Votre client, votre donneur d’ordre ou un partenaire commercial vous demande une attestation de conformité RGPD ? Vous n’êtes pas seul. Depuis l’entrée en vigueur du RGPD en 2018, cette demande est devenue un standard dans les relations commerciales. Mais attention : entre attestation, certification et simple déclaration sur l’honneur, la confusion règne. Ce guide, rédigé par un DPO en exercice, fait le point sur tout ce que vous devez savoir et surtout, sur ce que vous devez éviter.
Qu’est-ce qu’une attestation RGPD ?
Une attestation RGPD est un document formel qui atteste du niveau de conformité d’un organisme au Règlement Général sur la Protection des Données. Concrètement, elle décrit les mesures mises en place par l’organisme pour protéger les données personnelles qu’il traite : registre des traitements, politique de confidentialité, gestion des droits des personnes, mesures de sécurité, etc.
Ce document sert de preuve documentaire dans le cadre de l’obligation de responsabilité (accountability) prévue à l’article 5.2 du RGPD. Il permet de démontrer à vos clients, partenaires, prospects ou autorités de contrôle que vous prenez au sérieux la protection des données personnelles et que vous avez engagé une démarche structurée de conformité.
Il est essentiel de comprendre que l’attestation RGPD n’est pas un label ni un certificat délivré par la CNIL. C’est un document d’évaluation professionnelle qui reflète l’état de conformité constaté à une date donnée, sur un périmètre défini.
Qui peut délivrer une attestation RGPD ?
C’est sans doute la question qui génère le plus de confusion. Contrairement à ce que certains sites affirment, l’attestation de conformité RGPD n’est pas signée par le dirigeant de l’entreprise. Elle est rédigée et signée par le Délégué à la Protection des Données (DPO), qu’il soit interne ou externalisé.
Pourquoi le DPO et pas le dirigeant ?
Le DPO agit en toute indépendance et impartialité, conformément aux articles 37 à 39 du RGPD. Sa mission inclut explicitement le contrôle du respect du règlement (article 39.1.b). C’est précisément cette indépendance qui donne sa valeur à l’attestation : elle n’est pas une auto-déclaration complaisante du dirigeant, mais une évaluation professionnelle par un tiers qualifié.
Un dirigeant qui signe lui-même son attestation de conformité RGPD, c’est comme un élève qui corrigerait son propre examen. Le document perd toute crédibilité.
Les différents émetteurs possibles
L’attestation peut être établie par trois types de professionnels, selon la situation de l’organisme :
Le DPO interne désigné est un collaborateur de l’entreprise officiellement déclaré auprès de la CNIL. Il dispose d’une connaissance fine de l’organisme mais doit veiller à préserver son indépendance vis-à-vis de sa hiérarchie.
Le DPO externalisé est un prestataire spécialisé désigné par l’organisme et déclaré auprès de la CNIL. Son regard extérieur et son expertise multi-clients renforcent la crédibilité de l’attestation. C’est souvent la solution privilégiée par les TPE, PME et structures spécialisées (santé, collectivités, etc.).
Un cabinet de conseil en conformité RGPD peut également établir une attestation dans le cadre d’une mission d’audit, même sans être désigné comme DPO, à condition de disposer de l’expertise nécessaire.
Attestation RGPD : est-elle obligatoire ?
Soyons clairs : le RGPD ne prévoit pas expressément l’obligation de produire une attestation de conformité. Ce que le RGPD impose, c’est le principe d’accountability (article 5.2) : l’organisme doit être en mesure de démontrer sa conformité à tout moment.
L’attestation RGPD est donc l’un des moyens et le plus courant de répondre à cette obligation de démonstration. Dans la pratique, elle est devenue quasi incontournable dans plusieurs situations :
Dans les appels d’offres publics et privés, de plus en plus de donneurs d’ordre exigent une preuve de conformité RGPD comme critère de sélection. Sans attestation, votre candidature peut être écartée d’office.
Dans les relations sous-traitant / responsable de traitement, l’article 28 du RGPD impose au responsable de traitement de s’assurer que ses sous-traitants présentent des garanties suffisantes. L’attestation est le document qui répond à cette exigence.
