Vous avez un email devant vous. Un prestataire vous ecrit : "Ne vous inquietez pas, nous sommes conformes RGPD". Il vous envoie un PDF de trois pages qui s'appelle "Engagement de confidentialite". Et vous signez.
Mauvaise nouvelle : ce PDF ne vaut rien. Bonne nouvelle : en 3 minutes, vous pouvez verifier pour de vrai si ce prestataire est serieux. Voici la check-list que 90 % des PME francaises ne font pas. Et pourtant, c'est la premiere chose que la CNIL vous demandera en cas de controle.
Pourquoi cette verification est strategique
L'article 28 du RGPD est clair : quand vous confiez des donnees personnelles a un prestataire (hebergeur, CRM, outil de paie, cabinet comptable, agence web), vous restez responsable de ce qui arrive a ces donnees. En cas de fuite ou de manquement chez lui, la CNIL se tourne d'abord vers vous.
Votre defense, c'est de prouver deux choses :
- Que vous avez choisi un sous-traitant serieux.
- Que vous avez un contrat solide qui encadre ses obligations.
Si vous ne pouvez pas prouver ces deux points, c'est votre entreprise qui paiera. Pas la sienne.
Source officielle : CHAPITRE IV -- Article 28 du RGPD sur le sous-traitant.
Etape 1 -- Verifier la declaration DPO dans le registre officiel CNIL (45 secondes)
C'est la verification que personne ne fait. Pourtant, c'est la plus revelatrice.
Quand une entreprise designe un Delegue a la Protection des Donnees, elle doit obligatoirement le declarer a la CNIL via le service en ligne officiel. La CNIL tient un registre public de ces designations. Tout le monde peut y acceder. Consulter ce registre vous donne en 45 secondes un signal fort :
- Si votre prestataire a designe un DPO correctement, il apparait dans le registre CNIL avec un numero DPO-xxx traçable.
- Si vous ne le trouvez pas et que son activite declenche une obligation de DPO (traitement a grande echelle de donnees sensibles, suivi regulier a grande echelle), il est en infraction directe.
- Si il ne trouve meme pas la peine de vous fournir son numero de declaration, vous avez un probleme.
Comment verifier : demandez a votre prestataire son numero de designation CNIL (format DPO-xxx). Il devrait l'envoyer en 30 secondes. S'il tatonne, c'est deja un warning.
Dans le dashboard rgpdsimplement, chaque sous-traitant que vous ajoutez est automatiquement verifie contre le registre DPO public de la CNIL. Si le prestataire pretend avoir un DPO mais qu'il n'apparait nulle part, on vous remonte un drapeau rouge.
Etape 2 -- Exiger un DPA signe et lisible (60 secondes)
DPA = Data Processing Agreement = accord de sous-traitance au sens de l'article 28 RGPD.
Ce n'est pas une "clause de confidentialite" de 3 paragraphes. C'est un document structure qui doit contenir au minimum :
- La nature et la finalite du traitement effectue pour votre compte.
- Les categories de donnees concernees (email, nom, coordonnees, sante, finances).
- Les categories de personnes concernees (clients, prospects, salaries, patients).
- La duree du traitement.
- Les obligations de confidentialite et de securite du sous-traitant.
- L'engagement a vous aider en cas de demande d'exercice de droits ou de violation de donnees.
- L'engagement a supprimer ou restituer les donnees a la fin de la prestation.
- L'autorisation explicite pour les sous-traitants ulterieurs.
Test rapide : ouvrez le document et cherchez le mot "sous-traitant ulterieur". S'il n'apparait pas : document incomplet. Cherchez "categories de donnees" : s'il n'apparait pas : document incomplet. Cherchez "duree du traitement" : s'il n'apparait pas : document incomplet.
Si le document qu'on vous a envoye s'appelle "conditions generales" ou "clause de confidentialite" : ce n'est pas un DPA. Exigez-en un. Les prestataires serieux (Google Workspace, Microsoft 365, HubSpot, Brevo, Mailjet, OVH, Hetzner, AWS) en ont un standardise, accessible en 2 clics dans leur espace administrateur.
Etape 3 -- Obtenir la liste des sous-traitants ulterieurs (45 secondes)
Votre prestataire peut lui-meme confier certaines taches a ses propres prestataires : un hebergeur, un service de mailing transactionnel, une solution d'analytics, un prestataire de support. Ce sont des sous-traitants ulterieurs au sens du RGPD.
L'article 28 du RGPD impose deux choses :
- Votre prestataire doit vous informer de tout changement dans sa liste de sous-traitants ulterieurs.
- Vous devez pouvoir vous y opposer (meme si l'opposition entraine en pratique la rupture du contrat).
Test rapide : demandez la liste. Formulation simple : "Pouvez-vous m'envoyer la liste de vos sous-traitants ulterieurs et leur localisation ?"
Un prestataire serieux vous repond en 30 minutes avec un tableau a jour. Un prestataire douteux vous repond en 4 jours que "c'est confidentiel". La confidentialite ne s'applique pas aux sous-traitants ulterieurs. Cette reponse est illegale.
Exemples de reponses correctes :
- Hebergeur : OVH (France), AWS (Irlande), Cloudflare (Etats-Unis, sous DPF).
- Emailing transactionnel : Postmark, SendGrid, Mailgun.
- Support client : Intercom, Zendesk, Crisp.
- Analytics : Plausible, Google Analytics, Matomo.
Si vous n'avez aucun nom US ou international alors que le service est un SaaS en ligne : suspectez le prestataire d'avoir menti ou de ne pas savoir. C'est aussi grave.
