Skip to Content
RGPDPartie 12 — Sous-traitance & contrats12.4 — Choisir & auditer un SaaS

Chapitre 12.4 — Choisir & auditer un SaaS

⏱️ TL;DR — L’article 28.1 t’impose de ne recourir qu’à des sous-traitants qui présentent des garanties suffisantes. Ce n’est pas une vérification après coup : c’est un critère de choix, avant de signer. La checklist tient en six points : sécurité (art. 32), localisation des données et transferts hors UE encadrés (cap Partie 13), DPA disponible, certifications, réversibilité, et transparence sur la chaîne. Le piège du dev : l’outil gratuit et « pratique » — analytics US, form builder, widget de chat — est un sous-traitant comme un autre. Avant de coller le script : lis son DPA et sache où sont les données. « Gratuit » ne veut pas dire « sans obligations ».

🎯 Objectifs

  • Comprendre l’exigence de garanties suffisantes (art. 28.1) comme critère de sélection.
  • Dérouler une checklist avant de signer un nouveau SaaS ou prestataire.
  • Ne plus brancher un outil gratuit sans vérifier son DPA et la localisation des données.
  • Savoir quand un choix de prestataire renvoie à la question des transferts (Partie 13).

« Garanties suffisantes » : un critère de choix, pas un espoir

L’article 28.1 pose une règle simple et exigeante : le responsable ne fait appel qu’à des sous-traitants offrant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Traduction pour un dev : on évalue le prestataire avant de l’intégrer, on ne « verra pas plus tard ». Choisir un outil qui traite des données personnelles est une décision de conformité, au même titre que choisir une base de données.

Évaluer, c’est documenter son choix (accountability) : garder trace du DPA, des certifications, de la localisation. Si demain la CNIL demande « pourquoi ce prestataire ? », tu dois pouvoir montrer que tu as vérifié.

La checklist avant de signer

Six familles de questions, à passer avant d’ajouter un maillon à la chaîne (Partie 12.3).

Point à vérifierLa question concrèteFondement
SécuritéChiffrement en transit et au repos, gestion des accès, sauvegardes, tests. Où est la doc sécurité ?art. 32
Localisation des donnéesDans quels pays sont stockées et traitées les données ? UE ? Hors UE ?chapitre V
Transferts hors UES’il y a un transfert, est-il encadré (adéquation, CCT, TIA) ?art. 44 et s. → Partie 13
DPA disponibleExiste-t-il un vrai DPA (art. 28), signable, avec les clauses obligatoires ?art. 28
Certifications / preuvesCertifications de sécurité, rapports d’audit, page « subprocessors » ?art. 28.1
RéversibilitéPeux-tu récupérer puis faire supprimer tes données en partant, sans piège de format ?art. 28.3 g

Deux points transverses complètent la grille : la transparence sur la chaîne (le prestataire publie-t-il ses sous-traitants ultérieurs ? — Partie 12.3) et la minimisation (l’outil ne réclame-t-il que les données nécessaires, ou aspire-t-il tout « au cas où » ?).

💡 Réflexe — Fais de cette checklist une étape de ta décision technique, pas une case administrative en fin de projet. Avant d’écrire npm install ou de coller un script tiers, ouvre la page « Privacy / DPA / Security / Subprocessors » du fournisseur. Cinq minutes de lecture évitent un sous-traitant non conforme enfoui dans le code, qu’on ne retrouvera qu’après une fuite.

Le piège : l’outil gratuit « juste pratique »

Le réflexe qui casse la conformité : intégrer un outil gratuit en trois lignes parce qu’il est pratique — un module d’analytics américain, un form builder qui héberge les réponses on ne sait où, un widget de chat ou de heatmap, une police de caractères chargée depuis un CDN qui capte les IP des visiteurs. Chacun est un sous-traitant (voire un responsable, s’il réutilise les données pour son compte — Partie 12.1). « Gratuit » ne retire aucune obligation.

Deux questions avant d’intégrer un outil gratuit :

  1. Où vont les données ? Beaucoup d’outils gratuits hébergent hors UE (souvent aux États-Unis) et se financent en exploitant les données. Un transfert hors UE non encadré est l’un des manquements les plus sanctionnés (cap Partie 13).
  2. Y a-t-il un DPA, et que dit-il ? Si le service n’offre pas de DPA, tu ne peux pas l’utiliser pour des données personnelles conformément à l’article 28. S’il en offre un, lis ce qu’il autorise (réutilisation ? profilage ? sous-traitants ?).

⚠️ Piège — « C’est gratuit et tout le monde s’en sert, donc c’est bon. » Non : le prix et la popularité ne disent rien de la conformité. Un analytics gratuit qui pose des cookies, profile les visiteurs et transfère les données hors UE sans encadrement expose à des sanctions — et déclenche en plus les obligations consentement/cookies (Partie 7). Le « pratique » d’aujourd’hui est la dette de conformité de demain.

