Réglementation 13 juin 2026 ⏱️ 10 min min de lecture

RGPD : l'hébergeur, sous-traitant au sens de l'article 28 — le guide complet

Vous ne « louez » pas seulement du serveur : vous traitez des données pour le compte de vos clients. Cette qualification juridique vous impose une douzaine d'obligations précises — et un risque financier majeur en cas de manquement.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

L'hébergeur web est, par nature, sous-traitant au sens de l'article 28 du RGPD : il traite des données personnelles pour le compte de ses clients responsables de traitement.
Sept obligations contractuelles minimales (DPA, instructions documentées, confidentialité, sécurité, sous-traitants ultérieurs, assistance, audit) doivent être inscrites dans chaque contrat client.
Les transferts hors UE (CDN US, sauvegardes cross-region) sont sous surveillance accrue depuis Schrems II : DPF EU-US, clauses contractuelles types et analyse d'impact des transferts (TIA) sont indispensables.
Le défaut de DPA, le manquement à l'obligation d'assistance ou un sous-traitant ultérieur non déclaré exposent à des sanctions CNIL pouvant atteindre 10 M€ ou 2 % du CA mondial — incluses dans le périmètre de la garantie Cyber Insurio.

Pourquoi vous êtes sous-traitant, et pas autre chose

Le RGPD distingue trois rôles : le responsable de traitement (qui détermine les finalités et les moyens), le sous-traitant (qui traite pour le compte du responsable) et le destinataire. L'hébergeur n'est ni responsable, ni simple destinataire : il opère un traitement (le stockage et la transmission de données personnelles) pour le compte de ses clients.

Cette qualification de sous-traitant a été confirmée à plusieurs reprises par la CNIL, notamment dans ses lignes directrices de 2017 et son guide « sous-traitants » actualisé en 2022. Elle s'applique même si vous n'accédez jamais aux données en clair : la simple opération technique de stockage est un traitement au sens de l'article 4-2 du RGPD.

Conséquence : vous êtes tenu par l'article 28 RGPD à des obligations contractuelles précises, par l'article 32 à des obligations de sécurité, et par l'article 33 à des obligations de notification. Ne pas signer de DPA (Data Processing Agreement) avec un client n'éteint pas ces obligations — cela en ajoute une, celle d'avoir omis de contractualiser.

Le DPA (Data Processing Agreement) : les sept obligations minimales

L'article 28-3 du RGPD impose qu'un contrat ou un autre acte juridique encadre la relation responsable de traitement / sous-traitant. Ce contrat, appelé DPA en pratique, doit obligatoirement contenir :

Objet, durée, nature et finalité du traitement, type de données, catégories de personnes concernées ;
l'engagement de ne traiter les données que sur instruction documentée du responsable, sauf obligation légale contraire ;
l'obligation de confidentialité du personnel ayant accès aux données ;
les mesures techniques et organisationnelles de sécurité (article 32 RGPD) ;
les conditions de recours à un sous-traitant ultérieur (autorisation, transparence, transmission des mêmes obligations) ;
l'assistance au responsable pour répondre aux demandes des personnes concernées (droit d'accès, rectification, effacement, portabilité) et aux obligations de l'article 32 à 36 RGPD ;
la possibilité d'audit et la mise à disposition des informations nécessaires pour démontrer la conformité.

Un DPA conforme se construit en trois temps : un corps contractuel court et stable, des annexes techniques actualisées (mesures de sécurité, liste des sous-traitants ultérieurs, finalités), et une procédure de mise à jour notifiée au client à chaque évolution.

Sous-traitants ultérieurs : la chaîne de transparence

Les hébergeurs sous-traitent presque toujours : CDN (Cloudflare, Akamai), e-mailing transactionnel (SendGrid, Mailgun), monitoring (Datadog, New Relic), antispam, antivirus, paiement, support externalisé. Chacun de ces prestataires devient un sous-traitant ultérieur au sens de l'article 28-2 RGPD.

Trois obligations cumulatives :

obtenir l'autorisation préalable écrite, spécifique ou générale, du responsable de traitement (votre client) ;
tenir un registre actualisé de la liste, accessible au responsable, avec notification préalable de toute nouvelle addition ou substitution ;
imposer contractuellement au sous-traitant ultérieur les mêmes obligations de protection des données (par cascade contractuelle).

Cas pratique : un hébergeur change son fournisseur de CDN pour des raisons de coût. S'il ne notifie pas ses 240 clients et ne leur laisse pas un délai d'opposition raisonnable (généralement 30 jours), il manque à l'article 28-2 RGPD. La CNIL a sanctionné plusieurs prestataires en 2023 et 2024 sur ce fondement.

Transferts hors UE : la zone rouge post-Schrems II

Depuis l'arrêt CJUE Schrems II du 16 juillet 2020, les transferts de données vers les États-Unis et plus largement hors EEE sont sous surveillance renforcée. Quatre mécanismes possibles :

le EU-US Data Privacy Framework (DPF), en vigueur depuis le 10 juillet 2023 : permet les transferts vers les entreprises américaines certifiées DPF. À vérifier sur dataprivacyframework.gov ;
les clauses contractuelles types (CCT) adoptées par la Commission européenne le 4 juin 2021, avec une analyse d'impact des transferts (TIA) obligatoire ;
les règles d'entreprise contraignantes (BCR), pertinentes pour les groupes ;
les dérogations de l'article 49 RGPD (consentement explicite, exécution du contrat), à manier avec parcimonie.

Pour un hébergeur français, les zones à surveiller sont :

les CDN à pop US (Cloudflare, Fastly, CloudFront) : vérifier la certification DPF ou activer les options EU-only ;
les sauvegardes cross-region (S3 vers us-east-1) : éviter par défaut, ou justifier par CCT + TIA ;
les outils de support (Intercom, Zendesk, Helpscout) si du personnel hors UE accède aux tickets contenant des données clients.

