous aident à comprendre comment vous utilisez notre service afin de l'améliorer (anonymisés, conformes RGPD).

DPO Manager
Sous-traitance
5 février 2026
10 min de lecture

Sous-traitants RGPD : obligations et contrat article 28

Vos sous-traitants traitent des données pour votre compte ? Découvrez vos obligations mutuelles et comment rédiger un contrat Article 28 (DPA) conforme au RGPD.

sous-traitantarticle 28DPARGPDcontratdue diligence

La relation entre responsable de traitement et sous-traitant est strictement encadrée par le RGPD, notamment par l'article 28. Que vous utilisiez un hébergeur cloud, un prestataire de paie, un outil CRM SaaS ou un cabinet comptable, vous devez formaliser cette relation par un contrat spécifique : le DPA (Data Processing Agreement).

Qu'est-ce qu'un sous-traitant au sens du RGPD ?

Un sous-traitant est toute personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement. Contrairement au responsable de traitement qui détermine les finalités et les moyens du traitement, le sous-traitant agit uniquement sur instruction du responsable.

Exemples courants de sous-traitants

Hébergeurs cloud (OVH, AWS, Azure), prestataires de paie, editeurs de logiciels SaaS (CRM, emailing), agences de marketing digital, cabinets comptables, prestataires de maintenance informatique, services de sauvegarde et de stockage.

Le contenu obligatoire du contrat Article 28

L'article 28 du RGPD exige un contrat écrit (ou un acte juridique equivalent) entre le responsable de traitement et chaque sous-traitant. Ce contrat doit inclure les clauses suivantes :

  • L'objet et la durée du traitement
  • La nature et la finalité du traitement
  • Le type de données personnelles traitées
  • Les catégories de personnes concernées
  • Les obligations et droits du responsable de traitement
  • L'obligation de ne traiter les données que sur instruction documentée du responsable
  • L'obligation de confidentialité des personnes autorisées a traiter les données
  • Les mesures de sécurité techniques et organisationnelles (article 32)
  • Les conditions de recours à un autre sous-traitant (sous-traitance ulterieure)
  • L'obligation d'assister le responsable pour répondre aux demandes d'exercice de droits
  • L'obligation d'assister le responsable pour les notifications de violations
  • Le sort des données à la fin du contrat (restitution ou suppression)
  • L'obligation de mettre à disposition du responsable toutes les informations nécessaires pour demontrer la conformité

La due diligence : évaluer vos sous-traitants

Avant de confier des données à un sous-traitant, vous devez vérifier qu'il présente des garanties suffisantes. Cette évaluation (due diligence) porte sur plusieurs critères :

  • Mesures de sécurité techniques : chiffrement, contrôle d'accès, sauvegardes, redondance
  • Mesures organisationnelles : politique de sécurité, formation du personnel, gestion des incidents
  • Localisation des données : hébergement dans l'UE/EEE ou transferts hors UE avec garanties adéquates
  • Certifications et labels : ISO 27001, SOC 2, HDS (pour les données de santé)
  • References et experience dans le domaine
  • Capacite a assister en cas de violation ou de demande d'exercice de droits
Art. 28
Base légale
13
Clauses obligatoires
100%
Sous-traitants à couvrir
Écrit
Forme du contrat

Gérez vos sous-traitants avec DPO Manager

Le module Sous-traitants de DPO Manager centralise toute la gestion : registre complet, suivi des contrats Article 28, évaluation de conformité, alertes d'échéance, monitoring des transferts hors UE et tableau de bord de risque fournisseur.

Simplifiez votre conformité avec DPO Manager

Registre des traitements, gestion des droits, DPIA, incidents, sous-traitants, cookies et formation : tout en un seul outil.

Démarrer l'essai gratuit 14 jours

Sans carte bancaire • Configuration en 15 minutes

Articles similaires

Conformité10 min

Les 6 bases légales du RGPD : comment choisir la bonne

Chaque traitement de données doit reposer sur une base légale. Découvrez les 6 bases prévues par l'article 6 du RGPD et comment choisir celle qui s'applique à chaque traitement.

Lire
Conformité12 min

Comment créer et maintenir votre registre des traitements RGPD

Le registre des traitements est la pierre angulaire de votre conformité RGPD. Découvrez comment le créer, le maintenir à jour et éviter les erreurs courantes conformément à l'article 30.

Lire
Organisation10 min

Le rôle du DPO : missions, obligations et bonnes pratiques

Le Délégué à la Protection des Données (DPO) est un acteur clé de la conformité RGPD. Découvrez ses missions, quand sa désignation est obligatoire et comment exercer ce rôle efficacement.

Lire
Tous les articles du blog