Orbiq LogoOrbiq
Gestion des sous-traitants ultérieurs en vertu de l'article 28 du RGPD : Ce que les responsables du traitement attendent réellement
Published 23 févr. 2026
By Anna Bley

Gestion des sous-traitants ultérieurs en vertu de l'article 28 du RGPD : Ce que les responsables du traitement attendent réellement

Qu'attendent réellement les responsables du traitement, les DPO et les équipes achats de votre gestion des sous-traitants ultérieurs ? Un guide pratique au-delà de la conformité minimale à l'article 28 du RGPD — couvrant les listes de sous-traitants, les notifications de changement, la transparence des flux de données et la diligence raisonnable continue.

RGPD
Protection des données
Sous-traitants ultérieurs
Conformité

Gestion des sous-traitants ultérieurs en vertu de l'article 28 du RGPD : Ce que les responsables du traitement attendent réellement

La plupart des entreprises SaaS ont une liste de sous-traitants ultérieurs quelque part. Elle est dans un PDF, jointe au DPA, dernière mise à jour il y a six mois. Techniquement, ce n'est pas faux. Opérationnellement, ce n'est pas suffisant. Cet article explique ce que les responsables du traitement, les DPO et les équipes achats attendent réellement lorsqu'ils évaluent comment vous gérez vos sous-traitants ultérieurs — et pourquoi l'écart entre « conforme sur le papier » et « digne de confiance en pratique » compte plus que vous ne le pensez.

En résumé

L'article 28 du RGPD exige des sous-traitants qu'ils obtiennent l'autorisation du responsable du traitement avant d'engager des sous-traitants ultérieurs, qu'ils imposent des obligations équivalentes de protection des données et qu'ils restent responsables de la conformité des sous-traitants ultérieurs. La plupart des entreprises gèrent cela via une liste statique dans leur DPA. Mais les responsables du traitement attendent de plus en plus : des notifications de changement proactives, des flux de données transparents et une visibilité continue sur votre paysage de sous-traitants ultérieurs. Un Trust Center rend cela opérationnel — non pas comme une case à cocher de conformité, mais comme un système vivant que vos clients peuvent réellement utiliser.

Ce que l'article 28 exige réellement

Commençons par le texte. L'article 28(2) et 28(4) établissent deux modèles d'autorisation des sous-traitants ultérieurs :

Autorisation préalable spécifique — le responsable du traitement approuve individuellement chaque sous-traitant ultérieur avant son engagement. Cela donne au responsable du traitement un contrôle maximal, mais c'est opérationnellement lourd pour les deux parties.

Autorisation écrite générale — le responsable du traitement donne une approbation globale pour que le sous-traitant engage des sous-traitants ultérieurs, sous réserve de deux conditions : le sous-traitant doit informer le responsable du traitement de tout ajout ou remplacement prévu, et le responsable du traitement doit avoir la possibilité de s'y opposer.

La plupart des entreprises SaaS B2B opèrent sous autorisation générale. C'est le choix pratique. Mais « autorisation générale » ne signifie pas « faites ce que vous voulez » — cela signifie « nous vous faisons confiance pour gérer cela de manière transparente, et nous conservons le droit de nous opposer. »

L'article 28(4) ajoute que les sous-traitants ultérieurs doivent être liés par les mêmes obligations de protection des données que le sous-traitant. Si votre sous-traitant ultérieur faillit, vous en êtes responsable — pas lui.

Voilà le cadre juridique. Ces obligations du sous-traitant en vertu du RGPD sont bien documentées. Voyons maintenant ce qui se passe en pratique.

Ce que les responsables du traitement attendent réellement

Si vous vendez à des clients entreprises européens, votre gestion des sous-traitants ultérieurs est évaluée lors de l'approvisionnement, surveillée pendant la relation et examinée lors des audits. Voici ce que les DPO et les équipes achats recherchent — au-delà du DPA.

