
Modèle de notification de changement de sous-traitant RGPD (DOCX & PDF gratuits)
Modèle gratuit de notification de changement de sous-traitant RGPD avec tous les champs attendus par le CEPD, la variante e-mail, la gestion des oppositions et le workflow d'approbation.
Télécharger ce modèle
Version 1.0 · Mis à jour le 11 juil. 2026 · Gratuit, sans e-mail requis · Fichiers téléchargeables en anglais
Modèle de notification de changement de sous-traitant RGPD (Word, PDF & Markdown)
Ce modèle gratuit de notification de changement de sous-traitant vous donne une notification prête à l'envoi au titre de l'article 28(2) du RGPD : tous les champs attendus par l'avis 22/2024 du CEPD — identité du sous-traitant ultérieur, personne de contact, service et catégories de données, localisation du traitement, mécanisme de transfert, date d'effet et date limite d'opposition — plus la variante e-mail de la notification, un texte type de réponse aux oppositions et le workflow d'approbation interne. Téléchargez-le au format Word (DOCX), PDF ou en fichier Markdown lisible par machine, à partir duquel vos outils d'IA peuvent rédiger (fichiers téléchargeables en anglais).
Sous autorisation écrite générale, vous devez informer chaque responsable du traitement concerné d'un ajout ou remplacement envisagé de sous-traitant ultérieur et lui donner une véritable possibilité de s'y opposer avant que le changement ne prenne effet. Depuis l'avis 22/2024 du CEPD, un e-mail d'une ligne « nous avons ajouté le prestataire X » ne franchit plus cette barre. Ce modèle contient la notification que la plupart des DPO européens attendent désormais de recevoir. Pour le processus qui l'entoure — délais de préavis, limites du silence-valant-consentement, modèles d'abonnement — consultez le guide complet : Notifications de changement de sous-traitant (RGPD) : le processus de l'article 28.
À retenir
- La notification est un document structuré, pas un e-mail de courtoisie. Après l'avis 22/2024 du CEPD, elle doit comporter assez de détails pour que le responsable du traitement prenne une décision d'opposition éclairée — les huit champs obligatoires du modèle correspondent un à un à cette attente.
- La date limite vous appartient, car le RGPD n'en fixe aucune. L'article 28 ne prévoit pas de délai de préavis légal. Le modèle vous oblige à indiquer une date limite d'opposition explicite et une méthode, tirées de votre DPA — typiquement ~15 jours dans la pratique européenne, 30 à 60 jours négociés, 90 jours rares.
- Les transferts font partie de la notification. Si le nouveau sous-traitant ultérieur traite des données hors de l'EEE, la notification doit nommer le mécanisme — clauses contractuelles types (CCT) ou décision d'adéquation — pour que les responsables du traitement puissent mener leur propre analyse de transfert.
- L'approbation précède l'envoi. Le workflow intégré (juridique → DPO → publication → notification) existe parce qu'une notification expédiée avant la mise à jour de la liste des sous-traitants ultérieurs, ou avant l'analyse des transferts, crée précisément la lacune d'audit qu'elle devait combler.
- Un seul modèle couvre l'UE, l'EEE et le Royaume-Uni. Le UK GDPR et la personopplysningsloven norvégienne reprennent l'article 28 dans la même forme ; une notification rédigée selon la lecture la plus stricte fonctionne donc dans les trois cadres.
Ce que contient le modèle
L'artefact central est le document de notification lui-même — le modèle de notification de sous-traitant RGPD à proprement parler — un formulaire à remplir comportant les huit champs dont un responsable du traitement (et son DPO) a besoin pour évaluer le changement :
| Champ | Ce que vous renseignez | Pourquoi il est requis |
|---|---|---|
| Nom & adresse du sous-traitant ultérieur | Dénomination sociale et adresse du siège | Identification de base — l'avis 22/2024 du CEPD attend l'identité de chaque acteur de la chaîne |
| Pays / localisation du traitement | Là où les données sont effectivement traitées | Détermine si les règles de transfert du chapitre V s'appliquent |
| Description du service / du traitement | Ce que fait le sous-traitant ultérieur et quels produits il sous-tend | Les responsables du traitement doivent savoir quel traitement est confié, pas seulement à qui |
| Catégories de données personnelles | P. ex. données de contact, données d'usage, contenus de support | Permet au responsable du traitement d'apprécier le risque et de vérifier si des catégories particulières sont concernées |
| Mécanisme de transfert | CCT (décision 2021/914), décision d'adéquation, ou n/a (EEE uniquement) | Après Schrems II, une notification sans base de transfert force le responsable du traitement à vous relancer |
| Garanties de sécurité | Certifications (ISO 27001, SOC 2) ou synthèse des mesures | Étaye l'appréciation des « garanties suffisantes » au sens de l'article 28(1) |
| Date d'effet | La date à laquelle le sous-traitant ultérieur commence à traiter | La notification doit précéder cette date de la totalité du délai d'opposition |
| Date limite & méthode d'opposition | Date explicite plus la manière de s'opposer (adresse e-mail, portail) | La possibilité de s'opposer doit être réelle — une date limite introuvable n'en est pas une |
Autour de la notification elle-même, le téléchargement inclut :
- La variante e-mail — objet et corps du message pour remettre la notification aux responsables du traitement abonnés, rédigés pour que la date limite d'opposition soit visible sans ouvrir de pièce jointe.