Lors d’un contrôle CNIL, bien qu’elle ne soit pas obligatoire en tant que telle, l’attestation fait partie de la documentation de conformité que la CNIL peut demander. Disposer de ce document démontre une démarche proactive.
Pour rassurer vos clients, dans des secteurs sensibles comme la santé, l’éducation, les ressources humaines ou la finance, vos clients attendent une preuve concrète de votre engagement en matière de protection des données.
En résumé : l’attestation n’est pas légalement obligatoire, mais dans les faits, ne pas en disposer vous place dans une position de faiblesse commerciale et juridique.
Quelle différence entre attestation RGPD et certification RGPD ?
C’est une distinction fondamentale que beaucoup de sites confondent (à dessein, parfois, pour vendre des prestations inutiles).
L’attestation RGPD
L’attestation est un document établi par un DPO ou un expert RGPD. Elle évalue la conformité d’un organisme à un instant T, sur la base d’un audit ou d’une revue documentaire. Elle est établie sous la responsabilité professionnelle de son signataire, n’a pas de cadre normatif imposé et sa durée de validité est définie par le DPO (généralement 12 mois). Elle peut être produite rapidement et à moindre coût.
La certification RGPD
La certification, prévue à l’article 42 du RGPD, est un mécanisme formel délivré par un organisme certificateur accrédité par la CNIL ou le COFRAC. Elle repose sur un référentiel précis (comme le référentiel de certification des sous-traitants publié par la CNIL en 2025, comportant 90 critères), fait l’objet d’un audit approfondi, et est valable 3 ans avec des audits de surveillance. Son coût est nettement plus élevé.
En résumé
Pour la majorité des organismes, l’attestation du DPO suffit largement à répondre aux attentes commerciales et réglementaires. La certification s’adresse principalement aux sous-traitants qui traitent des volumes importants de données pour le compte de tiers et qui souhaitent se démarquer dans un contexte concurrentiel.
Que doit contenir une attestation RGPD ?
Une attestation de conformité RGPD crédible et complète doit couvrir les éléments suivants.
Identification et cadre
L’attestation doit identifier clairement le DPO signataire (nom, qualité, référence de désignation auprès de la CNIL), l’organisme évalué (raison sociale, SIRET, activité), le périmètre de l’évaluation (l’ensemble de l’organisme ou un périmètre restreint), la période couverte et la méthodologie utilisée (audit sur site, revue documentaire, entretiens, tests techniques).
Les points de conformité évalués
Une attestation sérieuse doit couvrir au minimum les grands piliers de la conformité RGPD. Il s’agit du registre des activités de traitement (article 30), de la désignation et des missions du DPO (articles 37-39), de l’information des personnes concernées (articles 12-14), des procédures d’exercice des droits (articles 15-22), des mesures de sécurité techniques et organisationnelles (article 32), de la gestion des sous-traitants et des contrats (article 28), des analyses d’impact (AIPD) pour les traitements à risque (article 35), de la procédure de notification des violations de données (articles 33-34) et de la sensibilisation et formation du personnel.
Le constat et les réserves
Le DPO doit formuler un constat clair : l’organisme est-il conforme, partiellement conforme, ou non conforme ? Les éventuelles réserves et recommandations doivent être mentionnées. C’est précisément cette transparence qui donne toute sa valeur au document.
Mentions obligatoires
L’attestation doit comporter la date d’émission, la durée de validité, la mention explicite que le document reflète l’évaluation indépendante du DPO et qu’il est établi sur la base des éléments portés à sa connaissance, ainsi que la signature du DPO.
