Aller au contenu principal
Guide RGPD — Exigences de l'article 28

Exigences du contrat de sous-traitance selon le RGPD : ce que vous devez impérativement inclure (et ce que la plupart des organisations négligent)

Vous gérez des contrats de sous-traitance auprès de dizaines de sous-traitants et de plusieurs entités du groupe ? Une seule clause manquante peut entraîner des amendes allant jusqu'à 10 millions d'euros au titre de l'article 83(4). Voici précisément ce qu'exige l'article 28 — ainsi qu'une checklist gratuite pour auditer chacun de vos contrats.

PDF. Sans carte de crédit. Utilisée par des équipes de protection des données gérant plus de 50 relations de sous-traitance.

Adopté par des équipes de protection des données dans plus de 15 pays, dans la pharma, les services financiers, l'industrie et la technologie

PILATUS AIRCRAFT OPEN MEDICAL ZURZACH CARE AXA TRAPEZE
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Pourquoi la plupart des contrats de sous-traitance échouent à un audit RGPD

Un DPD hérite de plus de 80 contrats de sous-traitance. Certains rédigés par les achats, d'autres par un conseil externe il y a des années, d'autres encore le modèle du sous-traitant lui-même accepté sans aucune relecture. Un audit révèle des lacunes systémiques — non par négligence, mais parce que le problème est structurel.

37 %

des contrats de sous-traitance audités ne contiennent pas les clauses obligatoires de notification des sous-traitants ultérieurs — d'après l'analyse des tendances en matière de sanctions du CEPD

Un volume qui submerge la relecture manuelle

Les organisations du mid-market et les grandes entreprises gèrent des dizaines à des centaines de contrats de sous-traitance. Chacun doit être examiné individuellement au regard des exigences de l'article 28. Lorsque vous suivez vos contrats de sous-traitance dans des tableurs répartis entre plusieurs unités opérationnelles, les lacunes ne sont pas un risque — elles sont une certitude.

Résultat : un constructeur aéronautique a réduit de 60 % le temps administratif consacré à la conformité au cours de ses six premiers mois, en remplaçant le suivi manuel par une supervision automatisée des prestataires et des contrats.

Constructeur aéronautique — six premiers mois après la mise en œuvre

50 %+

des contrats de sous-traitance utilisent des descriptions de traitement vagues telles que « selon les besoins pour fournir le service » — un constat fréquent lors des audits des autorités de contrôle

La complexité multi-entités crée des angles morts

Différentes filiales peuvent agir en tant que responsables du traitement ou sous-traitants selon le flux de données, créant une matrice de contrats qu'aucune personne ne peut retenir mentalement. Un contrat de sous-traitance qui satisfait l'autorité de Hambourg peut ne pas répondre aux attentes spécifiques d'une autre autorité. Sans visibilité à l'échelle du groupe, vous gérez la conformité par fragments.

Résultat : Zurzach Care a atteint une couverture de 100 % de l'évaluation des risques liés aux prestataires sur l'ensemble de son organisation — éliminant les angles morts inhérents à une gestion décentralisée des contrats.

Zurzach Care — couverture complète des prestataires après la mise en œuvre

0 %

de taux de recertification — l'état habituel des cycles de révision des contrats de sous-traitance dans les organisations qui s'appuient sur des processus manuels

L'érosion de la recertification dégrade la conformité au fil du temps

Les contrats de sous-traitance sont signés puis archivés. Les activités de traitement évoluent — de nouveaux sous-traitants ultérieurs s'ajoutent, les catégories de données changent, les mécanismes de transfert expirent — mais les contrats qui prennent la poussière dans SharePoint, eux, n'évoluent pas. Depuis l'arrêt Schrems II, presque aucun contrat hérité ne prévoit d'obligations d'analyse d'impact des transferts. Ce n'est pas de la négligence. C'est la conséquence naturelle de la gestion de documents vivants avec des outils statiques.

Résultat : AXA est passée de révisions ponctuelles à un taux de recertification du registre des traitements de 100 % grâce à des workflows entièrement automatisés — garantissant que les contrats reflètent toujours les activités de traitement réelles.

AXA — taux de recertification de 100 %, entièrement automatisé

200+

Heures économisées sur la gestion du registre des traitements

Medtec a économisé plus de 200 heures de préparation à la certification ISO 27001 — un temps auparavant consacré à la documentation manuelle et à la préparation des audits dans l'ensemble de son programme de protection des données.

60%

Coût réduit par rapport aux plateformes traditionnelles

Un constructeur aéronautique a réduit de 60 % son temps administratif de conformité au cours de ses six premiers mois — avec une tarification prévisible fondée sur le nombre d'entités, sans pièges d'expansion par utilisateur.

3 mo

D'avance sur le calendrier de l'ISO 27001

Medtec a atteint sa préparation à l'audit trois mois avant le calendrier prévu, grâce aux dossiers de preuves intégrés et aux workflows de documentation automatisés de Priverion.

Priverion vs. OneTrust

Pourquoi les entreprises du mid-market font le changement

OneTrust s'adresse aux organisations du Fortune 500, avec un périmètre GRC plus large et des équipes de protection des données dédiées. Priverion a été conçu pour les organisations qui ont besoin d'une conformité de niveau entreprise sans la lourdeur qui l'accompagne.

L'acteur établi de l'entreprise

Ce que les équipes du mid-market nous disent à propos de OneTrust

  • La tarification par module grimpe vite.

    Ce qui commence comme un outil de registre des traitements devient un contrat à six chiffres dès que vous ajoutez la gestion des demandes des personnes concernées, la gestion des prestataires et les workflows d'incidents. Les frais par utilisateur se multiplient d'une filiale à l'autre.