- Un texte type de réponse aux oppositions — l'accusé de réception envoyé lorsqu'un responsable du traitement s'oppose, engageant le parcours efforts raisonnables / solution de contournement / résiliation.
- Le workflow d'approbation — une checklist interne en quatre étapes (juridique → DPO → publication → notification) avec ce que chaque étape vérifie.
- Un exemple rempli — une notification complétée réaliste, pour que les relecteurs juristes et non juristes voient à quoi ressemble un document « terminé ».
La version Markdown reprend le même contenu avec des définitions de champs lisibles par machine, de sorte qu'un agent IA ou un outillage interne peut rédiger une notification conforme à partir du seul fichier.
Comment l'utiliser : le workflow d'approbation
Une notification ne vaut que par le processus qui l'expédie. Le workflow du modèle comporte quatre étapes :
- Revue juridique. Confirmez ce que vos DPA promettent réellement : le délai de préavis, la méthode d'opposition et la conséquence d'une opposition. Si différents segments de clients ont négocié des délais différents (les grands comptes obtiennent souvent 30 à 60 jours), la notification doit respecter le délai applicable le plus long — ou vous envoyez des notifications segmentées.
- Validation du DPO. Le DPO ou le responsable de la protection de la vie privée vérifie le fond : la diligence raisonnable sur le nouveau sous-traitant ultérieur, l'analyse des transferts (CCT signées ? adéquation applicable ?) et le caractère complet des huit champs. C'est ici qu'une notification réduite à un nom est interceptée avant de vous embarrasser.
- Publication. Mettez à jour le registre public des sous-traitants ultérieurs avant ou simultanément à la notification, afin qu'un responsable du traitement qui clique voie une liste cohérente avec ce qui lui a été annoncé. L'avis 22/2024 du CEPD attend que cette liste soit à jour en permanence.
- Notification. Envoyez la notification — en « push », pas en « pull » — à chaque responsable du traitement dont les données seront concernées par le sous-traitant ultérieur, déclenchez le délai d'opposition et consignez l'envoi. Ce journal est votre preuve de qui a été informé, quand, et avec quel contenu.
Sur la date limite : résistez à la tentation de copier un chiffre du DPA de quelqu'un d'autre. La pratique européenne se concentre autour de ~15 jours comme délai typique, 30 à 60 jours comme fourchette habituellement négociée pour les responsables du traitement grands comptes et réglementés, et 90 jours devenant de plus en plus rare. Le critère du CEPD n'est pas le chiffre, mais la question de savoir si le délai permet une opposition éclairée et effective — un délai court sur un changement à risque élevé est contestable même si le contrat l'autorise.
Si un responsable du traitement s'oppose, le texte de réponse type suit le schéma standard : accuser réception dans un délai indiqué, tenter une solution de contournement (par exemple ne pas acheminer les données de ce responsable du traitement vers le nouveau sous-traitant ultérieur) et, si aucune n'est possible, proposer la résiliation des services concernés sans pénalité. Documentez l'opposition et sa résolution — elles appartiennent à la même piste d'audit que la notification.
La base juridique derrière chaque champ
Chaque champ du modèle se rattache à une obligation précise — brièvement, puisque le guide complet traite chacune en profondeur :
- L'article 28(2) du RGPD crée l'obligation de notification elle-même : sous autorisation écrite générale, le sous-traitant « informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements ». Les champs date d'effet et date limite d'opposition rendent opérationnels les termes « prévu » et « possibilité ».