Modèle d’attestation RGPD
Voici la structure type d’une attestation de conformité RGPD professionnelle :
ATTESTATION DE CONFORMITÉ AU RGPD
Attestation établie conformément aux articles 5.2 et 39.1.b du Règlement (UE) 2016/679
Je soussigné(e), [Nom du DPO], agissant en qualité de Délégué à la Protection des Données [interne / externalisé] de [Nom de l’organisme], désigné auprès de la CNIL le [date de désignation],
Suite à ma mission d’évaluation de la conformité réalisée du [date début] au [date fin], portant sur [périmètre : l’ensemble des traitements / les traitements liés à l’activité X],
ATTESTE QUE :
L’organisme [Nom], immatriculé sous le numéro [SIRET], a mis en œuvre les mesures suivantes, conformément aux exigences du Règlement Général sur la Protection des Données :
1. Gouvernance des données personnelles
- Un DPO a été désigné et déclaré auprès de la CNIL
- Un registre des activités de traitement est tenu et à jour
- Les bases légales des traitements sont identifiées et documentées
2. Droits des personnes
- Les personnes concernées sont informées conformément aux articles 12 à 14 du RGPD
- Des procédures permettent de répondre aux demandes d’exercice de droits dans les délais réglementaires
- Une politique de confidentialité est publiée et accessible
3. Sécurité des données
- Des mesures de sécurité techniques et organisationnelles appropriées sont en place
- Une procédure de gestion des violations de données est formalisée
- [Le cas échéant : une analyse d’impact a été réalisée pour les traitements identifiés à risque]
4. Relations avec les sous-traitants
- Les contrats avec les sous-traitants comportent les clauses prévues à l’article 28 du RGPD
- [Le cas échéant : les transferts hors UE sont encadrés par des garanties appropriées]
5. Sensibilisation
- Le personnel a été sensibilisé aux enjeux de la protection des données
Réserves éventuelles : [Le cas échéant : Des axes d’amélioration ont été identifiés et font l’objet d’un plan d’action, notamment : …]
La présente attestation est établie sur la base des éléments portés à ma connaissance et des vérifications effectuées dans le cadre de ma mission. Elle reflète mon évaluation indépendante et ne constitue pas une certification au sens de l’article 42 du RGPD. Elle est valable jusqu’au [date], sous réserve que les conditions ayant permis sa délivrance soient maintenues.
Fait à [Ville], le [Date]
[Signature du DPO] [Nom du DPO] Délégué à la Protection des Données Contact : [email professionnel]
Comment obtenir une attestation RGPD ?
L’obtention d’une attestation de conformité suit un processus logique en quatre étapes.
Étape 1 : Désigner un DPO
Si votre organisme ne dispose pas encore d’un DPO, c’est la première démarche à entreprendre. Le DPO peut être un collaborateur interne formé à la protection des données, ou un prestataire externalisé. Dans les deux cas, sa désignation doit être déclarée auprès de la CNIL.
Pour de nombreuses structures (TPE, PME, associations, professions libérales), le DPO externalisé est la solution la plus pertinente : elle offre une expertise immédiate sans nécessiter de recrutement ni de formation longue.
Étape 2 : Réaliser un audit de conformité
Avant de pouvoir attester de quoi que ce soit, le DPO doit évaluer l’état réel de votre conformité. Cet audit couvre l’ensemble des obligations du RGPD et permet d’identifier les écarts entre votre situation actuelle et les exigences réglementaires.
L’audit peut être rapide (quelques jours pour une structure simple) ou plus approfondi (plusieurs semaines pour un organisme traitant des données sensibles ou des volumes importants).
Étape 3 : Mettre en conformité
Si l’audit révèle des écarts significatifs ce qui est le cas pour la grande majorité des organismes il faut d’abord y remédier avant de pouvoir obtenir une attestation crédible. Les actions de mise en conformité les plus courantes sont la création ou mise à jour du registre des traitements, la rédaction de la politique de confidentialité, la mise en place des procédures d’exercice des droits, la révision des contrats sous-traitants (clauses article 28), la réalisation des analyses d’impact nécessaires et la sensibilisation des équipes.
Un DPO expérimenté vous accompagne dans ces démarches et priorise les actions selon le niveau de risque.
Étape 4 : Délivrance de l’attestation
Une fois la conformité établie ou une conformité suffisante avec un plan d’action documenté pour les points restants le DPO rédige et signe l’attestation. Ce document est alors opposable et peut être transmis à vos clients, partenaires et donneurs d’ordre.