  • L'hébergement aux États-Unis soulève des questions de transfert.

    Dans un monde post-Schrems II, héberger des données de conformité sur une infrastructure américaine crée précisément le risque de transfert transfrontalier que vous cherchez à maîtriser. Les options d'hébergement européen s'accompagnent d'une complexité supplémentaire.

  • Conçu pour le Fortune 500, pas pour le Mittelstand.

    La richesse fonctionnelle est impressionnante — mais la plupart des DPD du mid-market n'utilisent que 20 % de la plateforme et passent des mois en phase de mise en œuvre. La complexité devient un coût en soi.

  • Plus de 200 intégrations — mais combien utilisez-vous réellement ?

    Une vaste bibliothèque de connecteurs fait bonne impression en démonstration. En pratique, des intégrations superficielles génèrent une charge de maintenance et des problèmes de synchronisation des données qui retombent sur des équipes de conformité déjà sous tension.

  • ESG, lignes d'alerte éthique, consentement aux cookies inclus.

    Si vous avez besoin d'une méga-plateforme GRC couvrant tout, de l'ESG à la gestion des lanceurs d'alerte, OneTrust est un choix légitime. Mais si votre mission est la gestion du programme de protection des données, vous payez pour des modules que vous n'ouvrirez jamais.

Conçu pour la protection des données à l'échelle du groupe

Ce qui rend Priverion différent

  • Une tarification prévisible, sans pièges d'expansion.

    Une tarification fondée sur le nombre d'entités et la taille de l'organisation — pas par utilisateur ni par module. Ajoutez des collaborateurs dans vos filiales sans voir les coûts se multiplier. Toutes les fonctionnalités incluses dès le premier jour.

  • Souveraineté des données suisse garantie.

    Conçu et hébergé en Suisse. L'ensemble du traitement des données reste au sein de l'infrastructure suisse. La localisation européenne des données n'est pas une option premium — c'est notre architecture. Vos données de conformité ne traversent jamais l'Atlantique.

  • Opérationnel en quelques semaines, pas en plusieurs mois.

    Une plateforme ciblée signifie un déploiement plus rapide. Un constructeur aéronautique a réduit de 60 % son temps administratif de conformité au cours des six premiers mois — déploiement complet dans les filiales compris.

    D'après les résultats du client constructeur aéronautique, six premiers mois de déploiement

  • Des intégrations approfondies là où elles comptent.

    Nous nous intégrons en profondeur aux systèmes RH, achats et gestion des actifs informatiques — les workflows qui pilotent réellement la conformité en matière de protection des données. Pas de connecteurs superficiels qui cassent à chaque mise à jour.

  • Une gestion tout-en-un du programme de protection des données.

    Registre des traitements, AIPD/AIT, risque fournisseur, gestion des incidents, traitement des demandes des personnes concernées, préparation à l'AI Act, cartographie des données entre entités et tableaux de bord de conformité — dans une seule plateforme. Nous ne couvrons ni l'ESG ni le consentement aux cookies, car ce n'est pas notre mission. La protection des données, si.

En toute honnêteté : si vous êtes une entreprise mono-entité ou si vous avez besoin d'une suite GRC complète couvrant l'ESG, les lignes d'alerte éthique et le consentement aux cookies, nous ne sommes probablement pas le bon choix. Notre force, c'est la gestion du programme de protection des données à l'échelle du groupe pour les organisations comptant plusieurs entités et juridictions.

Réservez une démonstration de 30 min
Checklist gratuite

Checklist des exigences du contrat de sous-traitance selon le RGPD

Cessez de vous demander si vos contrats de sous-traitance répondent réellement à l'article 28. Cette checklist vous guide à travers chaque clause obligatoire — pour examiner les contrats de vos prestataires en quelques minutes, et non en quelques heures.

Ce qu'elle contient :

  • Les 12 éléments obligatoires de l'article 28(3) du RGPD, déclinés en exigences formulées en langage clair que vous pouvez vérifier sur tout contrat de prestataire
  • Une checklist des obligations relatives aux sous-traitants ultérieurs — les clauses que la plupart des organisations négligent et qui créent la plus forte exposition en cas d'audit
  • Les exigences de transfert transfrontalier rattachées à chaque clause du contrat de sous-traitance, y compris les points d'intégration des CCT post-Schrems II
  • Les signaux d'alerte qui révèlent qu'un contrat de sous-traitance d'un prestataire n'est qu'un modèle standard — et la formulation précise à négocier à la place

PDF gratuit. Sans démonstration requise. Nous vous l'envoyons par e-mail. Consultez notre déclaration de protection des données.

Cessez de gérer la conformité dans des tableurs

Votre programme de protection des données à l'échelle du groupe mérite 30 minutes de clarté

Découvrez comment des organisations comme un constructeur aéronautique ont réduit de 60 % leur temps administratif de conformité en six mois — grâce à la recertification automatisée du registre des traitements, aux AIPD assistées par l'IA et à la visibilité entre entités sur chaque filiale. Le tout conçu et hébergé en Suisse.

Des semaines, pas des mois

Délai de mise en service

Aucun frais par utilisateur

Tarification prévisible selon le nombre d'entités

100 % hébergé en Suisse

Localisation européenne des données garantie

Réservez une démonstration de 30 minutes

Sans argumentaire commercial. Une démonstration en direct adaptée à la structure de votre groupe et à vos priorités de conformité.

The Privacy Compliance Briefing

Chaque mois, des analyses sur l'application du RGPD, les évolutions de la nLPD et les stratégies d'automatisation pour les DPD et les équipes de conformité.

Pas de spam. Désabonnement à tout moment.