Article 28 : ce que la DPO du buyer veut vraiment voir.
Le RGPD impose au responsable de traitement de vérifier que ses sous-traitants offrent des garanties suffisantes. Côté fournisseur, cela se traduit par un questionnaire dédié. Voici comment le préparer.
PME tech · SaaS B2B · ESN · cabinets cyber · retour sous 48h
01 · Pour qui
Pour tout fournisseur traitant des données pour un client.
Si votre service touche aux données personnelles de votre client final — utilisateurs, salariés, prospects — vous êtes sous-traitant au sens de l'article 4 du RGPD. Cas typiques :
SaaS B2B qui stocke les utilisateurs de ses clients.
ESN qui développe une application traitant des données clients.
Cabinet cyber ou consultant avec accès aux logs et incidents.
Hébergeur, infogérant, prestataire DevOps.
Outil analytics, tracking, CRM ou marketing automation.
Service de support qui voit passer des données clients.
02 · Le problème concret
Le buyer ne demande pas votre avis. Il demande des engagements signables.
Un questionnaire RGPD sous-traitant n’est pas un exercice de communication. La DPO du buyer doit produire, pour son propre registre, la preuve que votre entreprise offre les garanties exigées par l’article 28 du RGPD.
Cela inclut des éléments précis : nature des données traitées, durées de conservation, sous-traitants ultérieurs, transferts hors UE, procédure d’assistance aux droits des personnes, procédure d’incident et de notification. Une réponse vague est inutilisable côté buyer ; pire, elle fait perdre des semaines pendant qu’on vous redemande la même chose autrement formulée.
L’objectif côté fournisseur : produire un dossier que la DPO du buyer peut reprendre tel quel dans son propre dossier de conformité, sans avoir à compléter par mail.
03 · Ce que la DPO du buyer vérifie
Les points incontournables de l’article 28.
Le RGPD article 28 liste précisément ce qui doit figurer dans le contrat de sous-traitance. Le questionnaire est le moyen pour la DPO de vérifier que ces points sont bien couverts.
Objet, durée et nature du traitement clairement décrits.
Type de données et catégories de personnes concernées.
Liste à jour des sous-traitants ultérieurs (ex : votre CDN, votre hébergeur).
Localisation des données et transferts hors UE (clauses contractuelles types).
Mesures techniques et organisationnelles de sécurité documentées.
Procédure d'assistance aux demandes d'exercice des droits.
Procédure de notification de violation de données.
Sort des données en fin de contrat : suppression ou restitution.
Engagement de confidentialité du personnel ayant accès.
Disponibilité pour audit du responsable de traitement.
04 · Erreurs fréquentes
Ce qui fait recaler un dossier RGPD.
Ne pas avoir de registre à jour des sous-traitants ultérieurs.
Ne pas citer explicitement les transferts hors UE (Google, AWS US…).
Annoncer un DPO qui n'a pas été désigné officiellement.
Présenter une PSSI générique sans périmètre RGPD spécifique.
Promettre des délais de notification incompatibles avec vos process.
Cocher « Oui » sur l'analyse d'impact (AIPD) sans l'avoir produite.
05 · Documents à préparer
Le socle documentaire RGPD côté sous-traitant.
Une partie des éléments peut être commune avec votre dossier sécurité, une partie est spécifique RGPD.
Registre des traitements (article 30) côté responsable et sous-traitant.
Registre des sous-traitants ultérieurs et leur localisation.
Cartographie des données : catégories, durées, finalités.
Politique de protection des données et procédure interne.
Procédure d'exercice des droits (accès, rectification, effacement…).
Procédure de notification de violation (sous 72h vers le RT).
Clauses contractuelles types signées pour transferts hors UE.
Désignation officielle du DPO ou justification d'absence.
Analyse d'impact (AIPD) pour les traitements à risque élevé.
Engagement individuel de confidentialité du personnel.
06 · Méthode Prova
La même méthode, appliquée aux questions RGPD.
Les quatre gestes structurent chaque réponse — du sujet identifié à la validation finale.
Identifier le sujet RGPD réel sous la formulation du buyer.
Retrouver la preuve dans votre documentation RGPD existante.
Prouver en attachant le document daté avec son périmètre.
Valider — votre DPO ou un référent désigné relit avant envoi.
Limites
Prova prépare. Votre équipe garde la validation finale.
Prova ne remplace pas votre RSSI, DPO ou équipe juridique. Le service prépare des réponses structurées avec les preuves disponibles et signale les points qui demandent un arbitrage interne. La décision finale, l’envoi au buyer et la certification éventuelle restent côté client.
Aucune réponse n’est transmise sans relecture de votre équipe. Aucune promesse de conformité garantie : Prova prépare le terrain, vous décidez ce qui sort.
FAQ
Questions fréquentes.
Prova remplace-t-il un DPO ?
Non. Prova prépare le dossier mais ne se substitue pas à un DPO. Les arbitrages juridiques, l'opposabilité des clauses et la responsabilité finale restent côté client. Si vous n'avez pas de DPO interne, Prova peut signaler les points qui en nécessiteraient un externe.
Faut-il avoir un DPO obligatoirement pour répondre ?
Pas toujours. Le RGPD impose un DPO dans certains cas (traitement à grande échelle, données sensibles, suivi systématique). Dans d'autres cas, un référent désigné peut suffire, à condition de pouvoir le justifier. Le pré-audit vous le dira pour votre situation.
Comment traiter la question des transferts hors UE ?
Lister précisément chaque sous-traitant ultérieur hors UE (typiquement Google Workspace, AWS US, Stripe…), citer les clauses contractuelles types signées, mentionner les mesures techniques complémentaires (chiffrement, pseudonymisation). Toute approximation rallonge le cycle d'audit.
Le pré-audit RGPD est-il un audit de conformité ?
Non. C'est une lecture structurée d'un extrait de questions pour identifier les sujets, signaler les manques probables et orienter vers la prochaine étape. Un audit de conformité formel doit être conduit par votre DPO ou un cabinet spécialisé.
Préparez un dossier RGPD que la DPO du buyer pourra reprendre.
Le pré-audit Prova qualifie votre dossier RGPD sous-traitant. Retour sous 48h ouvrées avec les points couverts, les manques à combler et la prochaine étape recommandée.