Contrats RGPD : 5 erreurs courantes à éviter
Allons droit au but : si un contrat RGPD est flou, incomplet ou non suivi, vous prenez un risque juridique direct. Et ce risque peut engendrer une forte altération de votre image de marque si vous deviez endosser les responsabilité de votre fournisseur ou prestataire de service.
En pratique, retenons 5 erreurs qui reviennent sans cesse :
- pas de contrat de sous-traitance conforme,
- clauses obligatoires absentes ou trop vagues,
- transferts hors UE mal encadrés,
- aucun audit ni contrôle du sous-traitant prévu,
- rôles flous en cas d’incident ou de demande de droits.
Le point simple à garder en tête : les clauses liées à la protection des données personnelles dans les contrats RGPD ne servent pas juste à faire joli. Elles servent à fixer qui fait quoi, dans quel délai, avec quelles mesures, et comment prouver tout cela en cas de contrôle CNIL.
Si nous devions résumer l’article en une phrase : des bons contrats RGPD doivent être écrits, précis, vérifiables et appliqués dans les faits quelle que soit la relation entre les parties.
5 Erreurs RGPD : Gouvernance Faible vs Solide
Vue d’ensemble des erreurs courantes
| Erreur | Ce qui pose problème | Ce qu’il faut mettre en place |
|---|---|---|
| Absence de contrat | Aucun cadre écrit avant traitement | Un contrat de sous-traitance conforme à l’article 28 |
| Clauses incomplètes | Sécurité, délais ou instructions trop vagues | Des clauses précises sur les données, la durée, la sécurité et les droits |
| Transferts hors UE | Pays, destinataires ou base de transfert non listés | CCT 2021, cartographie des flux, mesures en plus si besoin |
| Pas de contrôle | Droit d’audit prévu mais jamais utilisé | Revues, audits, preuves documentaires, contrôles sur site si besoin |
| Rôles flous | Retard sur incidents et demandes RGPD | Délais en heures, contacts dédiés, assistance RGPD et procédure écrite |
Autrement dit, si vous voulez réduire le risque, commencez par ces 3 actions :
- relire chaque contrat à la lumière de l’article 28 ;
- vérifier les transferts et les sous-traitants ultérieurs ;
- fixer des délais clairs pour alerter le responsable de traitement en cas d’incident.
La suite de l’article détaille ces erreurs et montre comment les corriger sans rester dans le flou.
sbb-itb-9879cb5
Ce que les organisations françaises doivent inclure dans leur contrats RGPD :
Le RGPD distingue deux rôles principaux : le responsable de traitement et le sous-traitant.
Le responsable de traitement décide des finalités et des moyens essentiels du traitement. En clair, c’est lui qui tranche sur les points clés : quelles données sont collectées, pour quoi faire, pendant combien de temps, et quelles personnes sont visées. Le sous-traitant, lui, agit sur instruction documentée du responsable de traitement. Il exécute, mais ne décide ni de la finalité ni des moyens essentiels.
Le point à retenir est simple : la qualification dépend des faits, pas de l’étiquette posée dans les contrats RGPD. Ce qui compte, c’est qui décide et qui exécute.
« La qualification ne dépend pas d’un choix contractuel mais des faits : qui décide de quoi ? qui exécute quoi ? » – CNIL
Si un sous-traitant commence à fixer lui-même les finalités ou les moyens essentiels du traitement, il peut être requalifié en responsable de traitement. Et là, le changement n’a rien d’anodin : il assume alors directement les obligations liées à ce rôle.
Autrement dit, le sous-traitant n’a pas de marge de manœuvre sur les finalités. C’est justement l’un des sujets que les contrats RGPD doivent encadrer noir sur blanc.
L’article 28 du RGPD impose un contrat écrit, y compris sous forme électronique, conclu avant tout traitement. Voici les clauses minimales à contrôler dans tout contrat de sous-traitance.
| Élément obligatoire (Art. 28.3) | Ce que cela signifie concrètement |
|---|---|
| Objet, durée et finalité | Définir de façon précise ce que le sous-traitant fait et pour quelle raison |
| Types de données et catégories de personnes | Lister les données traitées et les personnes concernées |
| Instructions documentées | Le sous-traitant n’agit que sur ordre écrit du responsable de traitement |
| Confidentialité | Le personnel du sous-traitant est soumis à une obligation de confidentialité |
| Mesures de sécurité | Mettre en place des mesures techniques et organisationnelles adaptées |
| Sous-traitance | Préciser les conditions d’autorisation des sous-traitants ultérieurs |
| Assistance à l’exercice des droits | Aider à traiter les demandes d’accès, d’effacement ou de rectification |
| Notification des violations de données | Informer le responsable de traitement sans délai indu après en avoir connaissance |
| Restitution ou suppression des données | Retourner ou supprimer les données à la fin du contrat |
| Droit d’audit et d’inspection | Permettre au responsable de traitement de mener des audits ou des inspections |
Sans ces clauses, les erreurs suivantes deviennent inévitables.