- Les articles 28(3)(d) et 28(4) imposent au sous-traitant de respecter dans le contrat les conditions du paragraphe 2, de répercuter les mêmes obligations de protection des données au sous-traitant ultérieur et de demeurer responsable envers le responsable du traitement de la conformité de celui-ci — raison pour laquelle le champ garanties de sécurité vous incombe à vous, et non au sous-traitant ultérieur. L'article 28(9) exige que l'arrangement soit établi par écrit, y compris sous forme électronique : une notification envoyée par e-mail est donc un instrument valable.
- Le chapitre V (articles 44 à 46) régit le champ mécanisme de transfert. Un traitement hors de l'EEE nécessite une décision d'adéquation (article 45 — couvrant actuellement le Royaume-Uni, la Suisse, le Japon et les organisations américaines certifiées au titre du Data Privacy Framework UE–États-Unis, entre autres) ou des garanties appropriées au titre de l'article 46, le plus souvent les clauses contractuelles types de la décision d'exécution (UE) 2021/914 de la Commission. Les relations responsable du traitement–sous-traitant internes à l'EEE disposent de leurs propres CCT facultatives au titre de la décision (UE) 2021/915.
- L'avis 22/2024 du CEPD (adopté le 7 octobre 2024) fixe la liste des champs : identité, personne de contact, description du traitement, localisation, garanties de transfert et garanties de sécurité pour chaque sous-traitant ultérieur de la chaîne, tenues à jour en permanence et fournies de manière proactive. Il limite aussi l'acceptation présumée à l'autorisation générale assortie d'une information réelle et en temps utile — sous autorisation spécifique, le silence ne vaut jamais consentement.
Le niveau de détail est fonction du risque : pour un changement d'outillage à faible risque, des mentions synthétiques suffisent ; pour un sous-traitant ultérieur touchant des données sensibles, les responsables du traitement sont en droit d'attendre davantage dans chaque champ. L'articulation avec vos obligations plus larges de registre et de diligence raisonnable est traitée dans Gestion des sous-traitants au titre de l'article 28 du RGPD, et les obligations connexes du sous-traitant dans Articles 28, 32, 33 et 34 du RGPD.
Utiliser le modèle au Royaume-Uni et en Norvège/EEE
Aucune adaptation n'est nécessaire pour le Royaume-Uni ou la Norvège. Le UK GDPR conserve l'article 28 dans la même forme, sous la supervision de l'ICO, dont les lignes directrices sur les contrats invitent les sous-traitants à indiquer « la date à laquelle le responsable du traitement doit soulever toute objection » — exactement le champ date limite d'opposition du modèle. La Norvège applique le RGPD au travers de la personopplysningsloven en vertu de l'accord sur l'EEE, sous la supervision du Datatilsynet, sans règle nationale qui assouplirait l'obligation de notification de changement. Le seul champ qui varie selon les juridictions est le mécanisme de transfert : un transfert vers le Royaume-Uni depuis l'EEE repose actuellement sur la décision d'adéquation du Royaume-Uni, tandis qu'un traitement interne à l'EEE (Norvège comprise) n'en nécessite aucun.
Faire tourner le processus de notification automatiquement
Un modèle résout le problème de la rédaction ; il ne s'envoie pas tout seul, n'applique pas le délai d'opposition et ne se souvient pas de qui a été notifié. C'est le rôle d'un Trust Center : un registre des sous-traitants ultérieurs à jour, une base d'abonnés composée de responsables du traitement et de DPO, des notifications de changement structurées et une piste d'audit dans un seul système. Le processus de mises à jour de confiance d'Orbiq émet les notifications de changement de sous-traitant ultérieur aux responsables du traitement abonnés, applique la date limite d'opposition et conserve les preuves automatiquement — le modèle que vous téléchargez ici devient ainsi un processus au lieu d'une tâche manuelle récurrente.
Sources et références
- Règlement (UE) 2016/679 (RGPD) — Article 28 — autorisation des sous-traitants ultérieurs et obligation de notification (28(2)), conditions contractuelles (28(3)(d)), répercussion des obligations et responsabilité (28(4)), forme écrite (28(9)).
- Avis 22/2024 du CEPD sur certaines obligations découlant du recours à des sous-traitants et sous-traitants ultérieurs — adopté le 7 octobre 2024 ; informations requises sur les sous-traitants ultérieurs, listes proactives et à jour, limites de l'acceptation présumée.
- Décision d'exécution (UE) 2021/914 de la Commission — Clauses contractuelles types pour les transferts vers des pays tiers — mécanisme de transfert de l'article 46(2)(c) référencé dans le champ transfert du modèle.