1. Une liste de sous-traitants ultérieurs à jour et publique

Cela semble basique, et ça l'est. Mais « à jour et accessible » signifie quelque chose de différent pour un DPO que pour la plupart des entreprises SaaS.

Ce que la plupart des entreprises font : Un tableau dans le DPA ou un PDF sur une page juridique, mis à jour quand quelqu'un pense à le mettre à jour. Parfois la liste est derrière une connexion ou une demande de NDA.

Ce que les responsables du traitement attendent : Une liste accessible publiquement, clairement structurée, montrant le nom de chaque sous-traitant ultérieur, sa finalité, les catégories de données traitées, le lieu d'hébergement et le pays d'incorporation. Mise à jour dans les jours suivant un changement — pas des mois.

La différence compte parce que les DPO utilisent votre liste de sous-traitants ultérieurs pour maintenir leurs propres registres des activités de traitement (article 30). Si votre liste est obsolète, leurs registres sont erronés. Si votre liste est enfouie dans un PDF, ils doivent l'extraire manuellement. Si elle est derrière un NDA, ils doivent expliquer à leur équipe juridique pourquoi ils doivent signer un NDA pour voir qui traite leurs données.

Rendez-la facile. Rendez-la publique. Rendez-la à jour.

2. Notifications proactives de changement de sous-traitants ultérieurs

L'article 28(2) exige qu'en cas d'autorisation générale, les responsables du traitement soient « informés de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité de s'opposer. »

Ce que la plupart des entreprises font : Mettre à jour la liste des sous-traitants ultérieurs discrètement. Peut-être envoyer un courriel si le changement est significatif. Souvent, le responsable du traitement découvre le changement lors de sa propre revue annuelle des fournisseurs.

Ce que les responsables du traitement attendent : Une notification écrite avant que le changement ne prenne effet, avec suffisamment de détails pour évaluer l'impact : qui est le nouveau sous-traitant ultérieur, quelles données va-t-il traiter, où est-il situé, quelles mesures de sécurité sont en place et quel est le calendrier.

Le délai de préavis compte. La plupart des DPA stipulent 30 jours, mais certains clients entreprises négocient 60 ou 90 jours. Quel que soit ce que vous avez convenu, la question opérationnelle est : disposez-vous d'un système qui envoie ces notifications de manière fiable, ou cela dépend-il de la mémoire de quelqu'un ?

3. Des droits d'opposition significatifs

Le droit d'opposition est dans le règlement, mais la façon dont il fonctionne en pratique varie énormément.

Ce que la plupart des entreprises font : Le DPA inclut une clause d'opposition, mais le mécanisme pratique n'est pas clair. Le responsable du traitement peut-il réellement bloquer un changement de sous-traitant ultérieur ? Que se passe-t-il s'il s'oppose — vous revenez en arrière ? Vous offrez des droits de résiliation ?

Ce que les responsables du traitement attendent : Un processus clair. Si un responsable du traitement s'oppose à un nouveau sous-traitant ultérieur, quelles sont les options ? Typiquement, cela signifie : le sous-traitant fera des efforts raisonnables pour trouver une alternative, et si aucune alternative n'est faisable, le responsable du traitement peut résilier les services concernés sans pénalité.

L'important est d'avoir cela défini avant que quiconque n'ait besoin de l'utiliser. Les DPO entreprises vérifieront lors de l'approvisionnement.

4. Transparence des flux de données

La gestion des sous-traitants ultérieurs ne concerne pas seulement qui — mais aussi quelles données vont où.

Ce que la plupart des entreprises font : La liste des sous-traitants ultérieurs nomme les entreprises et décrit peut-être leur fonction (« hébergement cloud », « envoi d'e-mails », « analytique »).

Ce que les responsables du traitement attendent : Suffisamment de détails pour comprendre le flux de données. Quelles catégories de données personnelles chaque sous-traitant ultérieur accède-t-il ? Le stockage est-il permanent ou transitoire ? Est-ce dans l'UE ou transféré à l'international ? Si transféré, par quel mécanisme (décision d'adéquation, CCT, règles d'entreprise contraignantes) ?

C'est là que la conversation sur le CLOUD Act devient pratique, pas théorique. Si votre sous-traitant ultérieur est une entreprise américaine, les responsables du traitement veulent savoir : y a-t-il une évaluation de l'impact du transfert ? Quelles mesures supplémentaires sont en place ? Simplement lister « AWS » ne suffit pas si le responsable du traitement doit documenter sa propre conformité dans le cadre de Schrems II.

5. Preuve de diligence raisonnable sur les sous-traitants ultérieurs

L'article 28(1) stipule que les responsables du traitement ne doivent faire appel qu'à des sous-traitants qui « présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. » Par extension, vos sous-traitants ultérieurs doivent répondre à la même norme.

Ce que la plupart des entreprises font : Évaluer les sous-traitants ultérieurs lors de l'intégration. Peut-être vérifier le statut SOC 2 ou ISO 27001 une fois.

Ce que les responsables du traitement attendent : La preuve que vous évaluez continuellement les sous-traitants ultérieurs — pas seulement à l'intégration mais tout au long du cycle de vie. Leurs certifications ont-elles expiré ? Ont-ils eu des incidents de sécurité ? Leur traitement des données a-t-il changé ?

C'est là que repose la charge pratique : maintenir une visibilité continue sur votre paysage de sous-traitants ultérieurs est un travail. La plupart des entreprises ne le font pas systématiquement. Celles qui le font se démarquent dans les évaluations d'approvisionnement.

Où la plupart des entreprises sont en retard

Le schéma est constant : le DPA est correct, la liste des sous-traitants ultérieurs existe, mais l'infrastructure opérationnelle manque.

Les mises à jour sont réactives, pas proactives. Quelqu'un ajoute un nouveau sous-traitant ultérieur au produit, et six semaines plus tard l'équipe juridique met à jour la liste. Entre-temps, les responsables du traitement ont des registres incorrects.

Les notifications sont manuelles. Il n'y a pas de système — c'est un courriel du juridique, envoyé quand quelqu'un y pense. Si vous avez 200 clients entreprises, ce sont 200 notifications individuelles qui doivent partir avec un délai de préavis approprié.

La documentation des flux de données est superficielle. « Le sous-traitant ultérieur X fournit de l'analytique » ne dit pas à un DPO ce qu'il a besoin de savoir. Quelles données ? Quelle juridiction ? Quel mécanisme de transfert ?

La diligence raisonnable est ponctuelle. Vous avez vérifié le rapport SOC 2 du sous-traitant ultérieur quand vous avez signé le contrat. C'était il y a deux ans. Leur certification peut avoir expiré, leur hébergement peut avoir changé, ou ils peuvent avoir eu une violation dont vous ne savez rien.

Les processus d'opposition sont théoriques. Le DPA dit que les responsables du traitement peuvent s'opposer, mais il n'y a pas de flux de travail opérationnel pour traiter les oppositions. Si un responsable du traitement s'oppose au jour 25 d'un délai de préavis de 30 jours, que se passe-t-il ?

Aucun de ces points n'est une violation légale en soi. Mais ce sont des écarts opérationnels que les responsables du traitement entreprises identifient de plus en plus — et qui influencent les décisions d'approvisionnement.

Comment un Trust Center rend cela opérationnel

C'est là que le concept se connecte : un Trust Center transforme la gestion des sous-traitants ultérieurs d'un exercice de documentation juridique en un système vivant et opérationnel. Pour les équipes juridiques gérant les DPA, NDA et la diligence raisonnable sur les sous-traitants ultérieurs, ce changement est particulièrement significatif.

