Contrat de sous-traitance RGPD : obligations pour les données d'adresses

Une association à Lyon confie le nettoyage de sa base adhérents à un prestataire. Une agence marketing à Paris transmet 40.000 adresses clients à un routeur pour un publipostage Destineo MD. Un e-commerçant utilise un service en ligne pour valider ses adresses postales. Trois situations, une même obligation légale : le contrat de sous-traitance prévu par l'article 28 du RGPD.

Ce contrat est l'une des obligations les plus négligées dans le traitement des données d'adresses. Les sanctions sont pourtant sévères : la CNIL peut infliger des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. En pratique, les amendes pour absence de contrat de sous-traitance en France se situent entre 5.000 et 75.000 EUR pour les PME – la CNIL a durci sa politique depuis 2024.

Ce qu'est un contrat de sous-traitance et pourquoi les adresses sont concernées

Le contrat de sous-traitance (ou « accord de traitement ») est un document écrit entre le responsable de traitement (vous) et le sous-traitant (le prestataire). Il définit les conditions dans lesquelles les données personnelles sont traitées : finalités, mesures de sécurité, durée, droits et obligations de chaque partie.

Les données d'adresses sont des données personnelles au sens de l'article 4 du RGPD. Nom, prénom, adresse postale, code postal, ville – ces informations permettent d'identifier directement une personne physique. Il n'y a aucune ambiguïté juridique sur ce point.

Quand le contrat est-il obligatoire ?

Dès qu'un prestataire externe accède à vos données d'adresses et les traite pour votre compte, vous devez formaliser la relation par un contrat de sous-traitance. Voici les cas concrets :

Situation	Contrat requis ?	Justification
Service cloud de dédoublonnage	Oui	Les données sont transférées sur des serveurs tiers
Routeur pour publipostage (Destineo MD, Lettre verte)	Oui	Le routeur traite les adresses pour votre compte
Prestataire informatique qui maintient votre CRM	Oui	Accès technique aux données personnelles
Expert-comptable recevant une liste clients	Non	Activité propre (pas un sous-traitant)
Logiciel installé sur votre poste	Non	Aucun transfert de données à un tiers

Le contenu obligatoire du contrat pour les données d'adresses

L'article 28, paragraphe 3 du RGPD impose un contenu minimal précis. Pour le traitement d'adresses, cela se traduit concrètement :

Les clauses imposées par le RGPD

1. Objet et durée du traitement – par exemple : « Nettoyage et dédoublonnage de 30.000 adresses clients du 1er au 30 avril 2026 »
2. Nature et finalité du traitement – par exemple : « Validation RNVP, dédoublonnage, normalisation des voies »
3. Types de données personnelles – pour les adresses : nom, prénom, numéro et voie, code postal, commune, éventuellement téléphone, civilité
4. Catégories de personnes concernées – clients, adhérents, prospects
5. Obligations et droits du responsable de traitement
6. Mesures techniques et organisationnelles conformes à l'article 32 du RGPD

Mesures de sécurité adaptées aux données d'adresses

La CNIL recommande au minimum :

• Chiffrement des transferts (TLS 1.2+) et du stockage (AES-256)
• Contrôle d'accès – seuls les collaborateurs autorisés du prestataire
• Journalisation – traçabilité des accès aux données
• Procédure de suppression – délais précis après fin de mission
• Encadrement des sous-traitants ultérieurs – liste nominative avec droit d'opposition

Exemple concret : contrat avec un routeur pour publipostage

Une PME bordelaise envoie 25.000 courriers publicitaires par trimestre via un routeur à Toulouse. Les adresses clients (nom, adresse, code client) sont transmises pour impression, mise sous pli et remise à La Poste.

Sans contrat : L'entreprise transmet 25.000 adresses sans cadre juridique. C'est une violation du RGPD.