1. Absence de contrats RGPD de sous-traitance conformes
C’est souvent l’erreur la plus simple à éviter. Et pourtant, c’est aussi l’une des plus fréquentes : travailler avec un prestataire sans contrat de sous-traitance conforme.
Confier des données à un sous-traitant sans ce cadre, c’est une non conformité majeure. Un simple contrat commercial ne suffit pas. Il ne dit pas clairement qui fait quoi, selon quelles instructions, avec quels contrôles, ni comment gérer un incident. Il ne détaille pas non plus le traitement, les mesures de sécurité ou la restitution des données.
Le problème est simple : sans contrat de sous-traitance conforme, le responsable de traitement perd la main sur la chaîne de sous-traitance, sur les exigences de sécurité et sur la confidentialité. Et surtout, il ne peut plus prouver sa conformité RGPD en cas de contrôle.
Le risque devient encore plus net en cas de violation de données. Si le contrat ne prévoit pas un délai court de notification, le sous-traitant peut alerter trop tard. Résultat : le responsable de traitement risque de rater le délai de 72 heures pour notifier la CNIL.
Même logique pour les demandes d’exercice des droits. Si les rôles ne sont pas posés noir sur blanc, respecter le délai d’un mois devient vite compliqué.
Et même quand un contrat est bien signé, tout se joue ensuite dans le détail de son contenu : c’est précisément l’erreur suivante.
2. Clauses obligatoires absentes ou incomplètes dans les contrats RGPD
Un contrat signé, à lui seul, ne prouve rien. Si les clauses ne permettent pas de montrer la conformité, le document reste fragile. Et même avec une signature, un contrat tient mal si ses clauses restent floues. Le risque, au fond, n’est pas l’absence du mot RGPD dans le texte. Le vrai problème, ce sont des clauses trop générales pour être appliquées sur le terrain.
Responsabilité opérationnelle
Les contrats RGPD doit permettre un vrai contrôle, pas une accompagnement RGPD concret. Sans clauses précises, le responsable de traitement perd la main sur l’exécution. Trois points comptent ici :
- Sécurité : les mesures de sécurité doivent être décrites de façon concrète, et pas juste mentionnées en passant. La CNIL rappelle qu’il faut préciser le niveau de sécurité exigé pour le traitement des données personnelles.
- Sous-traitants ultérieurs : le contrat doit dire si l’autorisation est générale ou soumise à accord préalable. Il doit aussi prévoir un délai précis d’information et d’opposition.
- Preuve documentaire : le contrat doit permettre d’exiger la remise de la PSSI (Politique de Sécurité du Système d’Information) du sous-traitant, ainsi que ses certifications pertinentes.
Sans ces précisions, on se retrouve vite avec un contrat qui sonne bien sur le papier, mais qui ne permet ni de vérifier, ni d’agir en cas de souci.
Délais pour les incidents et les droits des personnes dans les contrats RGPD
C’est souvent ici que ça bloque. Les formulations vagues ne suffisent pas. Chaque obligation doit être liée à un délai clair.
Le contrat doit imposer une notification rapide des incidents pour que le responsable de traitement puisse respecter ses propres délais. Même logique pour les demandes d’exercice des droits : le contrat doit organiser l’assistance du sous-traitant afin de tenir les délais légaux.
| Clause souvent incomplète | Problème fréquent | Correction recommandée |
|---|---|---|
| Mesures de sécurité | Formulation générique | Décrire concrètement les mesures exigées |
| Violation de données | Pas de délai précis ni de contact dédié | Fixer un délai maximal en heures et une adresse de notification dédiée |
| Sous-traitants ultérieurs | Pas de délai d’opposition | Fixer un délai précis d’information et d’opposition |
| Droits des personnes | Pas de procédure définie | Préciser si le sous-traitant transmet la demande ou la traite selon une procédure définie |
| Sort des données | Vague sur la destruction des copies | Exiger une attestation écrite de destruction |
Autre point qui passe souvent sous les radars : les transferts hors UE. Dans beaucoup de contrats RGPD, ils sont à peine traités, voire laissés de côté.