Etape 4 -- Verifier la localisation des donnees (60 secondes)
C'est la verification qui reveille. L'autorite neerlandaise, en cooperation avec la CNIL, a sanctionne Uber de 290 millions d'euros en juillet 2024 precisement sur ce sujet : transferts de donnees vers les Etats-Unis sans garanties suffisantes entre aout 2021 et novembre 2023. Source : cnil.fr/fr/transferts-de-donnees-hors-ue-sanction-de-290-millions-deuros-lencontre-duber.
Si vos donnees de clients ou salaries sortent de l'Union europeenne, vous avez trois options acceptables :
Option A -- Decision d'adequation de la Commission europeenne
La Commission europeenne a declare certains pays "equivalents" au RGPD. Exemples : Royaume-Uni, Suisse, Canada (partiel), Argentine, Japon. Pour les Etats-Unis, c'est possible uniquement via le Data Privacy Framework (DPF) adopte en 2023. Votre prestataire americain doit etre certifie DPF et la certification doit etre active (verifiable sur le site officiel du DPF).
Option B -- Clauses Contractuelles Types
Les CCT de la Commission europeenne version juin 2021 sont des clauses standardisees que votre prestataire doit inclure dans votre DPA. Si vous voyez "Standard Contractual Clauses (SCC) 2021" dans votre contrat, vous etes couvert.
Option C -- Regles d'entreprise contraignantes (BCR)
Reserve aux grands groupes. Pas votre sujet.
Test rapide : dans le DPA, cherchez les mots "European Commission Standard Contractual Clauses" ou "adequacy decision" ou "Data Privacy Framework". Si aucun de ces trois termes n'apparait et que le prestataire est americain : vous etes expose.
La check-list en 3 minutes chrono
Pour chaque sous-traitant qui touche des donnees personnelles :
| Verification | Temps | Comment |
|---|---|---|
| 1. Numero DPO-xxx fourni ? | 45 sec | Email au prestataire |
| 2. DPA signe complet ? | 60 sec | PDF avec les 8 mentions obligatoires |
| 3. Liste sous-traitants ulterieurs | 45 sec | Tableau a jour |
| 4. Localisation donnees + DPF/CCT | 60 sec | DPA + certificat actif |
Total : 3 minutes 30. Repetez pour vos 10 prestataires principaux : vous y passez 35 minutes maximum, une fois. Vous etes deja dans le top 10 % des PME francaises sur ce sujet.
Le cas particulier : votre web-agency locale
C'est celui qui vous expose le plus. Pourquoi ?
- Elle a acces a votre back-office, donc potentiellement a toute votre base clients.
- Elle installe des scripts tiers (tag manager, analytics, pixels) en votre nom.
- Elle heberge parfois votre site sur son serveur, sans procedures de sauvegarde ni mise a jour.
- Elle n'a quasiment jamais de DPA signe.
Action immediate : faites signer un DPA a toute agence qui touche votre site ou votre CRM. Un modele gratuit conforme CNIL existe sur le site officiel. Si elle refuse ou negocie 3 mois : changez d'agence.
Les 4 signes qui doivent vous alerter
- Le prestataire n'a pas de page "RGPD" ou "Privacy" accessible publiquement.
- Son DPA est un PDF de moins de 5 pages.
- Il ne sait pas ou sont hebergees ses donnees ("chez notre prestataire cloud").
- Il vous repond "on est conforme" sans jamais envoyer de document.
Un de ces 4 signes, c'est suspect. Deux, c'est alarmant. Trois ou quatre, vous devez changer de prestataire.
FAQ
Mon prestataire est americain mais il affirme que mes donnees sont hebergees en Europe. C'est suffisant ? Non. Le probleme n'est pas la localisation physique du serveur, c'est la societe qui controle les donnees. Si votre prestataire est de droit americain, le Cloud Act permet aux autorites US de demander l'acces aux donnees, quel que soit l'endroit ou elles sont physiquement stockees. Verifiez la certification DPF ou les Clauses Contractuelles Types.
Je n'ai pas signe de DPA avec Google Workspace / Microsoft 365. Est-ce grave ? Non, ils sont signes automatiquement lors de la creation de votre compte. Allez dans l'administration de votre compte Google ou Microsoft : vous trouverez le DPA telecharge, date de votre inscription, nominativement pour votre organisation. Telechargez-le et conservez une copie.
La CNIL controle vraiment ce genre de chose chez les PME ? Oui. En cas de plainte ou de violation de donnees chez vous, la premiere demande de la CNIL est : "Communiquez-nous la liste de vos sous-traitants et les DPA associes." Si vous n'avez rien : sanction quasi systematique.
Pour aller plus loin
- [[2026-04-18-rgpd-pme-5-etapes|Les 5 etapes pour etre conforme RGPD quand on est une PME]]
- Article 28 du RGPD -- Le sous-traitant
- Definition CNIL du sous-traitant
La verification en 3 minutes chrono de vos prestataires, c'est le geste d'hygiene qui vous epargne 80 % des sanctions possibles en sous-traitance. Faites-le cette semaine, une fois, et vous serez tranquille pour l'annee.
Dans rgpdsimplement, chaque sous-traitant que vous ajoutez a votre registre est automatiquement verifie au registre officiel DPO de la CNIL. Si le DPA est incomplet, on vous pointe les manques. Si le prestataire est hors UE sans DPF actif, on vous alerte. Essayer gratuitement.
-- Cloclo