Sous-traitants et contrat de sous-traitance (DPA) : ce qu'il faut savoir
Aucun site ne fonctionne seul : hébergeur, outil d'e-mailing, solution de paiement, CRM traitent tous, à un moment ou un autre, des données personnelles pour votre compte. Le RGPD encadre cette relation par un contrat obligatoire, souvent appelé DPA (Data Processing Agreement). Voici ce qu'il faut savoir pour l'identifier et le vérifier.
Qui est un sous-traitant ?
Un sous-traitant, au sens du RGPD, est tout prestataire qui traite des données personnelles pour le compte du responsable de traitement, sur ses instructions, sans en déterminer lui-même les finalités. Concrètement : votre hébergeur, votre outil d'e-mailing, votre solution de paiement, votre CRM, l'agence qui gère vos publicités. Un prestataire qui, au contraire, décide lui-même de l'usage des données (par exemple une régie publicitaire qui les réutilise pour son propre compte) peut être un responsable de traitement distinct, voire conjoint — une situation à traiter différemment.
Pourquoi un contrat est obligatoire
L'article 28 du RGPD impose que la relation avec chaque sous-traitant soit encadrée par un contrat ou un autre acte juridique. Sans ce document, vous restez responsable des manquements de votre prestataire, sans disposer des garanties et recours qu'un contrat conforme vous assure. Beaucoup d'éditeurs de logiciels intègrent déjà ce contrat dans leurs conditions générales ou proposent un DPA à signer séparément — encore faut-il l'avoir identifié et accepté.
Ce que doit contenir le contrat
- L'objet, la durée et la nature du traitement confié.
- La finalité du traitement et le type de données concernées.
- L'engagement du sous-traitant à agir uniquement sur instruction documentée.
- Les mesures de sécurité mises en œuvre (obligation de l'article 32).
- Les conditions de recours à un sous-traitant ultérieur (autorisation préalable).
- L'assistance apportée pour répondre aux demandes d'exercice de droits.
- Le sort des données à la fin du contrat (suppression ou restitution).
Comment identifier vos sous-traitants
La liste s'établit en recensant tous les outils tiers qui traitent des données pour vous : hébergement, e-mailing, paiement, analytics, chat, CRM, sauvegarde. Une analyse automatisée de votre site aide à repérer les services tiers réellement contactés par vos pages (souvent plus nombreux qu'on ne le pense), ce qui complète utilement l'inventaire fait en interne pour les outils qui ne sont pas visibles depuis le site (comptabilité, RH).
Les erreurs les plus fréquentes
La plus courante consiste à considérer que les conditions générales d'utilisation standard d'un outil suffisent, sans vérifier qu'elles couvrent réellement les clauses de l'article 28. La seconde est d'oublier des prestataires « secondaires » (un outil de sondage, un widget de chat) simplement parce qu'ils ne semblent pas centraux. Enfin, l'absence de suivi dans le temps : un nouveau sous-traitant ajouté sans mise à jour du registre ni vérification du contrat est un oubli classique.
- Un sous-traitant traite des données pour votre compte, sur vos instructions (hébergeur, CRM, e-mailing…).
- Un contrat conforme à l'article 28 est obligatoire pour chaque sous-traitant.
- Le contrat doit couvrir objet, sécurité, sous-traitance ultérieure, assistance aux droits, et sort des données en fin de relation.
- L'analyse de votre site aide à repérer les prestataires tiers réellement en jeu, en complément d'un inventaire interne.
Questions fréquentes
Sur le même sujet
Sources & références officielles
Votre site est-il concerné ?
Analysez-le gratuitement en 30 secondes : cookies, sécurité e-mail, transferts hors UE et plus encore.
Ce guide est une aide à la compréhension et à la conformité. Il ne constitue pas un avis juridique. Mis à jour le 17 juillet 2026.