Avec un contrat correctement rédigé :

Objet : Impression et routage de publipostage (Destineo MD)
Données : Civilité, nom, prénom, adresse, code postal, ville,
          référence client
Personnes concernées : Clients actifs du responsable de traitement
Durée : Contrat annuel renouvelable par tacite reconduction
Suppression : Données effacées sous 10 jours ouvrés après
              confirmation d'envoi, attestation écrite
Sous-traitants : La Poste (transport), aucun autre
Mesures : Accès badge au centre de routage, transfert SFTP
          chiffré, destruction certifiée des fichiers

Calcul du risque sans contrat : Pour un fichier de 25.000 adresses, la CNIL pourrait prononcer une amende de 15.000 à 40.000 EUR. Ajoutez les frais de mise en conformité urgente (audit, conseil juridique, notification CNIL) : comptez 8.000 à 15.000 EUR supplémentaires. Un contrat de sous-traitance coûte entre 500 et 2.000 EUR à rédiger – le calcul est vite fait.

Les 5 erreurs les plus fréquentes

1. Utiliser le contrat standard du prestataire sans vérification

Les modèles fournis par les prestataires cloud protègent avant tout leurs intérêts. Vérifiez systématiquement : les types de données correspondent-ils à votre situation ? Le délai de suppression est-il acceptable ? Les sous-traitants ultérieurs sont-ils tous listés ?

2. Oublier les sous-traitants ultérieurs

Votre routeur fait appel à un imprimeur externe ? Votre outil cloud héberge ses données chez OVH ou AWS ? Chaque sous-traitant ultérieur doit figurer dans le contrat avec son nom, son adresse et sa mission. Vous disposez d'un droit d'opposition en cas de changement.

3. Aucun délai de suppression défini

« Les données seront supprimées après la fin de la mission » ne suffit pas. Précisez : « Suppression irréversible dans les 10 jours ouvrés suivant la fin du traitement, avec attestation écrite transmise au responsable de traitement. »

4. Mesures de sécurité vagues

« Le sous-traitant met en œuvre des mesures appropriées » n'est pas une clause valable. Détaillez : quel standard de chiffrement, quel protocole de transfert, quelle politique d'accès, quelle procédure en cas de violation de données.

5. Aucun audit prévu

L'article 28, paragraphe 3, point h) du RGPD vous donne un droit d'audit. Exercez-le : prévoyez au minimum une attestation annuelle de conformité des mesures de sécurité par le sous-traitant.

Quand le contrat n'est pas nécessaire

Toute manipulation d'adresses n'exige pas un contrat de sous-traitance :

Traitement autonome : Lorsqu'un prestataire agit sous sa propre responsabilité (un cabinet de recouvrement, par exemple), il n'est pas sous-traitant. La relation relève de l'article 26 du RGPD (responsables conjoints) ou d'aucun cadre particulier.

Traitement entièrement local : Si vous traitez vos adresses exclusivement sur votre propre ordinateur, sans qu'aucun tiers n'y accède, le contrat de sous-traitance ne s'applique pas. Les données restent sous votre contrôle total.

C'est précisément l'approche de ListenFix : en tant que logiciel de bureau, ListenFix traite vos données d'adresses intégralement en local. Pas de cloud, pas de transfert, pas de contrat de sous-traitance nécessaire. La conformité RGPD pour le nettoyage d'adresses devient nettement plus simple.

Votre plan d'action en 7 étapes

Si vous faites appel à un prestataire externe, procédez méthodiquement :

1. Inventaire – Listez tous les prestataires ayant accès à vos données d'adresses
2. Qualification – Sous-traitant ou responsable autonome ? (Le tableau ci-dessus vous guide)
3. Rédaction ou audit – Tous les contenus obligatoires de l'article 28§3 sont-ils présents ?
4. Mesures de sécurité – Descriptions concrètes, pas de formulations génériques
5. Sous-traitants ultérieurs – Liste complète avec droit d'opposition
6. Délai de suppression – Nombre de jours précis, attestation écrite
7. Audit annuel – Au minimum une attestation de conformité par le prestataire

Une obligation qui protège votre activité

Le contrat de sous-traitance n'est pas un obstacle administratif – c'est votre garantie juridique. Pour le traitement des données d'adresses en conformité RGPD, une base contractuelle solide évite les mauvaises surprises. Et si vous avez le choix entre un service cloud nécessitant un contrat complexe et un logiciel local sans transfert de données, la question mérite d'être posée : le confort du cloud justifie-t-il vraiment les coûts de conformité supplémentaires ?