L’audit des sous-traitants n’est pas une option. L’article 28 §3 lettre h RGPD impose au responsable de traitement de mettre à disposition les informations nécessaires aux audits — et donc, par symétrie, de conduire ces audits sur ses propres prestataires. La CNIL a sanctionné en 2024-2025 plusieurs entreprises pour audit lacunaire de leurs sous-traitants, y compris quand le sous-traitant lui-même était par ailleurs sanctionné (Mobius Solutions, décembre 2025, 1M€).
Cette checklist couvre 24 points de contrôle organisés en six dimensions : conformité contractuelle, sécurité technique, gouvernance, sous-traitance ultérieure, transferts internationaux, gestion des incidents. Elle est calibrée pour les PME qui auditent 10 à 50 sous-traitants par an.
Pour la rédaction du DPA initial, voir modèle DPA Article 28 RGPD. Pour le cadre général, guide article 28 RGPD.
Points clés
- Un audit sous-traitant complet couvre 24 points répartis sur 6 dimensions.
- La méthode de scoring permet de classer les sous-traitants en 4 niveaux (conforme, à surveiller, écart à corriger, non conforme).
- L’audit peut être documentaire (questionnaire, rapport ISO/SOC2) ou sur place. Pour 90% des PME, l’audit documentaire suffit.
- Cadence recommandée : audit initial avant signature, audit annuel pour les sous-traitants critiques, audit triennal pour les sous-traitants secondaires.
- Une carence dans l’audit n’exonère pas le responsable de traitement en cas de violation par le sous-traitant.
1. Préparation : prioriser les sous-traitants
Tous les sous-traitants ne méritent pas le même niveau d’audit. Méthode de classement :
| Niveau | Critères | Cadence d’audit |
|---|---|---|
| Critique | Données sensibles ou >10 000 personnes concernées, sous-traitant unique | Audit annuel + revue trimestrielle |
| Élevé | Données nominatives, fonction métier centrale (CRM, paie, hébergement) | Audit annuel |
| Modéré | Données limitées, fonction support (analytics, marketing) | Audit triennal |
| Faible | Pas de données personnelles ou pseudonymisées robustes | Vérification documentaire annuelle |
2. Les 24 points de contrôle
Dimension 1 — Conformité contractuelle (4 points)
☐ 1.1 — DPA signé Vérification : copie du DPA signé par les deux parties, dates de signature, identité juridique correcte. Écart typique : DPA non signé, signé par une entité différente du contractant principal, daté postérieurement au début du traitement.
☐ 1.2 — Annexes complétées Vérification : Annexe 1 (description du traitement) personnalisée, Annexe 2 (mesures de sécurité) à jour, Annexe 3 (sous-traitants ultérieurs) listée. Écart typique : annexes vides ou avec mentions génériques (“voir contrat”).
☐ 1.3 — Clauses obligatoires de l’article 28 §3 présentes Vérification : les 9 clauses obligatoires (instructions documentées, confidentialité, sécurité, sous-traitance ultérieure, assistance droits des personnes, notification de violation, fin de contrat, audit, mise à disposition d’informations) sont rédigées et opérantes.
☐ 1.4 — Cohérence avec le contrat principal Vérification : le DPA prévaut sur les clauses contraires du contrat de service. Pas de clause limitative de responsabilité couvrant les manquements à l’article 28.
Dimension 2 — Sécurité technique (5 points)
☐ 2.1 — Certification de sécurité valide Vérification : ISO 27001, SOC 2 Type II, ou équivalent. Date de certification < 12 mois. Périmètre couvrant le traitement. Écart typique : certification expirée, périmètre limité à un autre service.
☐ 2.2 — Chiffrement des données Vérification : chiffrement en transit (TLS 1.2 minimum, idéalement 1.3), chiffrement au repos (AES-256), gestion des clés documentée.
☐ 2.3 — Contrôle d’accès Vérification : authentification multifacteur pour les accès administratifs, principe du moindre privilège, journalisation des accès aux données sensibles.
☐ 2.4 — Sauvegardes Vérification : sauvegardes régulières (RPO documenté), tests de restauration documentés, sauvegardes hors site, durée de conservation conforme.