Le manquement à l'obligation d'encadrement des transferts est la première cause de sanction CNIL contre les sous-traitants techniques depuis 2022 (sanctions Doctolib 2024, Cegedim Santé 2022, EDF 2024).

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Registre des activités de sous-traitant (article 30-2 RGPD)

Un autre angle mort fréquent chez les hébergeurs : le registre prévu par l'article 30-2 du RGPD, distinct du registre du responsable de traitement (article 30-1). Le sous-traitant doit tenir un registre des catégories d'activités de traitement effectuées pour le compte de chaque client.

Mentions minimales :

nom et coordonnées du sous-traitant et de chaque responsable de traitement pour le compte duquel il agit ;
nom et coordonnées du DPO si désigné ;
catégories de traitements effectués pour chaque responsable ;
le cas échéant, les transferts hors UE et les garanties appropriées ;
description générale des mesures de sécurité (article 32).

Le registre n'est pas une formalité administrative : c'est la preuve principale de votre conformité, exigible immédiatement par la CNIL en cas de contrôle ou de plainte. Une absence de registre est en soi un manquement (sanction encourue : 10 M€ ou 2 % du CA mondial).

Sanctions encourues et rôle de l'assurance Cyber

Les manquements aux obligations du sous-traitant relèvent du barème de l'article 83 RGPD :

Manquement	Plafond
Défaut de DPA, défaut d'assistance, sous-traitant ultérieur non déclaré (article 28, 29, 30)	10 M€ ou 2 % du CA mondial
Défaut de sécurité (article 32)	10 M€ ou 2 % du CA mondial
Défaut de notification (article 33)	10 M€ ou 2 % du CA mondial
Manquement aux principes fondamentaux (article 5)	20 M€ ou 4 % du CA mondial

Une garantie Cyber sérieuse couvre :

les frais d'expertise et de mise en conformité en cas de contrôle CNIL ;
la défense pénale et administrative du dirigeant et de la personne morale ;
les frais de notification aux clients et aux personnes concernées en cas de violation ;
les dommages-intérêts dus aux clients sous-traitants au titre de l'article 82 RGPD (responsabilité solidaire) ;
la perte d'exploitation liée à un blocage administratif ou à la perte de confiance commerciale.

Les sanctions administratives elles-mêmes (l'amende CNIL) restent par nature non assurables — un assureur ne peut indemniser une sanction punitive. Mais tout l'écosystème de coûts indirects qui les entoure est, lui, parfaitement couvrable. Pour un hébergeur web, cet écosystème pèse en pratique trois à cinq fois le montant de la sanction elle-même.

Questions fréquentes

Mon client refuse de signer mon DPA. Suis-je quand même tenu par le RGPD ?

Oui, totalement. La qualification de sous-traitant est fonctionnelle, pas contractuelle : vous êtes sous-traitant dès lors que vous traitez des données pour le compte d'un tiers, indépendamment de la signature d'un DPA. L'absence de DPA est en soi un manquement (article 28-3 RGPD), mais n'éteint aucune de vos autres obligations (sécurité, notification, assistance). En pratique, conservez la preuve de votre proposition de DPA : elle vous protégera lors d'un contrôle CNIL.

Suis-je obligé de désigner un DPO en tant qu'hébergeur ?

Pas systématiquement. L'article 37 RGPD impose la désignation d'un DPO uniquement si vos activités principales consistent en un suivi régulier et systématique à grande échelle, ou en un traitement à grande échelle de catégories particulières. Un hébergeur généraliste de PME n'est pas automatiquement concerné. En revanche, si vous hébergez des plateformes santé, des services d'identité ou de tracking publicitaire à large échelle, la désignation devient obligatoire — et la CNIL en vérifie l'effectivité (le DPO doit avoir les moyens d'agir, pas seulement un titre).

Que faire si je découvre qu'un de mes sous-traitants ultérieurs n'est pas conforme ?

Trois actions cumulatives : (1) le mettre en demeure par écrit de se conformer dans un délai raisonnable, en conservant la preuve ; (2) notifier vos clients responsables de traitement de la situation, sans alarmisme mais sans délai ; (3) préparer une migration vers un sous-traitant ultérieur conforme. Si le risque est immédiat (fuite avérée), suspendez le service le temps de la migration. Votre garantie Cyber couvre les frais de migration d'urgence dans ce scénario.

Le DPF EU-US suffit-il pour les transferts vers les États-Unis ?

Pour les transferts vers une entreprise américaine certifiée DPF, oui — c'est le mécanisme d'adéquation reconnu par la décision d'exécution de la Commission européenne du 10 juillet 2023. Mais le DPF reste contesté (recours pendants devant la CJUE) et la certification doit être vérifiée régulièrement sur dataprivacyframework.gov. Une bonne pratique consiste à doubler le DPF par des clauses contractuelles types (CCT) en cascade, pour anticiper une éventuelle invalidation future à la Schrems III.

La responsabilité solidaire de l'article 82 RGPD m'expose-t-elle aux dommages-intérêts dus par mes clients ?

Oui, et c'est l'un des points les plus sous-estimés. L'article 82-4 RGPD prévoit une responsabilité solidaire du responsable et du sous-traitant à l'égard de la personne concernée : la victime peut réclamer la totalité du dommage à n'importe lequel des deux. Le sous-traitant qui a payé peut ensuite se retourner contre le responsable, mais en pratique cette action récursoire est longue et incertaine. Une garantie Cyber bien calibrée inclut la défense au titre de l'article 82 et l'avance des dommages-intérêts.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Hébergeur de sites web — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Hébergeur de sites web →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.