Logo Ordonnéo
ORDONNEO CONSEIL
Protection des données & Optimisation des processus
Logo Ordonnéo
ORDONNEO CONSEIL
Protection des données & Optimisation des processus

Responsable du traitement, sous-traitant : comment bien identifier son rôle ?

Analyse approfondie des clarifications de la CNIL

Publié le 7 juin 2025
Par Antonin Rich
Bonnes pratiques RGPD
Identifier son rôle : responsable de traitement ou sous-traitant ?
Sommaire

La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le 6 juin 2025 un rappel des lignes directrices sur la qualification des acteurs du traitement des données. Cette publication réglementaire intervient dans un contexte où de nombreux contrôles de la CNIL en 2024 ont révélé des erreurs de qualification des rôles RGPD, entraînant des sanctions pouvant atteindre 4 % du chiffre d’affaires mondial en vertu du RGPD. Les précisions apportées par la CNIL visent donc à éclairer les organisations sur la bonne attribution des statuts de responsable de traitement, de sous-traitant ou de responsable conjoint, afin d’éviter de tels manquements.

Analyse détaillée des précisions apportées concernant les critères de qualification

La notion centrale de « détermination des finalités et des moyens »

La CNIL réaffirme avec force que la qualification des acteurs ne dépend ni des intitulés contractuels ni des déclarations formelles, mais bien d’une analyse concrète des opérations de traitement effectuées. Le critère déterminant réside dans la maîtrise effective des finalités (le « pourquoi ») et des moyens essentiels (le « comment ») du traitement. En d’autres termes, l’acteur qui décide des objectifs du traitement et des décisions clés sur les données (quelles données, combien de temps, quels destinataires, etc.) sera qualifié de responsable du traitement, même s’il n’a pas un accès direct aux données. À l’inverse, celui qui n’exécute qu’un traitement pour le compte d’un autre, sans autonomie sur le « pourquoi », est un sous-traitant.

Cette approche factuelle a des implications importantes pour les situations de responsabilité conjointe. La CNIL et le Comité européen de la protection des données soulignent que pour qu’il y ait responsables conjoints, il faut une participation active de chaque entité à la détermination des finalités et des moyens : le traitement n’aurait pas lieu sans la participation de chacun, leurs décisions étant étroitement liées. Un simple accord passif ne suffit plus. Par exemple, si une entreprise fait appel à un prestataire de marketing digital et que ce dernier co-définit avec elle les critères de profilage des clients, alors le prestataire ne peut plus être considéré comme un sous-traitant purement exécutant – il devient co-responsable du traitement en raison de son influence directe sur les finalités et moyens essentielscnil.fr.

Cette clarification vient rappeler que le titre donné dans le contrat importe peu : c’est le rôle effectif de chaque partie dans la prise de décision qui prime.

Le sous-traitant : un exécutant sous contrôle strict

Le guide révisé précise que le statut de sous-traitant implique une triple limitation incontournable :

  • Absence de pouvoir sur les finalités.

Un sous-traitant ne doit jamais déterminer lui-même le but du traitement. C’est le responsable du traitement qui fixe le « pourquoi » des opérations. Si un prestataire commence à décider d’utiliser des données pour ses propres objectifs, alors il sort de son rôle de sous-traitant et endosse la responsabilité de responsable pour ce traitement, avec les conséquences associées.

  • Respect strict des instructions techniques du responsable.

Le RGPD exige qu’un sous-traitant n’agisse que sur instruction documentée du responsable du traitement. Cela signifie qu’il est tenu de suivre à la lettre les modalités fixées par le responsable (outils, procédures, mesures de sécurité, etc.), en n’ayant qu’une marge de manœuvre sur des moyens non essentiels purement techniques (choix d’un logiciel conforme, par exemple). Il ne peut pas s’écarter unilatéralement des consignes reçues.

  • Interdiction de réutilisation des données sans autorisation expresse. 

