RGPD et sous-traitants : le maillon faible que la CNIL va sanctionner en 2026
Vous avez une politique de sécurité en béton. Des pare-feux partout. Des audits tous les ans. Et pourtant, c’est votre prestataire qui se fait pirater. Vos données fuient par le maillon que vous n’avez jamais regardé de près.
Ce scénario n’est pas une fiction. Il s’est reproduit des dizaines de fois entre 2024 et 2026. Les fuites de données ne viennent plus de vos propres serveurs. Elles passent par vos sous-traitants. Votre cabinet de paie. Votre hébergeur. Votre agence marketing. Tous ces partenaires qui touchent à vos données sans que vous ne vérifiiez vraiment ce qu’ils en font.
Et la CNIL le sait parfaitement. C’est pourquoi elle fait de l’audit des sous-traitants un point de contrôle systématique en 2026. Si votre prestataire se fait pirater, c’est vous qui paierez la note. Regardons ensemble ce que dit la loi, et comment vous protéger concrètement.
🚨
L’essentiel en 30 secondes
Le problème : la grande majorité des fuites de données 2024-2026 passent par un sous-traitant (RH, paye, hébergeur, marketing)
Almerys, France Travail, Gîtes de France : tous piratés via des prestataires, millions de personnes impactées
Article 28 RGPD : encadrement contractuel obligatoire et suivi documenté de chaque sous-traitant
La CNIL vérifie : en 2026, l’audit des sous-traitants est un point de contrôle systématique
Le kit : clauses essentielles, questions d’audit, fréquence de contrôle, preuves à conserver
80% des fuites : le problème invisible des sous-traitants
Les chiffres parlent d’eux-mêmes. La grande majorité des incidents de sécurité 2024 à 2026 ont pour origine un prestataire externe. Et non, ce n’est pas une tendance passagère. C’est devenu le vecteur numéro un des fuites de données en France.
Prenons le cas d’Almerys. Ce prestataire de services pour mutuelles a subi une fuite massive. Plus de 15 millions de numéros de Sécurité Sociale ont été exposés. Résultat, tous les clients des mutuelles concernées se retrouvent impactés. Pourtant, aucune de ces mutuelles n’avait elle-même été piratée directement.
France Travail a connu le même drame. Une cyberattaque via des logiciels malveillants a compromis les données de millions de demandeurs d’emploi. Le point faible, encore une fois, passait par un prestataire.
Dans le secteur du tourisme, le tableau n’est guère plus brillant. Gîtes de France, Center Parcs et Belambra ont tous été piratés via leurs sous-traitants. Des milliers de clients ont vu leurs données personnelles exposées au grand jour. Ces entreprises avaient pourtant investi dans leur propre sécurité. Mais elles n’avaient pas vérifié celle de leurs partenaires.
Le constat est clair aujourd’hui. Votre sécurité ne vaut que celle de votre maillon le plus faible. Et ce maillon, c’est presque toujours un sous-traitant.
Article 28 RGPD : ce que la loi exige vraiment
L’article 28 du RGPD est souvent cité, mais rarement appliqué correctement. Pourtant, il est au cœur de votre conformité. Voici ce qu’il dit concrètement.
D’abord, vous ne pouvez confier des données personnelles qu’à un sous-traitant offrant des garanties suffisantes. Ce n’est pas une suggestion. C’est une obligation légale. Vous devez vérifier que votre prestataire dispose des mesures techniques et organisationnelles adéquates.
Ensuite, le contrat doit être écrit. Un échange de mails ne suffit pas. Le document doit préciser l’objet du traitement, sa durée, la nature des données, et les obligations précises du sous-traitant. Il doit aussi interdire la sous-traitance en cascade sans votre autorisation écrite préalable.
Enfin, et c’est le point le plus souvent négligé, vous devez assurer un suivi documenté. Signer un contrat ne suffit pas. Vous devez vérifier régulièrement que votre sous-traitant respecte bien ses engagements. La CNIL vous demandera des preuves lors de ses contrôles. Pas des promesses, des preuves.
Clause essentielle
Obligation
Fréquence de vérification
Confidentialité
Obligation de secret pour le personnel du sous-traitant
Annuelle
Sécurité des données
Mesures techniques et organisationnelles (article 32)
Semestrielle
Sous-traitance en cascade
Autorisation écrite préalable du responsable de traitement
Chaque nouveau sous-traitant
Audit et inspection
Droit d’auditer les mesures de sécurité du sous-traitant
Annuelle ou post-incident
Notification de violation
Obligation de signaler toute fuite sous 72 heures
Immédiate
Suppression des données
Retour ou destruction des données à fin de contrat
Fin de contrat
Le kit pratique de l’audit sous-traitant
Voici comment mener un audit concret de vos sous-traitants. Commencez par poser les bonnes questions. Ensuite, exigez les bonnes preuves. Enfin, documentez tout.
Pour la sécurité technique, demandez si l’authentification multi-facteurs est activée sur tous les comptes. Vérifiez que les sauvegardes sont régulières et testées. Contrôlez l’existence d’un plan de reprise d’activité. Assurez-vous que les accès sont journalisés et révisés périodiquement.
