Réglementation 13 juin 2026 ⏱️ 9 min de lecture

Secrétaire indépendante et RGPD : pourquoi la CNIL vous classe "sous-traitant"

Vous traitez les fichiers clients, agendas et factures de vos donneurs d'ordre. Aux yeux de la CNIL, vous n'êtes pas un simple prestataire : vous êtes sous-traitant au sens de l'article 28 du RGPD. Décryptage.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Une secrétaire indépendante qui saisit, classe ou consulte les données d'un client est "sous-traitant" RGPD au sens de l'article 28.
Un contrat écrit (DPA ou clause RGPD) entre vous et chaque client est obligatoire — son absence est sanctionnable des deux côtés.
Vous devez tenir un registre des traitements et notifier toute violation à votre client sous 24 à 48 h.
La CNIL prononce des sanctions financières contre des sous-traitants TPE depuis 2021, jusqu'à 10 M€ ou 2 % du CA mondial.

Responsable de traitement ou sous-traitant : la frontière qui change tout

La question paraît théorique. Elle ne l'est pas. Le règlement européen 2016/679 — le RGPD — distingue deux rôles : le responsable de traitement, qui décide pourquoi et comment des données personnelles sont utilisées, et le sous-traitant, qui les manipule pour le compte du premier. Cette frontière détermine qui doit faire quoi, et qui paie en cas de contrôle.

Une secrétaire indépendante qui saisit des devis dans le logiciel de son client, gère un agenda partagé, envoie des relances de factures ou répond à des appels au nom d'un cabinet, n'a aucune autonomie sur la finalité des données. Elle exécute des instructions. La CNIL est très claire sur ce point dans son guide pratique pour les sous-traitants : dès lors que vous accédez à des données personnelles pour le compte d'un client, vous êtes sous-traitant au sens de l'article 28.

Peu importe que vous travailliez 3 heures par semaine pour un avocat ou 30 heures pour une PME : le statut est juridique, pas quantitatif. Et il déclenche une cascade d'obligations souvent ignorées des indépendantes du télésecrétariat.

Le contrat article 28 : la pièce que 80 % des télésecrétaires n'ont pas

L'article 28.3 du RGPD est explicite : "Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique […] qui lie le sous-traitant à l'égard du responsable du traitement." Ce contrat — souvent appelé DPA (Data Processing Agreement) ou clause de sous-traitance RGPD — doit figurer dans votre prestation de services ou en annexe.

Il doit obligatoirement préciser :

l'objet, la durée et la nature du traitement ;
les catégories de données concernées (identité, coordonnées, données de santé, données bancaires, etc.) ;
les catégories de personnes concernées (clients, patients, salariés du donneur d'ordre…) ;
les obligations et les droits du responsable de traitement ;
les mesures de sécurité techniques et organisationnelles que vous engagez ;
le sort des données en fin de contrat (restitution ou suppression certifiée).

Sans ce document, les deux parties sont en infraction. La sanction tombe d'abord sur le donneur d'ordre, mais la CNIL peut aussi viser le sous-traitant. En 2023, la formation restreinte a déjà rappelé qu'un défaut de contractualisation suffit à caractériser un manquement, même sans incident de sécurité avéré.

Le registre des traitements : oui, vous aussi

Beaucoup d'indépendantes pensent que le registre des traitements est réservé aux entreprises de plus de 250 salariés. C'est une lecture incomplète de l'article 30. Le RGPD impose le registre à tout sous-traitant, sans seuil d'effectif, dès lors que le traitement n'est pas occasionnel ou porte sur des catégories particulières (santé, infractions, données sensibles).

Or, si vous gérez la permanence d'un médecin libéral, la saisie d'un dossier d'avocat ou les rendez-vous d'un cabinet d'expertise comptable, vos traitements sont réguliers et touchent des données sensibles. Le registre devient obligatoire.

Concrètement, vous tenez une feuille de calcul ou un document listant, pour chaque client donneur d'ordre :

son nom et ses coordonnées (en tant que responsable de traitement) ;
les catégories de traitement réalisées pour lui ;
les transferts éventuels hors UE (attention si vous utilisez un cloud américain) ;
une description générale des mesures de sécurité.

La CNIL fournit un modèle gratuit pour les sous-traitants. Comptez 30 minutes pour le remplir la première fois.

Violation de données : la règle des 24 à 48 heures qu'aucun client ne vous pardonnera

Vous perdez votre ordinateur portable dans le TGV. Vous cliquez sur un lien de phishing déguisé en facture. Un de vos clients reçoit un mail d'un faux interlocuteur usurpant votre identité. Toutes ces situations constituent une violation de données personnelles au sens de l'article 4.12 du RGPD.

