Besoin de conseil ?
Prendre rdv sur Teams
01 89 70 78 00 [email protected] L-V: 9:00 - 19:00 | S-D: 10:00 - 17:00
axorys 02
Contact

Infogérance & RGPD en PME : contrat (art. 28) + preuves à exiger

  • Par Léo Dugué
  • Le 24-02-26
infogérance rgpd pme contrat article 28 et preuves mensuelles à exiger
Table des matières

La conformité au RGPD est une obligation légale. Externaliser l’informatique ne transfère pas la responsabilité : l’entreprise reste responsable de ses choix, de ses accès et de son niveau de contrôle.

Le vrai risque, ce n’est pas la technique : c’est un contrat mal cadré (article 28), sans preuves de sécurité (article 32) ni réversibilité.

Cet article définit les exigences non négociables et les actions concrètes pour maîtriser ce risque.

🔗 Pour tout savoir sur l’infogérance, voir: présentation de l’infogérance.

Rôle de l’infogérance en RGPD : facilitateur technique, pas bouclier juridique

infogérance rgpd pme contrat article 28 et preuves mensuelles à exiger

Il est crucial de distinguer ce qu’un prestataire informatique peut et doit faire de ce qui reste de votre ressort exclusif.

Ce que votre prestataire fournit :

  • des mesures de sécurité techniques et organisationnelles (article 32 du RGPD),
  • la traçabilité des actions réalisées sur le système d’information,
  • et les preuves documentées de ces actions.

Il est votre bras armé pour mettre en œuvre la politique de sécurité que vous, en tant que responsable de traitement, avez définie.

Ce que votre prestataire ne fait pas :

  • il ne vous rend pas « conforme RGPD ».

La conformité est un processus continu qui inclut la tenue d’un registre de traitement, la gestion des demandes de droits des personnes, la réalisation d’analyses d’impact (AIPD) si nécessaire, et la supervision globale de la gouvernance des données.

Ces obligations vous incombent.

En pratique, dès qu’un prestataire intervient sur un SI contenant des données personnelles (accès, consultation, modification, sauvegarde, journalisation…), il réalise un traitement pour le compte de l’entreprise.

La relation doit donc être encadrée comme une sous-traitance au sens du RGPD (article 28). La CNIL détaille ce cadre dans sa page responsable de traitement / sous-traitant.

L’Article 28 du RGPD : le verrou contractuel indispensable

La CNIL est explicite : ne pas commencer la prestation sans contrat reprenant les exigences de l’article 28. Ce document n’est pas une formalité administrative, c’est le socle qui définit les obligations de votre prestataire et protège votre entreprise.

Ce contrat doit être signé avant le début de toute prestation — point non négociable. Il doit contenir des clauses précises, dont voici les plus critiques :

ClauseDescriptionObjectif pour la PME
Objet, durée, finalitésDécrit précisément la nature des traitements de données que le prestataire effectuera pour votre compte.Éviter tout traitement non autorisé ou non documenté.
Instructions documentéesLe prestataire ne peut agir que sur la base de vos instructions écrites.Garder le contrôle total sur l’usage des données.
ConfidentialitéLe personnel du prestataire autorisé à accéder aux données doit être soumis à une obligation de confidentialité.Prévenir les fuites d’information.
Sécurité des donnéesLe prestataire doit mettre en œuvre les mesures de sécurité techniques et organisationnelles requises par l’article 32.Garantir un niveau de protection adéquat pour les données.
Sous-traitants ultérieursLe prestataire ne peut pas engager un autre sous-traitant sans votre autorisation écrite préalable.Maîtriser toute la chaîne de traitement et éviter les angles morts.
Transferts hors UELes transferts de données hors de l’Union Européenne doivent être encadrés par des garanties appropriées.Assurer la conformité légale des flux de données internationaux.
Assistance et droitsLe prestataire doit vous aider à répondre aux demandes d’exercice des droits des personnes (accès, rectification, etc.).Remplir vos propres obligations de responsable de traitement.
Fin de contratDéfinit les modalités de restitution ou de destruction sécurisée des données à la fin de la prestation.Assurer une réversibilité propre et ne laisser aucune donnée derrière.

La CNIL met à disposition des Clauses Contractuelles Types (CCT) comme référence principale pour la rédaction de ces contrats. Pour aller plus loin : exemple de clauses historiques.

Article 32 : de la sécurité déclarative à la sécurité prouvée

Un contrat ne vaut rien sans la preuve de son application. La « sécurité déclarative », où le prestataire affirme simplement être sécurisé, est insuffisante.

Vous devez exiger des preuves de la mise en place de mesures pragmatiques et adaptées au contexte d’une PME. Voici une liste de contrôles fondamentaux, inspirés du guide d’hygiène informatique de l’ANSSI :

  • Gestion des accès : authentification multifacteur (MFA) obligatoire sur tous les comptes, en particulier les comptes administrateurs. Application du principe du moindre privilège.
  • Protection des postes et serveurs : déploiement et mise à jour systématique des logiciels (patch management), solutions de détection et réponse (EDR/antimalware).
  • Protection des données : chiffrement des disques et des supports amovibles, sauvegardes régulières, complètes et surtout testées via des restaurations périodiques.
  • Traçabilité : journalisation des événements de sécurité (connexions, accès, modifications) et supervision des accès distants.

Preuves et traçabilité : les rapports que vous devez recevoir

Pour que la conformité soit un processus vivant et non un simple document, vous devez obtenir des rapports réguliers de votre prestataire. Ces documents sont la preuve de la diligence et de la bonne exécution du contrat.

  • Mensuellement : un rapport de sécurité synthétique incluant l’état du déploiement du MFA, le statut des mises à jour (patching), le résultat des dernières sauvegardes et tests de restauration, et le résumé des incidents de sécurité traités.
  • En continu : un accès à l’historique des tickets de support et des interventions réalisées.
  • Trimestriellement : une revue de service pour analyser les indicateurs de performance (KPI), discuter des risques identifiés et planifier les actions correctives.

Gestion d’incident : un processus écrit, pas une improvisation

En cas de violation de données, un processus de gestion d’incident doit être défini par écrit en amont. Ce document doit clarifier :

  • Qui fait quoi : le rôle du prestataire (investigation technique, confinement) et votre rôle (évaluation du risque, communication, notification à la CNIL dans les 72 heures si nécessaire).
  • Les délais : les engagements de temps de réponse et de résolution du prestataire, formalisés dans le contrat.
  • La conservation des preuves : les éléments techniques (journaux, analyses) que le prestataire doit collecter et vous fournir pour documenter l’incident.

Checklist RGPD avant de signer un contrat d’infogérance

  1. Le contrat inclut-il des clauses conformes à l’article 28 du RGPD ?
  2. Le contrat a-t-il été signé avant le début de la prestation ?
  3. Qui est propriétaire des noms de domaine et du tenant Microsoft 365/Google Workspace ? (Réponse attendue : l’entreprise, pas le prestataire.)
  4. Comment les accès administrateurs sont-ils gérés et tracés ? Sont-ils limités au strict nécessaire ?
  5. Un plan de tests de restauration des sauvegardes est-il formalisé et suivi ?
  6. Le prestataire s’engage-t-il à fournir des rapports de sécurité mensuels ?
  7. Une clause de réversibilité claire est-elle présente pour garantir la restitution complète des données et configurations en fin de contrat ?
  8. Le processus de gestion des incidents de sécurité est-il documenté et inclus au contrat ?
  9. Le prestataire a-t-il une autorisation pour faire appel à des sous-traitants ultérieurs ? Si oui, lesquels et pour quoi faire ?
  10. Si des données sont hébergées hors UE (ex : cloud américain), quelles garanties spécifiques sont en place ?

Nous vous détaillons ici les éléments à vérifier pour éviter les mauvaises surprises en infogérance.

Réponses à vos questions

L’infogérance me rend-elle « conforme RGPD » ?

Non. Elle est un outil essentiel pour atteindre et maintenir la conformité technique, mais la gouvernance globale — registre de traitement, droits des personnes, AIPD — reste de la responsabilité de l’entreprise.

Quelles clauses de l’article 28 sont les plus critiques ?

L’obligation d’agir sur instruction, l’engagement de sécurité, la gestion des sous-traitants ultérieurs et la clause de réversibilité sont absolument fondamentales.

Sauvegarde vs archivage probant : quelle différence ?

La sauvegarde vise la continuité d’activité (reprise après panne). L’archivage probant (norme ISO 14641-1) vise à garantir l’intégrité et la valeur légale d’un document sur le long terme. Ce sont deux objectifs et deux technologies distincts.

Mon prestataire peut-il conserver les accès administrateur ?

Oui, mais ces accès doivent être délégués, nominatifs, tracés et soumis au MFA. L’entreprise doit rester propriétaire des comptes principaux et pouvoir révoquer ces accès à tout moment.

Cloud américain : que vérifier ?

Vérifier l’existence de clauses contractuelles types (CCT) ou d’autres mécanismes de transfert reconnus par la CNIL, et s’assurer que le prestataire peut documenter ces garanties sur demande.

Demander un devis d’infogérance