Mon agence web est-elle sous-traitant au sens du RGPD ?

Oui, dès lors qu'elle traite des données personnelles pour votre compte (hébergement, maintenance d'un site e-commerce, gestion de formulaires, envoi de newsletters…), une agence web est considérée comme sous-traitant au sens de l'article 28 du RGPD. Elle doit alors respecter des obligations spécifiques et un contrat de sous-traitance doit être signé entre les deux parties.

Qui est responsable en cas de fuite de données sur mon site web ?

La responsabilité dépend de l'origine de la fuite. Le responsable de traitement (le client) reste le premier garant de la protection des données. Toutefois, si la fuite résulte d'une négligence du sous-traitant (agence web) — par exemple un défaut de mise à jour de sécurité — celui-ci peut être tenu co-responsable et sanctionné directement par la CNIL. Le contrat de sous-traitance doit préciser les obligations de chacun et les procédures de notification.

RGPD et sous-traitants web : responsabilités de l'agence et du client

Introduction : le RGPD, un enjeu partagé entre client et agence web

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) a transformé la relation entre les entreprises et leurs prestataires numériques. Pourtant, en 2024, plus de 60 % des PME françaises déclaraient ne pas avoir formalisé de contrat de sous-traitance conforme à l’article 28 du RGPD avec leur agence web (source : baromètre CNIL/IFOP 2023).

Ce flou juridique est risqué. Quand un client confie la création, l’hébergement ou la maintenance de son site internet à une agence, les deux parties portent des responsabilités distinctes mais complémentaires en matière de protection des données personnelles.

Qui est responsable de quoi ? Quel contrat signer ? Quelles sanctions en cas de manquement ? Cet article fait le point, avec des exemples concrets et des outils directement applicables.

Responsable de traitement vs sous-traitant : qui est qui ?

Le client : responsable de traitement

Au sens du RGPD (article 4), le responsable de traitement est la personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles.

Concrètement, si vous êtes une entreprise qui possède un site e-commerce, c’est vous qui décidez :

Quelles données collecter (nom, email, adresse, historique d’achats…)
Pourquoi les collecter (traitement de commandes, marketing, fidélisation…)
Combien de temps les conserver

Vous êtes donc responsable de traitement, même si vous ne touchez jamais au code du site.

L’agence web : sous-traitant

L’agence web qui développe, héberge ou maintient votre site traite des données personnelles pour votre compte. Elle est donc sous-traitant au sens de l’article 28 du RGPD.

Exemples de traitements réalisés par une agence web :

Hébergement d’une base de données clients sur un serveur
Mise en place et gestion de formulaires de contact ou d’inscription newsletter
Maintenance d’un site PrestaShop contenant des données de commande
Configuration de Google Analytics ou d’un outil de tracking
Envoi d’emails transactionnels via un outil tiers (Mailchimp, Brevo…)

Chez Lueur Externe, agence web basée dans les Alpes-Maritimes et certifiée Prestashop, cette distinction est systématiquement clarifiée dès le début de chaque projet. C’est le socle d’une relation de confiance et de conformité.

Tableau récapitulatif des rôles

Critère	Responsable de traitement (Client)	Sous-traitant (Agence web)
Détermine les finalités du traitement	✅ Oui	❌ Non
Détermine les moyens du traitement	✅ Oui (moyens essentiels)	⚠️ Partiellement (moyens techniques)
Traite les données pour son propre compte	✅ Oui	❌ Non (pour le compte du client)
Doit tenir un registre des traitements	✅ Oui	✅ Oui (registre des catégories d’activités)
Doit notifier la CNIL en cas de violation	✅ Oui (dans les 72h)	✅ Oui (notification au client sans délai)
Peut être sanctionné par la CNIL	✅ Oui	✅ Oui

Les obligations de l’agence web en tant que sous-traitant

Le RGPD ne se contente pas d’imposer des obligations au responsable de traitement. L’article 28 liste précisément ce que le sous-traitant doit garantir.