Un sous-traitant ne peut pas réutiliser ou exploiter les données personnelles pour son propre compte sans accord préalable du responsable initial. Le non-respect de cette règle entraine une requalification immédiate : le prestataire serait considéré comme responsable du nouveau traitement effectué hors instruction, et pourrait être sanctionné en tant que tel. En pratique, un contrat conforme au RGPD ("DPA" - pour "data protection agreement") doit d’ailleurs stipuler noir sur blanc que le sous-traitant n’utilisera les données que pour les seules fins nécessaires à la prestation pour le responsable.

Un cas d’école illustrant ces principes est celui des éditeurs de logiciels SaaS. Tant qu’un fournisseur SaaS paramètre sa solution en fonction des besoins spécifiques d’un client (personnalisation) et ne traite les données qu’au titre du service rendu au client, il demeure un sous-traitant. En revanche, s’il impose une configuration standard de son logiciel et qu’il en profite pour collecter certaines données (par exemple des métriques d’usage) à son propre bénéfice (amélioration de ses services, analyses internes), alors son rôle dépasse la simple exécution. Dans ce scénario, il bascule en responsable de traitement pour cette collecte supplémentaire, voire en co-responsable avec le client si les deux en tirent profit, puisque le fournisseur ne se contente plus d’agir « pour le compte » du client. La CNIL rappelle ainsi qu’un prestataire qui dépasse le périmètre des instructions du client engage sa propre responsabilité juridique.

Conséquences pratiques pour les entreprises

Méthodologie d’auto-évaluation recommandée

Le rappel de ces principes permet de dégager une grille d’analyse en cinq étapes afin de bien qualifier chaque intervenant :

  1. Cartographier précisément les flux de données et les intervenants. Il s’agit de recenser tous les traitements de données personnelles effectués, d’identifier quelles entités y participent (maison mère, filiales, prestataires, partenaires, etc.) et comment les données circulent entre elles. Cette étape de cartographie pose le socle de l’analyse.

  2. Identifier qui décide quoi pour chaque finalité de traitement. Pour chaque traitement ou usage de données, il faut déterminer quel acteur en décide des objectifs et des paramètres essentiels. Cette identification du décideur des finalités permet de distinguer le (ou les) responsable(s) du traitement des sous-traitants. La CNIL recommande de conduire cette analyse de manière très concrète, en se basant sur la réalité opérationnelle de la création et de la mise en œuvre du traitement.

  3. Analyser les marges de manœuvre techniques des sous-traitants. Il convient d’évaluer, pour chaque prestataire impliqué, jusqu’où s’étend son autonomie technique. Dispose-t-il d’un pouvoir de configuration substantiel ? Impose-t-il des outils ou des méthodes spécifiques ? Ou bien se contente-t-il strictement d’exécuter les choix du responsable de traitement ? En d’autres termes, identifier les moyens laissés au sous-traitant et vérifier qu’ils ne touchent pas aux éléments essentiels du traitement. Cette analyse permet de détecter d’éventuels co-responsables cachés (par exemple un prestataire dont la solution standard influence largement le traitement).

  4. Documenter les processus décisionnels et justificatifs. Toutes les réflexions menées pour attribuer les rôles doivent être tracées et justifiées par écrit. La CNIL insiste sur l’importance de garder la trace de l’analyse ayant conduit à la qualification retenue (qui a décidé des finalités, pourquoi tel acteur est considéré comme sous-traitant, etc.) et de pouvoir la produire en cas de contrôle. Cette documentation interne (notes, comptes rendus d’ateliers juridico-techniques, etc.) sera précieuse pour démontrer la bonne foi et la diligence de l’organisation. Souvent, cela nécessite un audit croisé impliquant les services juridiques, techniques et opérationnels, afin de confronter les points de vue et ne rien omettre. Il est vivement conseillé de se rapprocher de votre DPO, interne ou externe, pour mener à bien cette étape de formalisation primordiale.

