# Gestion des sous-traitants ulterieurs sous le RGPD

Source: https://contracko.com/fr/blog/gestion-des-sous-traitants-sous-le-rgpd

[Blog](https://contracko.com/fr/blog)

[Gestion des sous-traitants ulterieurs sous le RGPD](https://contracko.com/fr/blog/gestion-des-sous-traitants-sous-le-rgpd)

# Gestion des sous-traitants ulterieurs sous le RGPD

Budi Voogt 22 mai 2026

Copier pour LLM

Vous avez evalue votre prestataire, signe le DPA, et vous etes passe au feu suivant. J'ai fait exactement cela plus de fois que je n'aimerais l'admettre. L'ennui, c'est que votre prestataire s'appuie sur ses propres prestataires (hebergement, envoi d'e-mails, analytique, outils de support), et au titre du RGPD, ces sous-traitants ulterieurs font aussi partie de votre tableau de conformite. D'apres mon experience, la gestion des sous-traitants ulterieurs est l'endroit ou beaucoup de programmes de confidentialite par ailleurs bien tenus s'effondrent en silence.

> Il s'agit de conseils pratiques, pas d'un avis juridique.

A la fin de ce guide, vous saurez :

- Ce qu'est un sous-traitant ulterieur et pourquoi l'article 28 du RGPD en fait votre affaire.
- Comment fonctionne le modele notification-objection, et ou se cache l'echeance.
- Un ensemble d'habitudes reproductibles pour tenir a jour la liste de sous-traitants de chaque prestataire.
- Comment construire une piste d'audit qui tient quand un client ou un regulateur le demande.

## Ce qu'est reellement un sous-traitant ulterieur

Un sous-traitant ulterieur est un tiers que votre sous-traitant engage pour l'aider a traiter des donnees personnelles pour votre compte. Si votre fournisseur de CRM heberge chez un fournisseur cloud et utilise un service d'envoi d'e-mails distinct, ces deux entites sont des sous-traitants ulterieurs de vos donnees. Vous n'avez peut-etre jamais rien signe avec eux, vous n'avez peut-etre jamais entendu leurs noms, et pourtant les donnees personnelles de vos clients transitent par leurs systemes.

L'article 28 du RGPD pose les regles. Votre sous-traitant doit obtenir votre autorisation avant d'engager un sous-traitant ulterieur, repercuter des clauses de protection des donnees equivalentes a cette partie, et rester responsable envers vous de ce qu'elle fait. Ce dernier point merite qu'on s'y attarde. La chaine de responsabilite remonte jusqu'a vous en tant que responsable de traitement, donc un maillon faible a trois prestataires de distance reste votre probleme quand quelque chose tourne mal. C'est la meme logique qui sous-tend une grande partie de la [gestion des contrats fournisseurs](https://contracko.com/usecases/vendor-contract-management) : la relation ne s'arrete pas a la signature, elle s'etend a tous ceux sur qui votre contrepartie s'appuie.

## Le modele notification-objection

La plupart des DPA gerent l'autorisation par ce qu'on appelle une autorisation generale. Plutot que de demander votre permission pour chaque nouveau sous-traitant individuellement (ce qui serait ingerable a grande echelle), le sous-traitant tient une liste de sous-traitants ulterieurs et s'engage a vous notifier les ajouts ou les remplacements. Vous disposez alors d'un delai, souvent de 14 a 30 jours, pour vous opposer avant que le changement ne prenne effet.

Ce delai, c'est tout l'enjeu. Si vous ne le suivez pas, vous ne pouvez pas l'utiliser, et vous etes repute avoir accepte une nouvelle partie qui traite vos donnees. L'obligation est reelle, mais le mecanisme est facile a manquer, car la notification arrive rarement avec ceremonie. Vous reconnaitrez ceci : elle atterrit sous la forme d'un e-mail de routine, d'une ligne en pied de page dans une mise a jour produit, ou d'une entree de changelog sur une page d'etat que personne dans votre equipe ne surveille. Le temps que quelqu'un s'en apercoive, le delai est clos et le nouveau sous-traitant est deja en service.

Que pouvez-vous reellement faire pendant ce delai ? En pratique, quelques choses :

- Accepter le changement, et consigner que vous l'avez examine et accepte.
- Vous opposer pour des motifs raisonnables, ce qui ouvre generalement une discussion avec le prestataire sur les alternatives.
- Faire remonter en interne si le nouveau sous-traitant se trouve dans une juridiction ou traite une categorie de donnees qui declenche vos propres seuils de revue.

L'idee n'est pas que vous vous opposerez souvent. La plupart du temps, vous ne le ferez pas. L'idee est que vous conservez le droit de vous opposer, et que vous pouvez montrer que vous avez examine chaque changement plutot que de le traverser en somnambule.

## Tenir la liste a jour

La gestion concrete des sous-traitants ulterieurs se resume a trois habitudes.

D'abord, sachez qui figure aujourd'hui sur la liste pour chaque prestataire, et rangez-la quelque part ou vous pouvez reellement la retrouver. Une copie que vous avez enregistree lors des achats il y a deux ans n'est pas la liste actuelle. J'ai constate qu'il est utile de traiter le repertoire de sous-traitants de chaque prestataire comme un dossier vivant rattache au DPA lui-meme, et non comme une piece jointe unique qui se perime dans un disque partage. Un [referentiel de contrats](https://contracko.com/features/contract-repository) central est l'endroit naturel pour cela, parce que la liste vit a cote de l'accord qui la regit.

Ensuite, captez les avis de changement, et traitez chacun comme une decision assortie d'une echeance plutot que comme une simple information. C'est l'habitude qui se brise le plus souvent, parce que les avis sont concus pour etre sans friction pour le prestataire, pas tres visibles pour vous.