Quelle est la durée de validité d’une attestation RGPD ?
Il n’existe pas de règle légale fixant la durée de validité d’une attestation RGPD. En pratique, la durée standard est de 12 mois. Ce délai correspond au rythme annuel de revue de conformité recommandé par la CNIL et pratiqué par la plupart des DPO.
Au-delà de cette périodicité, l’attestation devrait être révisée ou reconduite dans certaines situations : changement significatif dans les traitements de données (nouveau logiciel, nouveau service, nouvelle activité), incident de sécurité ou violation de données, évolution réglementaire majeure, changement de sous-traitant critique, ou restructuration de l’organisme.
Une attestation datant de plus de 12 mois sans renouvellement perd progressivement sa crédibilité auprès de vos interlocuteurs.
Combien coûte une attestation RGPD ?
Le coût d’une attestation RGPD dépend directement de votre situation de départ.
Si vous êtes déjà en conformité et que vous disposez d’un DPO en place, l’attestation peut être délivrée dans le cadre de la mission courante du DPO, sans surcoût significatif. Il s’agit alors d’un livrable inclus dans la prestation annuelle de DPO externalisé ou dans les missions du DPO interne.
Si vous partez de zéro, le coût englobe l’audit initial, les travaux de mise en conformité et la rédaction de l’attestation. Selon la taille et la complexité de votre organisme, il faut compter de quelques centaines d’euros pour une TPE avec des traitements simples, à plusieurs milliers d’euros pour une structure plus importante ou traitant des données sensibles.
Attention aux offres trop alléchantes : une « attestation RGPD » vendue 50 € en ligne sans audit ni évaluation réelle n’a strictement aucune valeur. C’est un bout de papier qui ne vous protégera pas en cas de contrôle CNIL ou de litige avec un client.
Les erreurs fréquentes à éviter
Plusieurs erreurs reviennent régulièrement lorsque des organismes cherchent à obtenir une attestation RGPD.
Confondre attestation et auto-déclaration. Faire signer une attestation par le dirigeant sans intervention d’un DPO ou d’un expert, c’est produire un document sans valeur probante. L’attestation tire sa crédibilité de l’indépendance de son signataire.
Télécharger un modèle vierge et le remplir soi-même. Internet regorge de modèles d’attestation RGPD « prêts à remplir ». Le problème : sans audit préalable, vous attestez de choses que vous n’avez pas vérifiées. En cas de contrôle ou d’incident, ce document se retournera contre vous.
Croire qu’une attestation remplace la conformité. L’attestation est un constat, pas un bouclier magique. Si votre registre des traitements n’existe pas, si vous n’avez pas de politique de confidentialité, si vos contrats sous-traitants ne sont pas conformes une attestation ne changera rien à votre exposition juridique.
Confondre attestation et certification. L’attestation du DPO et la certification CNIL (article 42) sont deux choses très différentes. Certains prestataires entretiennent volontairement cette confusion pour justifier des tarifs excessifs.
Négliger le renouvellement. Une attestation de 2020 ne vaut plus rien en 2026. La conformité RGPD est un processus continu, pas un événement ponctuel.
Attestation RGPD pour les sous-traitants : un cas particulier
Si vous êtes sous-traitant au sens du RGPD (vous traitez des données personnelles pour le compte de vos clients), l’attestation revêt une importance stratégique particulière.
L’article 28 du RGPD impose à vos clients (responsables de traitement) de vérifier que vous présentez des « garanties suffisantes ». Concrètement, cela signifie que vos clients ont l’obligation légale de s’assurer de votre conformité et l’attestation est le document qui leur permet de s’en acquitter.
Disposer d’une attestation à jour vous donne un avantage commercial évident : vous rassurez vos clients existants, vous facilitez la signature de nouveaux contrats, vous vous positionnez favorablement dans les appels d’offres et vous anticipez les audits de conformité que vos clients pourraient vous demander.
Pour aller plus loin, la CNIL a publié en 2025 un référentiel de certification spécifique aux sous-traitants, comportant 90 critères de contrôle. Bien que cette certification ne soit pas obligatoire, elle représente le niveau le plus élevé de garantie pour vos clients.