☐ 2.5 — Sécurité applicative Vérification : tests d’intrusion annuels, programme de bug bounty ou équivalent, mises à jour de sécurité régulières.
Dimension 3 — Gouvernance (4 points)
☐ 3.1 — DPO ou conseiller à la protection des données désigné Vérification : nom et coordonnées disponibles, indépendance fonctionnelle, formation documentée.
☐ 3.2 — Politique de protection des données interne Vérification : politique écrite, à jour, signée par la direction. Couverture : collecte, conservation, droits des personnes, sécurité.
☐ 3.3 — Formation du personnel Vérification : formation initiale documentée, mise à jour annuelle, traçabilité (e-learning ou feuilles de signature).
☐ 3.4 — Engagement de confidentialité du personnel Vérification : clause de confidentialité dans les contrats de travail, NDA pour les prestataires externes.
Dimension 4 — Sous-traitance ultérieure (3 points)
☐ 4.1 — Liste des sous-traitants ultérieurs à jour Vérification : annexe à jour, accessible en ligne ou sur demande, mise à jour à chaque ajout/retrait. Écart typique : liste obsolète, ajout de sous-traitants non notifiés.
☐ 4.2 — DPA en cascade signés Vérification : sur demande, copie du DPA entre le sous-traitant et chacun de ses sous-traitants ultérieurs.
☐ 4.3 — Procédure de notification d’ajout Vérification : préavis écrit de 30 jours, droit d’opposition motivé, formalisme respecté pour les modifications passées.
Dimension 5 — Transferts internationaux (4 points)
☐ 5.1 — Cartographie des flux internationaux Vérification : liste des pays destinataires, finalité du transfert, mécanisme légal pour chacun.
☐ 5.2 — Mécanisme de garantie Vérification : pour chaque pays non adéquat, CCT signées (modules pertinents), BCR validées, ou certification (par exemple EU-U.S. Data Privacy Framework).
☐ 5.3 — Analyse d’impact transfert (TIA) Vérification : TIA documentée pour les pays présentant des risques (États-Unis hors DPF, Inde, Chine, etc.).
☐ 5.4 — Vérification continue Vérification : revue annuelle des certifications DPF, des CCT (versions à jour), des décisions d’adéquation.
Dimension 6 — Gestion des incidents (4 points)
☐ 6.1 — Procédure de notification de violation Vérification : procédure documentée, contact dédié, délai contractuel respecté (24-48h).
☐ 6.2 — Historique des violations Vérification : registre interne des violations, notification au responsable pour celles le concernant, notification CNIL si applicable.
☐ 6.3 — Tests d’incidents Vérification : exercices de simulation annuels (table-top ou techniques), retours d’expérience documentés.
☐ 6.4 — Plan de continuité d’activité (PCA) Vérification : PCA documenté, RTO/RPO définis, tests de bascule annuels.
3. Méthode de scoring
Pour chaque point, attribuer un score :
- 2 points : conforme avec preuve documentaire
- 1 point : conforme partiellement, écart mineur
- 0 point : non conforme ou preuve manquante
Total maximum : 48 points sur 24 critères.
| Score | Niveau | Action |
|---|---|---|
| 44-48 | Conforme | Renouveler audit dans 12 mois |
| 36-43 | À surveiller | Plan d’action sur 3 mois, suivi trimestriel |
| 24-35 | Écarts à corriger | Plan correctif sous 30 jours, audit complémentaire à 6 mois |
| <24 | Non conforme | Suspension envisagée, mise en demeure formelle |
4. Conduite pratique d’un audit
Étape 1 — Demande documentaire (T+0)
Envoyer un questionnaire structuré listant les 24 points. Demander pour chacun : description, preuve documentaire, contact responsable. Délai de réponse : 30 jours.
Étape 2 — Analyse (T+45)
Examen des réponses. Scoring point par point. Identification des écarts. Demande de compléments si nécessaire.
Étape 3 — Restitution (T+60)
Rapport écrit adressé au sous-traitant : score global, écarts identifiés, plan d’action attendu. Délai de réponse : 30 jours.