1. Ne traiter les données que sur instruction documentée du client

L’agence web ne peut pas utiliser les données personnelles collectées via le site de son client à ses propres fins. Par exemple, elle ne peut pas récupérer une base d’adresses email pour envoyer sa propre newsletter commerciale.

2. Garantir la confidentialité

Tous les collaborateurs de l’agence ayant accès aux données doivent être soumis à une obligation de confidentialité (contractuelle ou légale). Cela inclut les développeurs, les intégrateurs, les chefs de projet.

3. Mettre en œuvre des mesures de sécurité appropriées

L’article 32 du RGPD exige des mesures techniques et organisationnelles adaptées au risque :

Chiffrement des données en transit (SSL/TLS) et au repos
Contrôle des accès (authentification forte, gestion des droits)
Sauvegardes régulières et testées
Mises à jour de sécurité des CMS (WordPress, PrestaShop…)
Journalisation des accès aux données

4. Ne pas faire appel à un autre sous-traitant sans autorisation

Si votre agence web utilise un hébergeur tiers (OVH, AWS, Scaleway…) ou un outil SaaS (Mailchimp, Sendinblue…), elle doit obtenir votre autorisation écrite préalable — générale ou spécifique — et vous informer de tout changement.

C’est un point souvent négligé. En pratique, la chaîne de sous-traitance peut être longue :

Client → Agence web → Hébergeur cloud (AWS) → CDN (Cloudflare) → Service d’emailing (Brevo)

Chaque maillon doit être couvert par un contrat conforme.

5. Assister le client dans ses obligations

L’agence web doit aider le client à :

Répondre aux demandes d’exercice des droits (accès, rectification, suppression…)
Réaliser des analyses d’impact (AIPD) si nécessaire
Notifier les violations de données à la CNIL

6. Supprimer ou restituer les données en fin de contrat

À la fin de la prestation, l’agence doit, au choix du client, supprimer toutes les données personnelles ou les lui restituer, puis détruire les copies existantes.

Les obligations du client en tant que responsable de traitement

Le client n’est pas dégagé de toute responsabilité parce qu’il fait appel à un professionnel. Bien au contraire.

Choisir un sous-traitant offrant des garanties suffisantes

L’article 28(1) du RGPD est clair : le responsable de traitement ne fait appel qu’à des sous-traitants présentant des garanties suffisantes. Cela implique de vérifier :

Les certifications et compétences techniques de l’agence
Sa politique de sécurité
Sa capacité à répondre aux exigences du RGPD
La localisation de ses serveurs (UE vs hors UE)

Donner des instructions documentées

Le client doit formaliser par écrit les instructions de traitement : quelles données, pour quelles finalités, quelles durées de conservation. Un simple brief oral ne suffit pas.

Mettre en place un contrat de sous-traitance conforme

C’est l’obligation la plus concrète et celle qui fait le plus souvent défaut.

Le contrat de sous-traitance : pièce maîtresse de la conformité

Pourquoi est-il obligatoire ?

L’article 28(3) du RGPD impose que la relation entre le responsable de traitement et le sous-traitant soit régie par un contrat (ou un acte juridique) contenant un certain nombre de clauses obligatoires.

Sans ce contrat, les deux parties sont en infraction. La CNIL a déjà sanctionné des entreprises pour cette seule raison.