Page publique des sous-traitants ultérieurs sur votre Trust Center

Vos sous-traitants ultérieurs sont visibles par défaut — nom, finalité, catégories de données, localisation et base juridique du transfert. Pas de téléchargement PDF, pas de NDA requis pour les informations de base. Les responsables du traitement peuvent la consulter à tout moment, et leurs registres de traitement restent à jour.

Notifications de changement intégrées

Lorsque vous mettez à jour un sous-traitant ultérieur, le Trust Center notifie automatiquement les clients concernés. Pas de liste de diffusion manuelle, pas de notifications manquées. Le délai de préavis commence à partir de la notification, créant un calendrier clair et auditable.

Visibilité des flux de données

Chaque entrée de sous-traitant ultérieur peut inclure les catégories de données traitées, la région d'hébergement et les mécanismes de transfert — structurés de manière que les DPO puissent utiliser directement dans leurs registres article 30. Pas un paragraphe de texte juridique ; un tableau propre et analysable.

Preuve continue de diligence raisonnable

Si votre Trust Center inclut des capacités d'assurance fournisseur, vous pouvez montrer la posture de sécurité actuelle de vos sous-traitants ultérieurs — pas seulement leur statut à l'intégration, mais en continu. Certifications, notations de sécurité, date de la dernière évaluation. C'est la preuve que les responsables du traitement veulent mais obtiennent rarement.

Documentation prête pour l'audit

Quand un auditeur ou un DPA demande votre gestion des sous-traitants ultérieurs, la réponse n'est pas « laissez-moi trouver le tableur ». C'est un lien vers votre Trust Center, où l'état actuel est toujours visible, versionné et horodaté.

La checklist pratique

Si vous évaluez comment votre gestion des sous-traitants ultérieurs résiste à ce que les responsables du traitement entreprises attendent réellement, voici la liste :

Liste des sous-traitants ultérieurs :

  • Accessible publiquement (pas de NDA requis pour les informations de base)
  • Inclut le nom, la finalité, les catégories de données, le lieu d'hébergement, le pays d'incorporation
  • Mise à jour dans les jours suivant les changements, pas des mois

Notifications de changement :

  • Proactives, écrites, avant que les changements ne prennent effet
  • Incluent suffisamment de détails pour que le responsable du traitement évalue l'impact
  • Envoyées avec le délai de préavis contractuellement convenu (typiquement 30 jours)
  • Auditables : vous pouvez prouver quand la notification a été envoyée

Processus d'opposition :

  • Clairement défini dans le DPA
  • Soutenu opérationnellement : vous savez ce qui se passe si un responsable du traitement s'oppose
  • Inclut des droits de résiliation si aucun sous-traitant ultérieur alternatif n'est disponible

Documentation des flux de données :

  • Catégories de données par sous-traitant ultérieur
  • Lieu d'hébergement et juridiction
  • Mécanisme de transfert pour les transferts internationaux
  • Évaluation de l'impact du transfert le cas échéant

Diligence raisonnable continue :

  • Certifications des sous-traitants ultérieurs suivies et à jour
  • Posture de sécurité surveillée, pas seulement évaluée à l'intégration
  • Processus de gestion des incidents de sécurité des sous-traitants ultérieurs

Questions fréquemment posées

Dois-je lister tous les sous-traitants ultérieurs publiquement ?

Non. L'article 28 exige d'informer les responsables du traitement, pas le public. Mais rendre la liste accessible publiquement est de plus en plus attendu par les acheteurs entreprises — cela réduit les frictions dans l'approvisionnement et aide les responsables du traitement à maintenir leurs propres registres de conformité. Vous pouvez restreindre les détails sensibles (comme les mesures de sécurité spécifiques) tout en gardant la liste de base publique.

Quel est le bon délai de préavis pour les changements de sous-traitants ultérieurs ?

L'article 28 ne spécifie pas de minimum. La plupart des DPA fixent 30 jours. Les clients entreprises négocient parfois 60 ou 90 jours. Quel que soit ce que vous acceptez, cela devrait être opérationnellement applicable — ce qui signifie que vous avez un système, pas seulement une clause.