- Décision d'exécution (UE) 2021/915 de la Commission — Clauses contractuelles types entre responsables du traitement et sous-traitants — CCT de l'article 28(7), y compris les conditions d'engagement de sous-traitants ultérieurs.
- ICO — Contrats et responsabilités entre responsables du traitement et sous-traitants — position du UK GDPR, y compris l'indication d'une date limite d'opposition.
- Datatilsynet — Autorité norvégienne de protection des données — supervision du RGPD en Norvège via la personopplysningsloven et l'accord sur l'EEE.
Pour aller plus loin
- Notifications de changement de sous-traitant (RGPD) : le processus de l'article 28 — le guide complet derrière ce modèle
- Gestion des sous-traitants au titre de l'article 28 du RGPD : ce que les responsables du traitement attendent réellement
- Articles 28, 32, 33 et 34 du RGPD : pourquoi un SMSI ne suffit pas
- Trust Center pour les équipes juridiques
Télécharger ce modèle
Version 1.0 · Mis à jour le 11 juil. 2026 · Gratuit, sans e-mail requis · Fichiers téléchargeables en anglais
Questions fréquentes
Que doit contenir un modèle de notification de changement de sous-traitant RGPD ?
Conformément à l'avis 22/2024 du CEPD, un modèle conforme doit comporter le nom et l'adresse du siège du sous-traitant ultérieur, une personne de contact, une description du service et du traitement, les catégories de données personnelles concernées, la localisation du traitement, le mécanisme de transfert pour tout traitement hors EEE (CCT ou décision d'adéquation), la date d'effet, et une date limite d'opposition clairement indiquée avec la méthode pour s'opposer. Ce modèle inclut tous ces éléments sous forme de champs à remplir.
Existe-t-il un délai de préavis légal à inscrire dans le modèle ?
Non. L'article 28 du RGPD ne fixe aucun délai de préavis — la fenêtre est définie dans votre accord de traitement des données (DPA). Dans la pratique européenne, le délai typique est d'environ 15 jours, 30 à 60 jours constituant la fourchette habituellement négociée par les clients grands comptes et réglementés, et 90 jours devenant de plus en plus rare. Quel que soit votre choix, l'avis 22/2024 du CEPD attend qu'il soit suffisamment long pour permettre une opposition éclairée et effective.
Puis-je envoyer la notification de sous-traitant par e-mail ?
Oui — l'e-mail est le canal de remise standard, et ce modèle inclut une variante e-mail de notification prête à l'envoi. Ce qui compte juridiquement, c'est que la notification soit en « push » et non en « pull » : la simple mise à jour d'une page web ne décharge pas de l'obligation de l'article 28(2), sauf si elle s'accompagne d'une alerte active qui atteint les responsables du traitement à temps pour s'opposer.
Qui doit approuver une notification de changement de sous-traitant avant son envoi ?
Le modèle est livré avec un workflow d'approbation en quatre étapes : la revue juridique confirme les clauses du DPA et le mécanisme d'opposition, le DPO (ou le responsable de la protection de la vie privée) vérifie l'analyse des transferts et les champs attendus par le CEPD, la liste des sous-traitants ultérieurs est mise à jour et publiée, et ce n'est qu'ensuite que la notification est envoyée à tous les responsables du traitement abonnés, avec le délai d'opposition déclenché et consigné.
Le même modèle fonctionne-t-il pour les clients britanniques et norvégiens ?
Oui. Le UK GDPR reprend l'article 28 dans la même forme, sous la supervision de l'ICO, qui attend que le contrat indique une date limite d'opposition. La Norvège applique le RGPD au travers de la personopplysningsloven en vertu de l'accord sur l'EEE, sous la supervision du Datatilsynet, sans règle nationale plus souple. Une notification rédigée selon la lecture la plus stricte couvre les responsables du traitement de l'UE, de l'EEE et du Royaume-Uni.
Que faire si un responsable du traitement s'oppose à la notification ?
Suivez le parcours d'opposition défini dans votre DPA — le modèle inclut un texte de réponse type. Le schéma standard veut que le sous-traitant déploie des efforts raisonnables pour tenir compte de l'opposition, par exemple en n'acheminant pas les données de ce responsable du traitement vers le nouveau sous-traitant ultérieur, et, si aucune solution de contournement n'est possible, le responsable du traitement peut résilier les services concernés sans pénalité.