Étape 4 — Suivi (T+90 et au-delà)
Si plan d’action accepté : suivi mensuel des actions correctives. Audit complémentaire à 6 mois pour les écarts importants.
Audit sur place : quand l’engager ?
L’audit sur place se justifie pour :
- Sous-traitants critiques avec données sensibles à grande échelle
- Doute sur la véracité des réponses documentaires
- Suite à un incident majeur
- Demande explicite d’une autorité de contrôle
Pour 90% des PME, l’audit documentaire complété par un rapport ISO/SOC 2 suffit. L’audit sur place est facturé entre 5 000 et 25 000 € selon le périmètre.
5. Cas pratique : audit d’un fournisseur CRM
PME française, 35 salariés, utilise un CRM SaaS américain (certifié EU-U.S. Data Privacy Framework). Périmètre : données prospects et clients (10 000 fiches), pas de données sensibles.
Demande documentaire :
- DPA signé (oui, modèle standard du fournisseur)
- ISO 27001 + SOC 2 Type II valides
- Certification DPF active (vérifiée sur dataprivacyframework.gov)
- Liste des sous-traitants ultérieurs (5 fournisseurs cloud annoncés)
- Politique de notification de violation : 48h
Scoring : 42/48. Deux écarts identifiés :
- 4.3 : pas de procédure formalisée de notification d’ajout de sous-traitant ultérieur (1 point)
- 6.2 : registre des violations non communiqué (1 point)
Plan d’action :
- Demander au fournisseur l’engagement de notification 30 jours avant ajout d’un sous-traitant
- Demander un extrait anonymisé du registre des violations sur les 12 derniers mois
Audit complémentaire dans 12 mois.
6. Outillage et automatisation
Legiscope automatise l’audit DPA : lecture par IA du contrat, détection des clauses manquantes, vérification des certifications fournisseur en temps réel, alerte sur les certifications DPF expirées. Le score article 28 est calculé automatiquement et le rapport d’audit est généré en quelques minutes.
Pour la conduite globale de la conformité, voir notre checklist nLPD pour PME suisses (méthode applicable au RGPD).
Conclusion
L’audit des sous-traitants protège le responsable de traitement contre la double sanction : amende administrative pour défaut d’audit, et responsabilité solidaire en cas de violation. Une démarche structurée — 24 points, scoring, suivi — transforme l’audit d’une formalité administrative en un outil de gestion du risque vendor.
Pour aller plus loin : modèle DPA Article 28, article 28 vs article 26, guide article 28 RGPD.
FAQ
Combien de temps faut-il pour auditer un sous-traitant ?
Audit documentaire : entre 4 et 8 heures de travail réparties sur 4 à 8 semaines (envoi du questionnaire, attente des réponses, analyse). Audit sur place : 1 à 3 jours sur site, plus 2-3 jours d’analyse.
Faut-il auditer tous les sous-traitants chaque année ?
Non. Cadence recommandée : annuelle pour les sous-traitants critiques, triennale pour les sous-traitants secondaires. La cadence se détermine selon la sensibilité des données traitées et le volume.
Un certificat ISO 27001 dispense-t-il de l’audit article 28 ?
Non. L’ISO 27001 couvre la sécurité de l’information mais pas l’ensemble des obligations de l’article 28 (sous-traitance ultérieure, transferts internationaux, droits des personnes). Le certificat est un élément à intégrer dans l’audit, pas un substitut.
Que faire si un sous-traitant refuse l’audit ?
Le DPA doit prévoir le droit d’audit. Un refus constitue une violation contractuelle et expose le sous-traitant à la résiliation. En pratique, les grands fournisseurs SaaS proposent un rapport SOC 2 Type II en alternative à l’audit sur place — c’est acceptable.
Comment auditer un sous-traitant qui sous-traite à AWS ou Microsoft ?
Vérifier que le DPA en cascade est signé. Le rapport SOC 2 ou ISO 27001 d’AWS/Microsoft est public — son examen valide la sécurité technique. La sous-traitance en cascade doit figurer dans la liste des sous-traitants ultérieurs notifiée au responsable.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo
