Réglementation 13 juin 2026 ⏱️ 9 min de lecture

Webmaster et RGPD : pourquoi vous êtes sous-traitant sans le savoir

Dès que vous accédez à un site qui collecte des données, le RGPD fait de vous un sous-traitant : contrat imposé, responsabilité engagée en cas de fuite.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Maintenir un site qui collecte des données personnelles fait de vous, au sens du RGPD, un sous-traitant : vous traitez des données pour le compte de votre client, qui en est le responsable.
Ce statut impose un contrat de sous-traitance écrit (article 28) précisant ce que vous avez le droit de faire des données, et des obligations de sécurité concrètes (article 32).
En cas de violation de données, votre responsabilité de sous-traitant peut être engagée directement, pas seulement celle de votre client : le RGPD a brisé le bouclier qui protégeait les prestataires techniques.
Sécuriser ce risque passe par un contrat propre, des mesures de sécurité documentées, et une garantie Cyber qui prend en charge la gestion et le coût d'une fuite.

Ce que le RGPD a changé pour les prestataires techniques

Pendant longtemps, le prestataire qui maintenait un site se considérait comme un simple exécutant technique : il intervenait sur l'outil, les données étaient l'affaire du client. Le Règlement général sur la protection des données a mis fin à cette commodité. Il a créé deux rôles, et le webmaster tombe presque toujours dans le second.

Le responsable de traitement : celui qui décide pourquoi et comment des données personnelles sont collectées. C'est votre client, propriétaire du site, qui décide de récolter des emails, des comptes clients, des commandes.
Le sous-traitant : celui qui traite ces données pour le compte du responsable. Dès que vous accédez à la base, que vous administrez le serveur, que vous exportez des données pour une migration ou une sauvegarde, vous traitez ces données pour le compte de votre client.

Autrement dit, vous n'avez pas besoin d'exploiter les données pour votre propre compte pour être sous-traitant. Le simple fait d'y avoir accès dans le cadre de votre maintenance suffit à vous faire entrer dans le périmètre du RGPD, avec des obligations propres.

Un webmaster qui détient les accès d'administration d'un site marchand est, aux yeux du RGPD, un sous-traitant de données à part entière, qu'il en ait conscience ou non.

Ce basculement n'est pas théorique : il déclenche des obligations contractuelles et de sécurité dont l'absence est elle-même une faute.

L'article 28 : le contrat que presque personne ne signe

Le RGPD ne se contente pas de vous qualifier de sous-traitant : il exige que votre relation avec le client soit encadrée par un contrat écrit, ou un acte juridique équivalent, dont le contenu est précisément listé par l'article 28. Dans la pratique du métier, ce document — souvent appelé accord de traitement des données ou DPA — est l'un des plus négligés.

Ce contrat doit notamment préciser :

L'objet, la durée et la finalité du traitement que vous réalisez pour le client.
Les catégories de données concernées (clients, prospects, données de paiement, etc.) et de personnes.
L'interdiction d'utiliser ces données à d'autres fins que celles convenues, et de les transmettre sans instruction.
Vos obligations de confidentialité et celles des personnes que vous faites intervenir.
Les mesures de sécurité que vous vous engagez à mettre en œuvre.
Le sort des données en fin de contrat : restitution ou suppression.
L'encadrement de la sous-traitance ultérieure : si vous confiez l'hébergement ou une partie de la maintenance à un autre prestataire, le client doit être informé et donner son accord.

Ce dernier point mérite l'attention : si vous hébergez les sites chez un tiers, ce tiers devient lui-même votre sous-traitant, et la chaîne de responsabilité doit être documentée de bout en bout. Travailler sans ce contrat, c'est exposer à la fois votre client et vous-même, et se priver du document qui répartit les rôles le jour d'un incident.

L'article 32 : la sécurité, ce n'est plus une option de confort

Le deuxième pilier des obligations du webmaster sous-traitant est l'article 32, qui impose des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Le texte ne fournit pas une liste fermée, mais il cite des références qui parlent directement au quotidien d'un mainteneur de sites.

Exigence de l'article 32	Traduction concrète pour le webmaster
Confidentialité et intégrité des données	Comptes d'administration nominatifs, mots de passe robustes, accès chiffrés, principe du moindre privilège
Disponibilité et résilience des systèmes	Mises à jour de sécurité appliquées, sauvegardes régulières et restaurables
Capacité à rétablir l'accès après un incident	Procédure de restauration éprouvée, plan de reprise documenté
Évaluation régulière de l'efficacité des mesures	Revue périodique de la sécurité, suivi des vulnérabilités connues

On retrouve ici, sous une forme juridique, les bonnes pratiques que tout professionnel sérieux applique déjà. La différence introduite par le RGPD est que ces pratiques ne sont plus seulement recommandées : leur absence peut constituer un manquement reproché au sous-traitant. Un site laissé sans mise à jour de sécurité pendant des mois, exploité ensuite par une faille connue, illustre exactement ce que l'article 32 cherche à prévenir.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Quand survient une fuite : la responsabilité du sous-traitant en jeu

C'est le jour d'une violation de données que le statut de sous-traitant prend tout son poids. Avant le RGPD, un prestataire technique pouvait souvent se retrancher derrière son client. Aujourd'hui, le règlement prévoit que la responsabilité du sous-traitant peut être engagée directement lorsqu'il n'a pas respecté les obligations qui lui incombent en propre, ou qu'il a agi en dehors des instructions du responsable de traitement.

Concrètement, après une fuite — base clients exfiltrée, formulaire détourné, accès administrateur compromis — plusieurs mécanismes peuvent se cumuler :

L'obligation de notification : votre client, responsable de traitement, doit en principe notifier la violation à l'autorité de contrôle, souvent dans un délai très court. En tant que sous-traitant, vous devez l'informer sans délai injustifié dès que vous avez connaissance de la violation. Tarder à signaler est en soi un manquement.
La recherche de votre responsabilité : si l'enquête montre que la fuite a été rendue possible par un défaut de sécurité relevant de votre périmètre (mise à jour non faite, accès mal protégé), votre part de responsabilité peut être retenue.
Les sanctions et les actions des personnes concernées : le RGPD prévoit des sanctions administratives lourdes et ouvre aux personnes dont les données ont fuité un droit à réparation.

Cette responsabilité propre est précisément ce que couvre une garantie Cyber bien construite : prise en charge de la gestion de crise, des frais de notification, de l'expertise technique pour qualifier et endiguer la fuite, et des conséquences financières pouvant être mises à votre charge. Les contours de ces situations pour le métier sont détaillés sur la fiche webmaster / maintenance de sites.

Se mettre en conformité sans devenir juriste

Bonne nouvelle : se mettre à niveau sur ce volet ne demande pas de devenir spécialiste du droit des données. Il s'agit surtout de formaliser ce qu'un professionnel rigoureux fait déjà, et de tracer ses pratiques.

Sur le plan contractuel

Faites signer à chaque client un accord de traitement des données conforme à l'article 28, distinct ou intégré à votre contrat de maintenance.
Listez vos sous-traitants ultérieurs (hébergeur, service de sauvegarde, CDN) et faites-les valider par le client.
Prévoyez clairement le sort des données et la restitution des accès en fin de mission.

Sur le plan de la sécurité

Tenez à jour vos mesures de sécurité : comptes nominatifs, authentification renforcée, chiffrement des accès, application des correctifs de sécurité.
Documentez vos sauvegardes et leur restauration : c'est à la fois une exigence de l'article 32 et votre meilleure protection.
Préparez une conduite à tenir en cas de violation : qui prévenir, dans quel ordre, dans quel délai.

Ce socle — un contrat propre, des mesures documentées, une procédure d'incident — vous fait passer du sous-traitant exposé au sous-traitant en règle. Couplé à une assurance Cyber et à votre RC Professionnelle, il transforme une obligation subie en argument commercial : peu de webmasters savent présenter cette rigueur, et c'est ce que recherchent les clients qui manipulent des données sensibles.

Questions fréquentes

Suis-je vraiment sous-traitant RGPD si je ne fais que de la maintenance technique ?

Oui, dans la grande majorité des cas. Le statut de sous-traitant ne dépend pas de l'usage que vous faites des données, mais du fait que vous les traitez pour le compte de votre client. Dès que vous accédez à la base d'un site qui collecte des données personnelles, que vous administrez le serveur ou que vous exportez des données pour une sauvegarde ou une migration, vous entrez dans cette qualification, avec les obligations qui l'accompagnent.

Que doit contenir le contrat de sous-traitance imposé par l'article 28 ?

Il doit notamment préciser l'objet, la durée et la finalité du traitement, les catégories de données et de personnes concernées, l'interdiction d'utiliser les données à d'autres fins, vos obligations de confidentialité et de sécurité, l'encadrement de vos propres sous-traitants comme l'hébergeur, et le sort des données en fin de contrat. Ce document, souvent appelé DPA, est distinct ou intégré à votre contrat de maintenance.

Ma responsabilité peut-elle être engagée si le site d'un client est piraté ?

Elle peut l'être si l'enquête établit que la fuite a été rendue possible par un manquement relevant de votre périmètre, par exemple une mise à jour de sécurité non appliquée ou un accès mal protégé. Le RGPD permet de rechercher directement la responsabilité du sous-traitant lorsqu'il n'a pas respecté ses obligations propres. C'est l'un des risques que couvre une garantie Cyber adaptée.

Que dois-je faire si je découvre une violation de données sur un site que je maintiens ?

Vous devez informer votre client, responsable de traitement, sans délai injustifié, car c'est lui qui doit en principe notifier l'autorité de contrôle dans un délai souvent très court. En parallèle, il faut endiguer l'incident, en conserver les traces et faire qualifier techniquement la fuite. Une garantie Cyber prend généralement en charge cette gestion de crise et l'expertise associée.

Une garantie Cyber est-elle utile en plus de ma RC Pro pour ce risque ?

Oui, elles couvrent des aspects différents. La RC Pro répond des dommages causés au client par une faute dans votre prestation. La garantie Cyber est conçue pour le risque de données : gestion d'une violation, frais de notification, expertise technique, reconstitution et conséquences financières d'une fuite. Pour un sous-traitant qui manipule des données personnelles, les deux se complètent.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Webmaster / maintenance de sites — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Webmaster / maintenance de sites →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.