FAQ : les questions les plus fréquentes sur l’attestation de conformité RGPD
L’attestation RGPD est-elle obligatoire ?
Non, le RGPD n’impose pas explicitement la production d’une attestation. En revanche, le principe d’accountability (article 5.2) vous oblige à pouvoir démontrer votre conformité. L’attestation est le moyen le plus courant et le plus efficace d’y répondre. Dans les faits, elle est devenue un document commercial quasi incontournable.
Qui signe l’attestation RGPD ?
L’attestation doit être signée par le DPO (interne ou externalisé) ou par un expert en conformité RGPD qui a réalisé l’évaluation. Elle ne doit jamais être signée par le dirigeant seul, car cela revient à une auto-déclaration sans valeur probante.
Quelle est la différence entre une attestation et une certification RGPD ?
L’attestation est établie par un DPO et reflète son évaluation indépendante de la conformité. La certification est délivrée par un organisme accrédité, sur la base d’un référentiel formel (90 critères pour les sous-traitants), pour une durée de 3 ans. L’attestation est plus accessible et suffit dans la majorité des cas.
Combien de temps faut-il pour obtenir une attestation RGPD ?
Si votre organisme est déjà en conformité, l’attestation peut être établie en quelques jours. Si des travaux de mise en conformité sont nécessaires, comptez entre 2 et 8 semaines selon la complexité de votre structure.
L’attestation RGPD a-t-elle une valeur juridique ?
L’attestation n’a pas de valeur légale au sens d’une certification. En revanche, elle constitue un élément de preuve de votre démarche de conformité. En cas de contrôle CNIL ou de litige, elle démontre votre bonne foi et votre engagement. À l’inverse, l’absence de toute documentation de conformité est un facteur aggravant.
Mon entreprise est petite, ai-je besoin d’une attestation RGPD ?
Le RGPD s’applique à tous les organismes, quelle que soit leur taille, dès lors qu’ils traitent des données personnelles. Même une TPE ou un auto-entrepreneur peut être amené à produire une attestation, par exemple pour répondre à la demande d’un client ou d’un donneur d’ordre.
Peut-on obtenir une attestation RGPD en ligne ?
Méfiez-vous des sites proposant de générer une attestation RGPD en remplissant un formulaire. Sans audit ni évaluation réelle de votre conformité, ce type de document est un leurre qui peut même se retourner contre vous : il laisse croire que vous êtes conforme alors que vous ne l’êtes peut-être pas.
L’attestation RGPD protège-t-elle des sanctions de la CNIL ?
Non. L’attestation n’est pas une immunité. En revanche, disposer d’une documentation de conformité structurée (dont l’attestation fait partie) est un élément que la CNIL prend en compte dans la détermination d’éventuelles sanctions. Une entreprise qui a engagé une démarche sérieuse sera toujours mieux traitée qu’une entreprise qui n’a rien fait.
Vous avez besoin d’une attestation RGPD ?
La démarche est plus simple que vous ne le pensez à condition d’être accompagné par un professionnel.
DPO Partage accompagne depuis 2018 des centaines d’organismes dans leur conformité RGPD : entreprises, sous-traitants, services de santé au travail, collectivités territoriales, associations, comités sociaux et économiques.
Notre approche en 3 étapes :
1. Diagnostic gratuit : Nous évaluons votre situation en 30 minutes et identifions vos priorités.
2. Mise en conformité accompagnée : Nous construisons ensemble votre documentation RGPD : registre des traitements, politique de confidentialité, procédures, contrats, sensibilisation.
3. Attestation de conformité : Votre DPO externalisé désigné rédige et signe votre attestation, opposable à vos clients et partenaires.
Contactez-nous dès aujourd’hui :
- Téléphone : 01 83 64 42 98
- Email : contact@dpo-partage.fr
- En ligne : [Demander un diagnostic gratuit →]
DPO FRANCE est le premier réseau français de DPO externalisés spécialisés en données de santé et données sensibles. Plus de 150 organismes nous font confiance.