Les clauses obligatoires

Voici les clauses que doit contenir un contrat de sous-traitance conforme à l’article 28 :

## Clauses obligatoires du contrat de sous-traitance (Art. 28 RGPD)

1. **Objet et durée du traitement**
   - Description du traitement, durée, nature et finalité

2. **Type de données personnelles traitées**
   - Ex : nom, prénom, email, adresse IP, données de commande…

3. **Catégories de personnes concernées**
   - Ex : clients, prospects, utilisateurs du site, salariés…

4. **Obligations du sous-traitant**
   a. Traiter les données uniquement sur instruction documentée du client
   b. Garantir la confidentialité
   c. Prendre les mesures de sécurité de l'article 32
   d. Ne pas recruter d'autre sous-traitant sans autorisation
   e. Assister le client pour répondre aux demandes d'exercice des droits
   f. Assister le client pour la notification de violations
   g. Supprimer ou restituer les données en fin de contrat
   h. Mettre à disposition les informations nécessaires pour les audits

5. **Obligations du responsable de traitement**
   a. Fournir des instructions documentées
   b. Vérifier la conformité du sous-traitant

6. **Sort des données en fin de contrat**
   - Suppression ou restitution, au choix du client

7. **Liste des sous-traitants ultérieurs autorisés**
   - Avec localisation et nature du traitement

Erreurs fréquentes à éviter

Intégrer les clauses RGPD dans les CGV sans détail suffisant : la CNIL exige un document spécifique ou un annexe dédiée.
Oublier la liste des sous-traitants ultérieurs : hébergeur, CDN, outil d’analytics, service d’emailing… Tous doivent être listés.
Ne pas prévoir de procédure de notification de violation : en cas de faille, chaque heure compte. Le contrat doit définir un point de contact et un délai de notification (idéalement inférieur à 24h).

Cas concrets : quand la responsabilité est engagée

Exemple 1 : site PrestaShop non mis à jour

Une boutique en ligne sous PrestaShop subit une attaque par injection SQL. Les données de 15 000 clients sont compromises (noms, emails, adresses, historiques de commande).

Qui est responsable ?

Si le contrat de maintenance prévoit que l’agence doit appliquer les mises à jour de sécurité et qu’elle ne l’a pas fait → l’agence est co-responsable.
Si le client a refusé la maintenance proposée par l’agence pour des raisons budgétaires → le client porte la responsabilité principale.

Dans les deux cas, le client doit notifier la CNIL dans les 72 heures et informer les personnes concernées si le risque est élevé.

Exemple 2 : plugin WordPress non conforme

Une agence installe un plugin de formulaire de contact qui envoie les données vers un serveur situé aux États-Unis, sans garanties de transfert adéquates (pas de clauses contractuelles types, pas de certification Data Privacy Framework).

Qui est responsable ?

L’agence, en tant qu’experte technique, a un devoir de conseil. Elle aurait dû vérifier la conformité du plugin et alerter le client. Le client, de son côté, aurait dû s’assurer que son sous-traitant présente des garanties suffisantes.

Résultat : responsabilité partagée, avec un risque accru pour l’agence sur le terrain du devoir de conseil.

Exemple 3 : absence de contrat de sous-traitance

La CNIL contrôle un e-commerçant. Aucun contrat de sous-traitance n’a été signé avec l’agence web qui gère le site. Sanction : mise en demeure publique avec un délai de 3 mois pour se mettre en conformité. En cas de récidive, amende administrative.

En janvier 2024, la CNIL a infligé une amende de 310 000 euros à une société française, notamment pour absence de contrat de sous-traitance avec ses prestataires techniques.

Les sanctions : un risque financier et réputationnel majeur

Le RGPD prévoit deux niveaux de sanctions administratives :

Niveau	Montant maximum	Infractions concernées
Niveau 1	10 M€ ou 2 % du CA mondial	Obligations du sous-traitant (art. 28), sécurité (art. 32), registre des traitements
Niveau 2	20 M€ ou 4 % du CA mondial	Principes fondamentaux, droits des personnes, transferts hors UE

Mais au-delà des amendes, c’est la publicité de la sanction qui fait le plus mal. La CNIL publie systématiquement ses décisions sur son site, et les médias relaient largement les plus significatives.