Que se passe-t-il si un responsable du traitement s'oppose à un nouveau sous-traitant ultérieur ?

Cela dépend de votre DPA. Approches typiques : le sous-traitant fait des efforts raisonnables pour trouver une alternative, et si aucune n'est faisable, le responsable du traitement peut résilier les services concernés. L'important est de définir cela avant que cela ne se produise.

La liste des sous-traitants ultérieurs doit-elle inclure les catégories de données ?

L'article 28 n'exige pas explicitement les catégories de données dans la liste des sous-traitants ultérieurs, mais l'article 30 exige que les responsables du traitement documentent les catégories dans leurs registres de traitement. Si votre liste inclut les catégories, vous facilitez leur conformité — ce qui rend votre évaluation d'approvisionnement plus fluide.

Quel est le lien avec NIS2 ?

L'article 21(2)(d) de NIS2 exige des mesures de sécurité de la chaîne d'approvisionnement, y compris « les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs. » La transparence sur les sous-traitants ultérieurs en vertu du RGPD et la sécurité de la chaîne d'approvisionnement en vertu de NIS2 sont des exigences convergentes — toutes deux demandent une visibilité continue sur vos dépendances tierces. Un Trust Center qui gère les sous-traitants ultérieurs traite également une part significative des obligations NIS2 en matière de chaîne d'approvisionnement.

Points clés

  1. L'article 28 fixe le plancher, pas le plafond — les responsables du traitement entreprises attendent significativement plus que la conformité minimale
  2. Les listes statiques de sous-traitants ultérieurs créent des écarts opérationnels — les mises à jour, les notifications et la diligence raisonnable doivent être systématiques, pas ad hoc
  3. Les notifications proactives de changement sont un minimum — les responsables du traitement ne devraient pas découvrir les changements de sous-traitants ultérieurs lors de leur revue annuelle
  4. La transparence des flux de données compte plus qu'un nom d'entreprise — les DPO ont besoin de catégories, de juridictions et de mécanismes de transfert
  5. Un Trust Center transforme la gestion des sous-traitants ultérieurs en un système vivant — public, à jour, auditable et utile pour la conformité de vos clients

Découvrez comment Orbiq gère cela

Le Trust Center d'Orbiq inclut une page structurée de sous-traitants ultérieurs — publique par défaut, avec des notifications de changement, des détails sur les flux de données et une documentation prête pour l'audit. Pas de PDF, pas de NDA pour les informations de base.

→ Voir notre Trust Center (consultez notre propre liste de sous-traitants ultérieurs en action)

→ Voir les tarifs

→ Commencer gratuitement

Sources

  1. Règlement (UE) 2016/679 (RGPD) — Article 28 (Sous-traitant) — Texte officiel de l'article 28, incluant les exigences d'autorisation des sous-traitants ultérieurs.
  2. CEPD Lignes directrices 07/2020 sur les concepts de responsable du traitement et de sous-traitant dans le RGPD — Version 2.1, juillet 2021. Guide détaillé sur les relations responsable du traitement-sous-traitant, y compris l'engagement des sous-traitants ultérieurs.
  3. RGPD Article 30 — Registres des activités de traitement — Exigences pour les responsables du traitement et les sous-traitants de maintenir des registres de traitement, y compris les détails des sous-traitants ultérieurs.
  4. CJUE — Schrems II (Affaire C-311/18) — Arrêt sur les transferts internationaux de données, pertinent pour les évaluations de transfert des sous-traitants ultérieurs.
  5. CEPD Recommandations 01/2020 sur les mesures supplémentaires — Orientations sur les évaluations de l'impact des transferts et les mesures supplémentaires pour les transferts internationaux de sous-traitants ultérieurs.

Lectures connexes

Gestion des sous-traitants ultérieurs en vertu de...