Enfin, tenez une piste d'audit. Quelle etait la liste, quand a-t-elle change, avez-vous ete notifie a temps, et vous etes-vous oppose ? Quand un questionnaire de securite client ou une demande d'un regulateur arrive, cette piste est votre preuve. Sans elle, vous reconstituez l'histoire de memoire et par archeologie de boite mail, et je vous promets que c'est un mauvais apres-midi.

Voici une facon simple de penser a ce que produit chaque habitude :

| Habitude | Ce que vous conservez | Pourquoi cela compte |
| --- | --- | --- |
| Connaitre la liste actuelle | Un repertoire date par prestataire | Repond a "qui touche nos donnees en ce moment ?" |
| Capter les avis | Une decision consignee par changement | Preserve votre droit de vous opposer |
| Tenir la piste | Une chronologie des changements et des reponses | Preuve pour les clients et les regulateurs |

Le plus difficile des trois est la piste d'audit, car les changements de sous-traitants arrivent au compte-gouttes sur des mois et chez de nombreux prestataires. Un avis en mars, deux en juillet, un remplacement discret en octobre. Garder chaque DPA, sa liste de sous-traitants actuelle et le delai d'avis de changement en un seul endroit, rattache au prestataire, est ce qui rend la chose maitrisable plutot qu'ecrasante. C'est une grande partie de ce que la [gestion des accords de traitement des donnees](https://contracko.com/solutions/data-processing-agreement-management) est concue pour faire, et elle s'inscrit dans notre [logiciel de conformite RGPD](https://contracko.com/solutions/gdpr-compliance-software) plus large pour les equipes qui ont besoin de la vue d'ensemble plutot que d'un seul document.

## La ou l'extraction fait ses preuves

Il y a une etape que j'ai survolee ci-dessus et qui merite son propre moment. Quand vous signez un nouveau DPA, les clauses relatives aux sous-traitants (le delai d'avis, la fenetre d'objection, l'endroit ou se trouve la liste, la facon dont les changements sont communiques) sont enfouies dans des clauses denses que vous lisez une fois et ne rouvrez jamais. Extraire ces details a la main, pour chaque accord, est le genre de travail qui passe au second plan des qu'apparait quelque chose de plus urgent.

C'est la que [l'analyse de contrats par IA](https://contracko.com/features/ai-contract-analysis) change l'equation economique. Au lieu qu'une personne lise le paragraphe 9.3 de chaque DPA pour trouver la fenetre d'objection, [l'extraction de donnees contractuelles](https://contracko.com/features/contract-data-extraction) le lit pour vous et fait remonter les dates et les obligations sous forme de champs structures que vous pouvez surveiller. Pour les equipes conformite en particulier, ce passage de la lecture manuelle a des donnees extraites et suivables est ce qui permet a un programme de sous-traitants de survivre au choc d'un trimestre charge. Si c'est votre domaine, le [cas d'usage responsable conformite](https://contracko.com/usecases/compliance-officer) explique comment cela s'integre a un flux de travail quotidien.

Un mot rapide sur la confiance, car elle revient chaque fois que les donnees et l'IA apparaissent dans la meme phrase. Contracko est heberge dans l'UE, vos contrats sont chiffres, l'acces est fonde sur les roles, et nous n'entrainons pas d'IA sur vos contrats. L'outil qui lit vos DPA ne les alimente pas discretement dans un modele quelque part. Vous pouvez en lire davantage sur notre [page securite](https://contracko.com/features/security).

## Ne manquez pas la fenetre d'objection

L'element le plus facile a manquer dans tout cela est l'echeance d'objection. Tout le reste (les listes, la piste, l'analyse) soutient le seul moment ou l'inaction vous coute un droit que vous ne pouvez pas recuperer. Vous ne pouvez pas vous opposer a un changement que vous n'avez pas remarque, et le calendrier ne vous le rappellera pas de lui-meme.

Un [outil de rappel de DPA](https://contracko.com/contract-reminder-tools/data-processing-agreement-reminder) extrait d'un accord les fenetres de changement de sous-traitants (aux cotes des dates de revue et des droits d'audit) et les transforme en rappels, afin qu'un nouveau sous-traitant ne vous echappe jamais tant que la fenetre pour vous opposer est encore ouverte. C'est la difference entre gerer vos sous-traitants et les decouvrir apres coup. Si vous voulez voir comment cette reflexion s'etend au reste du risque contractuel, notre article sur les [risques courants de la gestion des contrats](https://contracko.com/blog/risks-in-contract-management) couvre le schema plus large.

## Prochaines etapes

Si vos listes de sous-traitants vivent actuellement dans un melange de boites mail, de captures d'ecran et de bonnes intentions, commencez petit. Choisissez vos trois prestataires les plus a risque, trouvez leurs listes de sous-traitants actuelles, et notez la fenetre d'objection pour chacun. Cela seul vous dira si vous avez capte les avis ou si vous avez accepte en silence des changements que vous n'avez jamais vus.

Quand vous serez pret a rendre cela systematique plutot qu'heroique, c'est pour cela que nous avons construit Contracko. J'aimerais sincerement savoir comment vous gerez les avis de sous-traitants aujourd'hui, car aucun programme ne s'y prend tout a fait de la meme maniere. N'hesitez pas a me contacter si vous avez des questions, je lis et reponds a chaque message moi-meme.

## Lancez-vous avec Contracko

Débarrassez-vous des tracas de la gestion des contrats et des abonnements. Contracko vous permet de rester organisé, ponctuel et maître de la situation. Commencez à simplifier dès aujourd'hui.

[Démarrer l'essai gratuit de 7 jours](https://app.contracko.com/register)

Réserver une démo