Pour une PME ou un e-commerçant, une sanction publique peut entraîner :

Une perte de confiance des clients
Un impact négatif sur le référencement (les articles de presse négatifs se positionnent bien sur Google…)
Des ruptures de partenariats commerciaux

Bonnes pratiques : construire une relation conforme

Voici une checklist opérationnelle pour sécuriser la relation client/agence web au regard du RGPD :

Pour le client (responsable de traitement)

✅ Vérifier les certifications et références de l’agence avant de signer
✅ Exiger un contrat de sous-traitance conforme à l’article 28
✅ Documenter les instructions de traitement par écrit
✅ Demander la liste complète des sous-traitants ultérieurs
✅ Prévoir un droit d’audit
✅ Désigner un point de contact RGPD en interne

Pour l’agence web (sous-traitant)

✅ Proposer systématiquement un contrat de sous-traitance à chaque client
✅ Tenir un registre des activités de traitement (article 30)
✅ Documenter les mesures de sécurité mises en œuvre
✅ Former les équipes à la protection des données
✅ Mettre en place une procédure interne de gestion des violations
✅ Réaliser une veille régulière sur les recommandations de la CNIL

Chez Lueur Externe, ces pratiques sont intégrées dans chaque projet depuis plusieurs années. En tant qu’agence certifiée Prestashop et AWS Solutions Architect, la maîtrise des enjeux de sécurité et de conformité fait partie de notre ADN technique.

Le devoir de conseil de l’agence web : une obligation juridique française

Au-delà du RGPD, le droit français impose aux prestataires informatiques un devoir de conseil renforcé. La jurisprudence est constante sur ce point : l’agence web, en tant que professionnelle, doit alerter son client sur les risques liés à la protection des données, même si celui-ci ne pose pas la question.

Ce devoir couvre notamment :

Le choix des outils et plugins (conformité des transferts de données)
La configuration des cookies et du consentement
Les durées de conservation des données
La sécurisation des accès à l’interface d’administration

Un client qui n’a pas été informé par son agence pourra se retourner contre elle en cas de sanction CNIL, sur le fondement du manquement au devoir de conseil. C’est un risque juridique que toute agence sérieuse doit anticiper.

Transferts de données hors UE : un piège fréquent

Beaucoup d’agences web utilisent des outils dont les serveurs sont situés aux États-Unis ou dans d’autres pays tiers :

Google Analytics (serveurs US)
Mailchimp (serveurs US)
Cloudflare (réseau mondial)
Certains plugins WordPress avec télémétrie

Depuis l’arrêt Schrems II (juillet 2020) et malgré l’adoption du EU-US Data Privacy Framework en juillet 2023, la vigilance reste de mise. L’agence web doit :

Identifier tous les flux de données hors UE
Vérifier l’existence d’une décision d’adéquation ou de clauses contractuelles types
Documenter l’analyse de risque (Transfer Impact Assessment)
Informer le client et obtenir son accord

Lueur Externe, en tant que spécialiste certifiée AWS Solutions Architect, maîtrise particulièrement ces problématiques de localisation des données et accompagne ses clients dans le choix d’infrastructures conformes, privilégiant les hébergements en région EU (Paris, Francfort) quand les exigences réglementaires l’imposent.

Conclusion : la conformité RGPD, un effort conjoint

La conformité RGPD n’est pas l’affaire du client seul, ni de l’agence web seule. C’est un engagement partagé, formalisé par un contrat clair, alimenté par une communication régulière et soutenu par des compétences techniques solides.

Les sanctions financières sont dissuasives, mais le véritable enjeu est ailleurs : il s’agit de construire une relation de confiance avec vos utilisateurs et vos clients. Un site web conforme au RGPD, c’est un site qui respecte ses visiteurs — et ça, Google comme vos clients le valorisent.

Vous n’êtes pas sûr que votre site web et vos contrats sont conformes au RGPD ? Faites le point avec une agence qui maîtrise les enjeux techniques et juridiques. Contactez Lueur Externe pour un audit personnalisé de votre conformité RGPD et de votre infrastructure web.