3. Les transferts internationaux de données, absents des contrats RGPD
Dès qu’un sous-traitant accède aux données depuis un pays tiers, le contrat doit le dire noir sur blanc. S’il ne mentionne pas les flux hors EEE, il laisse un angle mort de conformité.
Conformité des transferts hors EEE
Le point de risque, ce n’est pas le transfert en lui-même. C’est le fait qu’il ne soit pas encadré dans le contrat.
Le contrat doit donc recenser les flux hors EEE concernés et indiquer, pour chacun, la base de transfert retenue : clauses contractuelles types (CCT), règles d’entreprise contraignantes (BCR) ou décision d’adéquation. Pour les nouveaux transferts, il faut utiliser les CCT adoptées en 2021. Les clauses de l’article 28 règlent la sous-traitance, mais pas le transfert en tant que tel : il faut donc ajouter les CCT prévues au chapitre V.
Et si cette base ne suffit pas à assurer un niveau de protection équivalent, le contrat doit aussi prévoir des mesures techniques ou organisationnelles en plus. Par exemple : le chiffrement de bout en bout ou la pseudonymisation.
Responsabilité opérationnelle
Le contrat doit aussi prévoir une cartographie claire des pays et des entités concernés. Sans cette vue d’ensemble, le responsable de traitement ne peut pas suivre la chaîne de traitement. Pour identifier ces failles, il est recommandé de réaliser un audit RGPD complet. En pratique, le contrat doit répondre à trois points simples : où vont les données, qui les reçoit et sur quelle base.
Le sous-traitant doit aussi informer le responsable de traitement de tout changement prévu lié à l’ajout ou au remplacement d’un sous-traitant, avec un préavis suffisant et un droit d’opposition explicite.
| Élément à contractualiser | Lacune fréquente | Ce qu’il faut prévoir |
|---|---|---|
| Base de transfert | Aucune mention des CCT, des BCR ou d’une décision d’adéquation | Préciser la base retenue et, le cas échéant, la version des CCT utilisée |
| Cartographie des pays | Liste absente ou incomplète | Identifier tous les pays et entités destinataires |
| Mesures supplémentaires | Non prévues | Prévoir des mesures techniques ou organisationnelles appropriées |
| Changement de sous-traitant | Pas de préavis ni de droit d’opposition | Fixer un préavis et un droit d’opposition explicite |
4. Aucun contrôle réel ni audit du sous-traitant prévu dans les contrats RGPD
Après les clauses de transfert, le vrai point sensible, c’est le contrôle sur le terrain. Un contrat signé, c’est une base. Mais ça ne prouve pas, à lui seul, que le sous-traitant applique bien ce qui est prévu. Le responsable de traitement doit donc vérifier, en pratique, le respect des obligations via un audit et accompagnement RGPD.
Ce que l’article 28 impose aux contrats RGPD
Le contrat doit préciser des points concrets : la fréquence des audits, le préavis avant une inspection sur site et la répartition des coûts.
Contrôles concrets des sous-traitants
Dans les faits, le droit d’audit doit pouvoir servir. Il ne doit pas rester une simple ligne dans le contrat. Et ce contrôle ne se limite pas à lire des documents. Il peut aussi porter sur des audits de sécurité et, si besoin, sur des inspections sur site. Les certifications comme ISO 27001, ISO 27701 ou HDS, selon le contexte, apportent un appui utile, mais elles ne remplacent pas le contrôle direct.
Quand les traitements présentent un risque élevé, le niveau de contrôle doit monter d’un cran. Cela passe notamment par un examen plus poussé de la documentation et de la chaîne de sous-traitance.
| Outil de contrôle | Objectif | Application |
|---|---|---|
| Revue documentaire | Vérifier le respect des instructions | Registre des activités de traitement et instructions écrites |
| Audit de sécurité | Contrôler la solidité technique | Chiffrement, pseudonymisation, tests de résilience |
| Inspection sur site | Vérification physique | Inspection des centres de données et des accès |
| Certifications | Validation externe | ISO 27001, ISO 27701, HDS (données de santé) |
Sans audit concret, le responsable de traitement ne peut pas montrer qu’il garde la main sur son sous-traitant. Et sans contrôle documenté, les incidents ou les demandes des personnes concernées risquent d’être mal attribués.
5. Responsabilités floues en cas d’incident et d’exercice des droits
Après l’audit, le point qui compte le plus reste l’escalade en cas d’incident ou de demande liée aux droits des personnes. Si les rôles ne sont pas posés noir sur blanc, tout se brouille : qui donne l’alerte, qui intervient, qui répond ? Et dans ce genre de moment, l’improvisation coûte cher.