🧭 Sur FormaCampus — L’équipe veut ajouter un outil de heatmap américain pour « voir où cliquent les élèves ». Réflexe 12.4 : (1) localisation — hébergé aux États-Unis → transfert hors UE à encadrer (Partie 13) ; (2) DPA — existe-t-il, interdit-il la réutilisation ? ; (3) minimisation — enregistrer les sessions d’élèves mineurs, en a-t-on vraiment besoin ? ; (4) cookies/consentement — Partie 7. Conclusion probable : chercher une alternative UE sans cookie, ou renoncer. La commodité ne justifie pas d’ajouter un maillon opaque à la chaîne.

🔒 Côté personne concernée — Quand un visiteur arrive sur le site de FormaCampus, il ne « choisit » pas les outils tiers embarqués : il les subit. Une police chargée depuis un serveur étranger qui capte son IP, un tracker gratuit qui revend son parcours — il n’en sait rien, et pourtant ses données partent. La checklist « avant de signer » est ce qui le protège en amont, à un moment où lui n’a aucun moyen d’agir.

📚 Le texte — L’exigence de garanties suffisantes est à l’article 28.1. Les mesures de sécurité relèvent de l’article 32. La localisation et les transferts relèvent du chapitre V (art. 44 et suivants), objet de la Partie 13 — Transferts internationaux. La CNIL propose un guide du sous-traitant et des recommandations pour évaluer un prestataire (cnil.fr). Aucune certification ne dispense du DPA : elle complète l’évaluation.

✏️ Exercices

Exercice 1 — Audite avant de signer. Tu évalues un service d’e-mailing pour FormaCampus. Liste les cinq questions que tu poses avant de l’intégrer.

✅ Solution

(1) Sécurité : chiffrement, accès, doc sécurité (art. 32) ? (2) Localisation : où sont stockés et traités les e-mails et contenus ? (3) Transferts : si hors UE, est-ce encadré (adéquation / CCT / TIA — Partie 13) ? (4) DPA : existe-t-il, avec les clauses obligatoires de l’art. 28, et interdit-il la réutilisation des données ? (5) Réversibilité & sous-traitants : puis-je récupérer/supprimer mes données en partant, et le fournisseur publie-t-il ses sous-traitants ultérieurs ? Bonus : minimisation — ne réclame-t-il que le nécessaire ?

Exercice 2 — Le tracker gratuit. Un collègue veut ajouter un outil d’analytics gratuit et américain « parce que c’est standard ». Quels risques soulèves-tu ?

✅ Solution

Trois risques cumulés : (1) sous-traitance non encadrée si aucun DPA n’est signé (art. 28) ; (2) transfert hors UE non encadré si les données partent aux États-Unis sans garantie (chapitre V, Partie 13) — l’un des manquements les plus sanctionnés ; (3) cookies/consentement (Partie 7) si l’outil dépose des traceurs non essentiels et profile les visiteurs. « Standard » et « gratuit » ne valent pas conformité. Piste : une alternative UE sans cookie, ou une mesure d’audience configurée pour être exemptée de consentement.

Exercice 3 — Pas de DPA. Un fournisseur idéal techniquement… n’a aucun DPA à proposer et refuse d’en signer un. Ta décision ?

✅ Solution

On ne l’utilise pas pour des données personnelles. L’article 28 impose un contrat écrit ; sans DPA, la sous-traitance est illicite, quelle que soit la qualité technique de l’outil. Le refus de fournir un DPA est un signal rédhibitoire sur les « garanties suffisantes » (art. 28.1). On cherche un prestataire équivalent qui, lui, propose un DPA — ou on renonce à la fonctionnalité.

🧠 Quiz de révision

1. Que dit l’article 28.1 sur le choix d’un sous-traitant ?

Qu’on ne peut faire appel qu’à des sous-traitants présentant des garanties suffisantes quant à des mesures techniques et organisationnelles appropriées. C’est un critère de sélection à vérifier avant de signer — et à documenter (accountability).

2. Cite quatre points de la checklist « avant de signer ».

Parmi : sécurité (art. 32), localisation des données, transferts hors UE encadrés (Partie 13), DPA disponible (art. 28), certifications/preuves, réversibilité, transparence sur les sous-traitants et minimisation.

3. Un outil gratuit échappe-t-il aux obligations de sous-traitance ?

Non. Gratuit ou payant, un outil qui traite des données personnelles pour ton compte est un sous-traitant : il faut un DPA (art. 28) et vérifier où sont les données. Beaucoup d’outils gratuits hébergent hors UE et exploitent les données — à encadrer ou à écarter.

4. Pourquoi la localisation des données est-elle un point de la checklist ?

Parce qu’un stockage ou un traitement hors UE déclenche les règles de transfert du chapitre V (adéquation, CCT, TIA…) — objet de la Partie 13. Un transfert non encadré est l’un des manquements les plus sanctionnés : il faut le repérer avant de choisir l’outil.

5. Que faire d’un fournisseur sans DPA ?

Ne pas l’utiliser pour des données personnelles : l’article 28 impose un contrat écrit. L’absence de DPA rend la sous-traitance illicite et trahit un défaut de garanties suffisantes (art. 28.1), quelles que soient les qualités techniques du produit.


Chapitre suivant : 12.5 — Atelier : cartographie & le cas de l’IA — on rassemble tout : on cartographie les sous-traitants de FormaCampus dans un tableau, puis on traite le cas brûlant d’un LLM qui corrige des copies d’élèves.

Last updated on