Votre obligation, en tant que sous-traitant, n'est pas de notifier la CNIL directement — c'est le rôle du responsable de traitement. Mais vous devez prévenir votre client "dans les meilleurs délais" (article 33.2). En pratique, la doctrine CNIL retient une fenêtre de 24 à 48 heures, parce que le responsable de traitement n'a lui-même que 72 heures pour notifier l'autorité.

Une secrétaire qui découvre lundi matin qu'un fichier client a été exfiltré et qui prévient son donneur d'ordre vendredi soir met mécaniquement ce dernier hors délai. Conséquence : sanction CNIL contre le client, action récursoire contre la secrétaire.

Cette chaîne de responsabilité est précisément ce que couvre une assurance cyber dédiée aux indépendants, avec prise en charge des frais de notification, de l'analyse forensique et des éventuelles indemnisations.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Sanctions : ce que risque vraiment une indépendante

L'imaginaire collectif associe les 20 millions d'euros d'amende RGPD aux GAFAM. La réalité française est plus nuancée : depuis 2021, la CNIL a multiplié les sanctions contre des TPE et des sous-traitants. Quelques repères publics :

Sanction	Manquement	Profil
3 000 € à 20 000 €	Absence de contrat de sous-traitance	Prestataire administratif
15 000 € à 75 000 €	Défaut de mesures de sécurité (mots de passe faibles, pas de chiffrement)	TPE de services
150 000 € et +	Violation de données non notifiée + absence de registre	Prestataire santé/juridique

Le plafond légal reste de 10 M€ ou 2 % du chiffre d'affaires mondial pour un sous-traitant (article 83.4), mais en pratique la CNIL calibre les amendes sur la taille de la structure. Pour une indépendante facturant 40 000 € à l'année, une sanction de 5 000 € peut suffire à effacer un trimestre de marge.

S'ajoutent la publication de la décision (très visible sur le site de la CNIL et reprise par la presse spécialisée) et le risque réputationnel : aucun avocat, expert-comptable ou médecin ne confiera à nouveau son secrétariat à un prestataire sanctionné.

Les 6 réflexes minimums pour rester en conformité

Vous n'avez pas besoin d'un DPO ni d'un audit à 8 000 euros. La CNIL attend une démarche proportionnée à votre activité. Voici la liste courte qui couvre 90 % des contrôles ciblant les indépendantes du télésecrétariat :

Signez une clause RGPD article 28 avec chacun de vos donneurs d'ordre, dès la première mission.
Tenez un registre des traitements à jour, même sommaire.
Chiffrez votre poste de travail (BitLocker sous Windows, FileVault sous macOS) et activez un mot de passe fort + double authentification sur vos outils.
Cloisonnez les accès : un dossier client par dossier, pas de bureau partagé en clair.
Sauvegardez chiffré, idéalement en France ou dans l'UE. Méfiez-vous des clouds américains gratuits sans contrat d'engagement RGPD.
Souscrivez une assurance cyber qui prend en charge l'expertise post-incident, la notification et la gestion de crise. C'est ce que demandent désormais les clauses-types des grands cabinets.

Pour aller plus loin sur les autres expositions du métier, consultez notre fiche dédiée à la secrétaire indépendante et au télésecrétariat.

Questions fréquentes

Suis-je obligée d'avoir un DPO (délégué à la protection des données) ?

Non, pas en tant qu'indépendante. La désignation d'un DPO n'est obligatoire que pour les organismes publics, ceux qui font du suivi systématique à grande échelle, ou ceux qui traitent à grande échelle des données sensibles. Une télésecrétaire reste très en-dessous de ces seuils.

Le contrat RGPD doit-il être signé par moi ET le client ?

Oui. L'article 28 exige un acte juridique liant les deux parties. Une clause intégrée à votre contrat de prestation, signée par les deux, suffit. Une mention unilatérale dans vos CGV n'est pas conforme.

Et si mon client ne veut pas signer de clause RGPD ?

Refusez la mission ou matérialisez par écrit votre relance restée sans réponse. En cas de contrôle, ce sera votre meilleure preuve de bonne foi. Mais sans contrat, vous êtes co-responsable du manquement.

Une garantie cyber couvre-t-elle l'amende CNIL elle-même ?

Non : les sanctions administratives ne sont jamais assurables en droit français. En revanche, l'assurance cyber prend en charge l'expertise technique, les frais d'avocat, la gestion de crise, la notification et les éventuelles indemnisations versées à des personnes concernées.

Combien de temps dois-je conserver les données de mes clients après la fin du contrat ?

Aucune. À la fin de la mission, vous devez restituer ou supprimer toutes les données traitées pour le compte du client, sauf obligation légale spécifique (par exemple la conservation de vos propres factures). C'est l'article 28.3.g du RGPD.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Secrétaire indépendante / télésecrétariat — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Secrétaire indépendante / télésecrétariat →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.