27 juillet 2020

La CNIL rappelle 6 bonnes pratiques pour respecter les données personnelles dans les relations de sous-traitance

Dans le cadre de sa stratégie de contrôle 2019, une des thématiques prioritaires de la CNIL concernait la répartition des responsabilités entre responsables de traitement et sous-traitants. En effet, avec l’application du RGPD, ces acteurs sont soumis à un certain nombre de nouvelles obligations. La CNIL a ainsi réalisé des contrôles auprès de 15 fournisseurs […]

CNILdonnées personnellesprivacyRGPD
Logo

Dans le cadre de sa stratégie de contrôle 2019, une des thématiques prioritaires de la CNIL concernait la répartition des responsabilités entre responsables de traitement et sous-traitants. En effet, avec l’application du RGPD, ces acteurs sont soumis à un certain nombre de nouvelles obligations.

La CNIL a ainsi réalisé des contrôles auprès de 15 fournisseurs de services et solutions informatiques en ligne. Si ces vérifications ont permis de mettre en évidence une réelle prise de conscience des nouvelles obligations pesant sur les sous-traitants, la CNIL a malgré tout souhaité rappeler quelques bonnes pratiques à adopter :

1. Déterminer le statut des acteurs impliqués

La CNIL conseille au donneur d’ordre et au prestataire de service de définir chacun leur rôle en menant ensemble une analyse, afin de pouvoir ensuite s’accorder sur leurs obligations respectives. Cependant, la CNIL alerte les organismes : cela ne signifie pas que les parties peuvent « choisir » ensemble la qualification qui les arrange.

2. Établir un contrat clair

Le responsable de traitement et le sous-traitant doivent conclure un contrat incluant plusieurs mentions obligatoires listées à l’article 28 du RGPD. La CNIL relève des points de vigilance sur deux de ces clauses :

○ La définition de l’objet, la durée, la nature et la finalité du traitement doit clairement apparaître dans le contrat de sous-traitance, car c’est cette clause qui fixe le cadre du traitement pour le sous-traitant.

○ Les conditions dans lesquelles le sous-traitant peut lui-même recourir à un sous-traitant doivent être précisées, et notamment quelle modalité d’autorisation est choisie par les parties.

3. Documenter l’activité de sous-traitance

La CNIL rappelle que le contrat doit impérativement comporter une clause selon laquelle le sous-traitant tient à disposition du donneur d’ordre toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et permettre la réalisation d’audits.

Le sous-traitant doit également :

○ Veiller à ce que les instructions délivrées par le donneur d’ordre soient formalisées de manière écrite et les recenser afin d’être en mesure de démontrer qu’il agit sur instruction du responsable de traitement ;

○ Tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement ;

○ Tenir à disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de ses obligations et permettre la réalisation d’audits.

4. Proposer des outils respectueux des données personnelles

Le sous-traitant doit offrir des garanties suffisantes pour répondre aux exigences du RGPD et doit proposer des solutions et outils respectueux des données personnelles.  Pour sa part, le responsable de traitement doit veiller à recourir à des services qui incluent des fonctionnalités et outils techniques qui lui permettront d’assurer sa conformité, par exemple :

○ Une interface de recueil du consentement, si le traitement de données personnelles mis en œuvre par le responsable de traitement requiert le consentement de la personne ;

○ Un lien de désinscription automatique afin de permettre à l’utilisation de retirer son consentement à tout moment ;

○ Une interface et un modèle d’information des personnes ;

○ Un système de purge automatique des données.

5. Aider le responsable de traitement à répondre aux demandes d’exercices des droits des personnes

Le sous-traitant doit aider le responsable de traitement à répondre aux demandes d’exercice des droits qu’il reçoit. Pour cela, la CNIL rappelle l’importance d’organiser, dès la conclusion du contrat de sous-traitance, les modalités de cette assistance et de veiller à ce que la solution fournie par le sous-traitant intègre des fonctionnalités permettant de répondre à ces demandes facilement et rapidement (par exemple une interface d’exercice des droits des personnes avec un système de suivi et de répartition automatique des demandes en fonction de leur objet).

6. Garantir la sécurité des données collectées

Le responsable de traitement doit faire appel à un sous-traitant qui présente des garanties suffisantes en termes de sécurité. Le sous-traitant, quant à lui, doit assurer un niveau de sécurité suffisant au regard de la nature des données traitées.

Pour cela, la CNIL recommande notamment au responsable de traitement :

○ d’exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information (PSSI) ;

○ d’assurer et de documenter l’effectivité des garanties offertes par le sous-traitant en matière de protection des données.

Des travaux sont en cours au niveau du Comité européen de la protection des données (CEPD) sur les notions de responsable de traitement et de sous-traitant, qui permettront de préciser et compléter ces premiers rappels.

Si vous souhaitez en savoir plus sur les bonnes pratiques de la CNIL, suivez le lien :

https://www.cnil.fr/fr/responsable-de-traitement-et-sous-traitant-6-bonnes-pratiques-pour-respecter-les-donnees

Blog

Nos actualités cybersécurité

Cybersécurité

Cybersécurité du mainframe : pourquoi et comment sécuriser le cœur de vos systèmes d’information

Souvent perçu comme une relique technologique, le mainframe reste pourtant l’épine dorsale des organisations les plus critiques au monde. Banques, assurances, industries, administrations : ces systèmes traitent chaque jour des milliards de transactions et concentrent les données les plus sensibles. Pourtant, leur sécurité est rarement auditée avec la rigueur qu’ils méritent. Décryptage d’un angle mort majeur de la cybersécurité.

20 mars 2026

Cybersécurité

Cybersécurité des ETI : comment passer du réflexe défensif à une stratégie structurée

En 2025, 34 % des ETI ont subi au moins une cyberattaque significative. Le chiffre peut sembler modéré en comparaison des grandes entreprises (50 %), mais il masque une réalité plus brutale : parmi les organisations touchées, 81 % ont constaté un impact direct sur leur activité – perturbation de la production, perte d’image, compromission de données stratégiques ou perte de chiffre d’affaires (sondage OpinionWay pour CESIN, janvier 2026).

10 mars 2026

Cybersécurité

Sécuriser chaque agent IA : le défi cybersécurité de 2026

L’IA générative s’impose désormais dans les usages professionnels les plus courants. Entre les résumés d’e-mails, l’automatisation de tâches complexes et l’assistance à la décision stratégique, chaque agent IA cybersécurité devient un collaborateur numérique à part entière. Cependant, à mesure que ces outils se diffusent à une vitesse inédite dans nos infrastructures, nous constatons que les entreprises peinent à garder une vision claire de ce qui est réellement déployé dans leurs systèmes. Le risque n’est plus seulement théorique : il est actif, souvent invisible, et logé au cœur même de nos processus métier automatisés.

13 février 2026
Découvrez tous les articles

informations

Contactez-nous

Une question ou un projet en tête ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

    *Informations obligatoires

    Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.

    Ce site est protégé par reCAPTCHA. La politique de confidentialité et les conditions d'utilisation de Google s'appliquent.

    Index