Pour la dimension humaine, vérifiez que le personnel du sous-traitant a reçu une formation RGPD récente. Demandez la politique de gestion des mots de passe. Contrôlez les procédures de départ des collaborateurs et la révocation des accès associés.
Côté preuves, ne vous contentez pas des déclarations. Exigez les rapports de tests d’intrusion. Demandez les certificats en cours de validité. Consultez les politiques de sécurité documentées. Conservez tout dans un registre dédié. Ce registre sera votre meilleure défense en cas de contrôle CNIL.
La fréquence idéale, c’est un audit complet par an. En cas d’incident chez votre prestataire, auditez immédiatement. Et à chaque nouveau sous-traitant, réalisez une évaluation préalable avant de lui transmettre la moindre donnée.
✅ Bonnes pratiques
Signer un contrat écrit avec chaque sous-traitant traitant des données personnelles
Inclure les clauses article 28 RGPD (confidentialité, sécurité, notification)
Auditer les mesures de sécurité de vos prestataires au moins une fois par an
Exiger une notification sous 72 heures en cas d’incident
❌ Erreurs fréquentes
Travailler avec un prestataire sans contrat écrit encadrant le traitement des données
Accepter la sous-traitance en cascade sans autorisation préalable
Ne jamais vérifier les mesures de sécurité réelles du prestataire
Penser qu’un prestataire certifié HDS/ISO 27001 suffit sans contrôle continu
⚠️ La CNIL en fait un point de contrôle systématique
En 2026, l’audit des sous-traitants n’est plus un conseil, c’est une attente formelle de la CNIL. L’écart entre votre politique de sécurité affichée et l’état réel des systèmes de vos prestataires est l’angle d’attaque favori des contrôleurs.
Si votre sous-traitant se fait pirater, c’est VOUS que la CNIL sanctionne. Pas lui (ou pas que lui).
Sanctions : les entreprises qui ont appris à leurs dépens
Les sanctions RGPD ne sont plus anecdotiques. En 2025, ce sont 487 millions d’euros de sanctions qui ont été prononcés en France. Et la tendance ne fait que s’accélérer.
Le cas Almerys est particulièrement éclairant. Ce prestataire de services pour mutuelles a vu plus de 15 millions de numéros de Sécurité Sociale fuiter. Tous les clients des mutuelles partenaires ont été concernés. La CNIL a montré qu’elle ne distinguerait plus les responsabilités entre le responsable de traitement et son sous-traitant. Les deux seront sanctionnés si l’encadrement contractuel était insuffisant.
France Travail a subi une cyberattaque massive via des logiciels malveillants. Les données de millions de demandeurs d’emploi ont été compromises. L’enquête a révélé des failles dans la gestion des accès chez un prestataire technique. Encore une fois, le sous-traitant était le point d’entrée.
Dans le tourisme, Gîtes de France, Center Parcs et Belambra ont tous subi des incidents liés à leurs prestataires. Les données de réservation, les coordonnées bancaires, les informations de santé pour certains établissements, tout cela s’est retrouvé exposé.
Le secteur public sera particulièrement ciblé en 2026. La CNIL a annoncé une attention renforcée envers les organismes qui externalisent des traitements sensibles. Si vous traitez des données de santé, de justice ou d’identité via un prestataire, votre conformité sera scrutée de près.
Le message est limpide. Vous ne pouvez plus déléguer votre responsabilité RGPD à vos sous-traitants. Vous devez les encadrer, les auditer, et garder des preuves de ce suivi. Sinon, la facture sera salée.
🧠 Testez vos connaissances
Quel article du RGPD impose l’encadrement des sous-traitants ?
Un sous-traitant se fait pirater. Qui est responsable face à la CNIL ?
Sous quel délai un sous-traitant doit-il vous notifier une fuite ?
Qu'est-ce que l'article 28 du RGPD ? ▼
L'article 28 impose au responsable de traitement de ne choisir que des sous-traitants offrant des garanties suffisantes de sécurité. Il exige un contrat écrit avec des clauses spécifiques : confidentialité, mesures de sécurité, notification de violations, droit d'audit.
Mon sous-traitant se fait pirater. Suis-je responsable ? ▼
Oui, en partie. La CNIL peut sanctionner le responsable de traitement s'il n'a pas correctement encadré contractuellement son sous-traitant (article 28) ou s'il n'a pas vérifié les mesures de sécurité mises en place.
Quelles clauses doit contenir un contrat sous-traitant RGPD ? ▼
Le contrat doit préciser l'objet et la durée du traitement, la nature des données, les obligations du sous-traitant, l'interdiction de sous-traitance en cascade sans autorisation, l'obligation de notification de violations sous 72 heures, et le droit d'audit.
La certification HDS ou ISO 27001 suffit-elle ? ▼
Non. Une certification prouve que le prestataire a atteint un standard à un moment donné. Elle ne remplace pas un contrôle continu, un contrat écrit conforme, et des audits réguliers. La CNIL attend des preuves de suivi actif.
Comment auditer un sous-traitant en pratique ? ▼
Posez les questions clés : MFA activée ? Sauvegardes testées ? Plans de reprise d'activité ? Journalisation des accès ? Formation du personnel ? Demandez les preuves : rapports de tests, certificats, politiques de sécurité. Documentez tout.
Alexi Tauzin🛡️ Éditeur & Expert Cyber
Fondateur d'alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