Répartition des responsabilités en cas d’incident et de demande de droits
Ici, le sujet n’est pas la théorie. C’est l’exécution : qui alerte, qui agit, qui répond ?
| Situation | Rôle du sous-traitant (ST) | Rôle du responsable de traitement (RT) |
|---|---|---|
| Violation de données | Notifier le RT dans les 24 heures suivant la découverte | Notifier la CNIL, puis les personnes concernées si le risque est élevé |
| Demandes des personnes concernées | Réaliser les actions de traitement, comme l’export ou la suppression | Recevoir la demande, vérifier l’identité et envoyer la réponse finale |
| Délai de réponse | Assister le RT pour respecter l’échéance | Répondre à la personne concernée sous 30 jours |
Le délai de 24 heures donne au responsable de traitement un peu d’air pour tenir le délai de 72 heures prévu pour la notification à la CNIL. En clair, il faut cadrer les choses à l’avance : des délais exprimés en heures, des contacts dédiés et un format de documentation déjà validé. Sinon, au premier incident, chacun perd du temps à chercher la bonne personne ou le bon modèle.
La CNIL recommande aussi de prévoir une interface dédiée pour suivre automatiquement les demandes et aider au respect du délai légal d’un mois. C’est souvent ce qui fait la différence entre un traitement fluide et une gestion à la main, dossier par dossier.
« Le sous-traitant est parfois le plus à même d’assurer la mise en œuvre technique des suites apportées aux demandes d’exercice des droits. » – CNIL
Ces rôles doivent ensuite être repris dans des procédures concrètes et dans des clauses standardisées. Pour sécuriser ces étapes, un accompagnement RGPD permet de structurer efficacement vos contrats RGPD.
Comment corriger les contrats RGPD et la supervision des sous-traitants
Ces corrections visent les erreurs qui coûtent le plus cher : pas de contrat, des clauses incomplètes, des transferts mal encadrés, peu ou pas de contrôle, et des responsabilités mal définies.
L’ordre compte. Corrigez d’abord le contrat, puis le suivi, puis les délais d’escalade.
Première étape : auditer chaque contrat existant. Passez chaque contrat au crible de l’article 28, puis corrigez les écarts.
| Catégorie | Élément Article 28 obligatoire | Vérification pratique |
|---|---|---|
| Instructions | Traitement uniquement sur instructions documentées | Vérifier l’existence d’une annexe « Description du service » ou « Instructions » |
| Sous-traitance | Autorisation écrite préalable (générale ou spécifique) | Confirmer qu’une liste de sous-traitants est fournie et mise à jour |
| Sécurité | Mesures techniques et organisationnelles appropriées | Demander la PSSI du sous-traitant ou ses certifications ISO/IEC 27001 / 27701 |
| Droits des personnes | Assistance pour répondre aux demandes | Définir un délai contractuel court, exprimé en heures |
| Fin de contrat | Suppression ou restitution des données | Exiger un certificat de destruction à la sortie |
| Audits | Fourniture d’informations et droit d’inspection | Vérifier que le droit d’audit n’est pas limité par des frais excessifs |
Une fois le contrat remis d’équerre, il faut cadrer le suivi dans le temps. Un bon texte signé, sans contrôle derrière, ne sert pas à grand-chose.
Deuxième étape : formaliser le suivi du sous-traitant. Avant la signature, évaluez sa capacité à exécuter le service et son niveau de sécurité. Au démarrage de la relation, inscrivez chaque sous-traitant dans votre registre des activités de traitement. Pendant l’exécution, planifiez des revues régulières fondées sur le risque. À la fin, imposez la restitution ou la destruction des données, avec certificat à l’appui.
Il faut aussi prévoir des délais d’alerte courts. En cas d’incident, chaque heure compte, et c’est souvent là que tout se joue.
Troisième étape : définir des délais d’escalade précis. Prévoyez une notification sous 24 heures du sous-traitant au responsable de traitement, afin de garder une marge pour respecter le délai légal de 72 heures.
Gouvernance des sous-traitants : faible vs solide
Après le correctif, voici une version plus nette des écarts à éviter dans la gouvernance des sous-traitants. Le tableau ci-dessous met face à face les manques de conformité et leurs effets concrets. Et le sujet n’a rien de théorique : la CNIL a déjà prononcé des sanctions lourdes, incitant de nombreuses entreprises à solliciter un consultant RGPD pour sécuriser leurs pratiques. Quand la gouvernance des sous-traitants tient mal, la facture peut tomber vite.
