Le registre du sous-traitant est une obligation souvent meconnue du RGPD. En 2025, tout prestataire qui traite des donnees personnelles pour le compte d’un client doit tenir ce registre. Decouvrez vos obligations et un modele pratique pour le mettre en place.
Qu’est-ce que le registre du sous-traitant ?
Contrairement au registre du responsable de traitement (article 30.1 du RGPD), le registre du sous-traitant est prevu a l’article 30.2. Il recense toutes les categories de traitements realises pour le compte de vos clients. Si vous etes un prestataire informatique, un cabinet comptable, un hebergeur ou tout autre organisme qui manipule des donnees personnelles pour autrui, vous etes concerne.
Qui est concerne par cette obligation ?
Tout organisme agissant en qualite de sous-traitant au sens du RGPD doit tenir ce registre. Cela inclut les editeurs de logiciels SaaS, les prestataires de paie, les agences marketing, les hebergeurs cloud, les societes de maintenance informatique et les centres d’appel externalises. La taille de l’entreprise n’est pas un critere d’exemption : meme les TPE sous-traitantes sont concernees.
Contenu obligatoire du registre du sous-traitant
L’article 30.2 du RGPD impose d’y faire figurer : le nom et les coordonnees du sous-traitant et de chaque responsable de traitement pour lequel il agit, les categories de traitements effectues, les transferts de donnees hors UE le cas echeant, et une description generale des mesures de securite techniques et organisationnelles. Ce registre doit etre tenu par ecrit, y compris sous forme electronique.
Difference avec le registre du responsable de traitement
Le registre du responsable de traitement (article 30.1) est plus detaille : il inclut les finalites, les bases legales, les durees de conservation et les categories de personnes concernees. Le registre du sous-traitant est plus synthetique car le sous-traitant n’est pas maitre des finalites. Cependant, si vous etes a la fois responsable de traitement pour certaines activites (gestion de votre propre personnel par exemple) et sous-traitant pour d’autres, vous devez tenir les deux registres.
Modele de registre du sous-traitant
Voici les colonnes essentielles de votre registre : nom du client (responsable de traitement), categories de traitements realises (hebergement, maintenance, envoi d’emails…), description des mesures de securite, existence de sous-traitants ulterieurs, transferts hors UE. Vous pouvez organiser ce registre sous forme de tableau avec une ligne par client ou par categorie de prestation.
Bonnes pratiques pour tenir son registre
Mettez a jour votre registre a chaque nouveau contrat de sous-traitance. Verifiez regulierement que les mesures de securite decrites correspondent a la realite. Conservez les contrats de sous-traitance (DPA) en lien avec chaque entree du registre. Formez vos equipes a identifier les situations ou vous agissez en qualite de sous-traitant pour ne manquer aucun traitement.
Sanctions en cas d’absence de registre
L’absence de registre du sous-traitant expose a des sanctions de la CNIL pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Au-dela des amendes, c’est un element systematiquement verifie lors des controles de la CNIL. Ne pas avoir de registre est souvent le premier signe d’une non-conformite plus large.
Conclusion
Le registre du sous-traitant est une obligation incontournable pour tout prestataire manipulant des donnees personnelles. En 2025, sa tenue rigoureuse est un gage de professionnalisme et de confiance aupres de vos clients. Utilisez le modele propose pour demarrer rapidement et pensez a le maintenir a jour tout au long de vos relations commerciales.