Chaque ligne ci-dessous montre la même idée sous un angle très concret : une erreur de contrat peut devenir un risque de conformité immédiat.
| Erreur | Gouvernance faible | Gouvernance solide | Risque concret |
|---|---|---|---|
| 1. Absence de contrat | Accord verbal, sans instructions écrites | DPA signé, rôles RT/ST documentés | Amende pouvant aller jusqu’à 20 000 000 € ou 4 % du chiffre d’affaires annuel mondial |
| 2. Clauses incomplètes | Contrat générique, sans données ni durées précises | Annexes précisant données, finalité et durée | Non-conformité lors d’un contrôle CNIL, avec risque de requalification des rôles |
| 3. Transferts hors EEE | Aucune cartographie des pays tiers | Cartographie des sous-traitants hors EEE ; CCT 2021 signées | Suspension des flux de données et insécurité juridique |
| 4. Absence de contrôle | Droit d’audit théorique, jamais exercé | Audit annuel et après changement majeur ; vérification des certifications ISO 27001 ou HDS – en France, HDS reste un point de vigilance pour les traitements de données de santé | Responsabilité engagée en cas de violation ; exemple : sanction MOBIUS de 1 000 000 € |
| 5. Responsabilités floues | Notification floue, aucune assistance formalisée | Notification au RT sous 24 h ; interface dédiée pour les droits ; réponse sous un mois | Retard dans la gestion des incidents et des demandes de droits |
Vu comme ça, le contraste saute aux yeux. D’un côté, une relation mal cadrée, fondée sur des habitudes ou des promesses. De l’autre, un cadre écrit, vérifiable et actionnable. C’est souvent là que tout se joue lors d’un contrôle : pas dans les intentions, mais dans ce qui est prévu noir sur blanc, puis appliqué en pratique.
Conclusion
Après ces cinq erreurs, le constat est simple : la conformité se joue d’abord dans le contrat, puis dans la façon dont vous le faites respecter. Ces erreurs exposent à des sanctions et laissent la responsabilité entre les mains du responsable de traitement. En clair, ce qui n’est ni écrit ni vérifié ne tient pas face à la CNIL.
La CNIL le rappelle : le responsable de traitement doit contrôler à la fois les clauses et leur mise en pratique. La taille du prestataire n’y change rien. Trois priorités ressortent : qualifier les rôles à partir des faits, intégrer l’ensemble des clauses prévues par l’article 28(3) et faire vivre un vrai droit d’audit.
Pour les organisations françaises, un contrat solide et un contrôle effectif peuvent limiter les risques financiers, juridiques et d’image. Si vos contrats RGPD ou votre supervision présentent encore des angles morts, un audit ciblé en numérique éthique permet de repérer vite les écarts à traiter en premier. Opt-on peut accompagner l’audit des contrats RGPD et la supervision RGPD.
FAQs
Comment savoir si un prestataire est vraiment sous-traitant ?
Un prestataire est sous-traitant lorsqu’il traite des données personnelles pour le compte du responsable de traitement, en suivant ses instructions et sous son autorité.
Le point clé, c’est celui-ci : s’il décide lui-même des finalités du traitement ou des moyens utilisés, alors il ne peut pas être considéré comme sous-traitant.
Cette relation doit être encadrée par un contrat. Ce document précise notamment l’objet, la durée, la nature et la finalité du traitement, ainsi que les garanties prévues en matière de sécurité et de conformité.
Que risque mon entreprise si le contrat RGPD est incomplet ?
Si le contrat RGPD est incomplet, votre entreprise s’expose à des sanctions administratives, à une mise en cause de sa responsabilité en cas de violation de données, et à de vraies difficultés pour prouver sa conformité au RGPD.
Et ce n’est pas un simple détail de paperasse. En cas de manquement, vous pouvez devoir assumer les erreurs de votre prestataire.
Par où commencer pour corriger vos contrats RGPD existants ?
Commencez par vérifier que chaque contrat respecte bien les obligations du RGPD, en particulier l’article 28.3. Le contrat doit indiquer clairement l’objet, la durée, la nature et la finalité du traitement, ainsi que les catégories de données et les personnes concernées.
Le plus simple consiste à partir des clauses proposées par la CNIL. Elles servent de base claire pour revoir les contrats RGPD déjà en place, corriger ce qui manque et cadrer les responsabilités de chacun.
Ensuite, passez en revue les sous-traitants. L’idée n’est pas juste de cocher une case. Il faut vérifier :
- leur niveau de conformité
- leurs mesures de sécurité
- le rôle exact de chaque acteur dans le traitement des données
Autrement dit, chaque contrat doit dire qui fait quoi, sur quelles données, pendant combien de temps, et dans quel but.