  5. Mettre à jour les contrats pour refléter la réalité opérationnelle. Sur la base des travaux et réflexions précédents, il faut adapter les contrats ou accords en place (contrats de sous-traitance, accords de co-responsabilité) de sorte à ce qu’ils reflètent fidèlement les rôles et obligations de chacun. Le RGPD impose ainsi qu’un responsable de traitement et son sous-traitant formalisent leur relation par contrat, de même que des responsables conjoints doivent conclure un accord définissant leurs responsabilités respectives. Il est donc crucial que ces documents contractuels correspondent à la situation de fait : un contrat mal calibré (par exemple qui qualifie à tort un acteur de sous-traitant alors qu’il décide des finalités) ne vous protégera pas en cas de contrôle. Pour rappel, la Commission européenne a eu l'occasion de rédiger puis mettre à jour en 2021 des clauses contractuelles types reprenant exhaustivement les élèments requis dans les contrats entre responsables de traitements et sous-traitants.

Pour les groupes internationaux, la CNIL souligne l’importance d’une analyse au cas par cas pour chaque entité et chaque traitement, plutôt que de plaquer une qualification unique au niveau global. En effet, deux filiales d’un même groupe peuvent avoir des rôles différents selon leurs activités locales. Il convient donc de répéter l’exercice de qualification dans chaque contexte. La CNIL rappelle que des acteurs, bien que conjointement responsables d’un traitement, peuvent intervenir à des degrés divers dans celui-ci, certains ayant un rôle plus important que d’autres – d’où la nécessité d’évaluer finement le niveau de responsabilité de chacun selon les circonstances précises du cas, et de le préciser dans l’accord annexe ou le contrat principal.

Précisions bienvenues concernant les responsables conjoints

L'article introduit et clarifie plusieurs obligations clés pour les situations de responsabilité conjointe :

  • Transparence renforcée. L’accord entre responsables conjoints doit inclure une description claire de la répartition des rôles, dans un langage accessible à tous. En pratique, les co-responsables doivent préciser « qui fait quoi » de manière compréhensible pour assurer la protection des données. Cette exigence découle de l’article 26 du RGPD, qui impose de mettre l’essence de l’accord à disposition des personnes concernées (i.e. vos clients, vos salariés...). La CNIL insiste pour que ce partage des responsabilités ne reste pas un jargon juridique obscur, mais soit formulé de façon intelligible. De manière génèrale, on constate que cette intelligibilité devient un critère de plus en plus prégnant pour les autorités de contrôle et la CJUE (cf notre article concernant l'arrêt CJUE du 27 février 2025).

  • Gouvernance partagée. Les responsables conjoints doivent mettre en place une collaboration effective pour piloter les traitements communs, notamment les plus sensibles. La CNIL suggère ainsi d’instaurer, par exemple, un comité de pilotage mixte lorsque deux entités gèrent ensemble des traitements complexes (ex : un hôpital et une entreprise tech développant conjointement un outil utilisant des données de santé). Ce comité permet de suivre l’exécution de leurs obligations respectives et de décider ensemble des mesures importantes (sécurité, modalités d’information des personnes, gestion des incidents, etc.). L’objectif est d’aller au-delà d’un accord purement théorique et d’assurer une coordination opérationnelle continue. Cette gouvernance partagée est le corollaire de la répartition des tâches : elle garantit que, dans la pratique, chacun remplit bien son rôle et qu’aucun aspect n’est laissé sans responsable attitré. Elle permettra également aux parties prenantes de gagner un temps précieux en cas de difficulté : avoir d'ores et déjà écrit les process permet aux entités de garder leur sang froid et de réagir correctement en cas de violation de données par exemple.

  • Responsabilité solidaire et individuelle. La CNIL rappelle que même en présence d’un accord de répartition, chaque responsable conjoint demeure pleinement responsable vis-à-vis du RGPD. En cas de manquement, chacun devra pouvoir démontrer sa propre conformité. D’ailleurs, les personnes concernées peuvent exercer leurs droits auprès de n’importe lequel des responsables conjoints, et chacun d’eux peut être tenu intégralement responsable des dommages en vertu de l’article 82 du RGPD (mécanisme de « responsabilité solidaire »). Autrement dit, aucune partie ne peut se défausser sur l’autre une fois la violation constatée. Cela incite chaque co-responsable à maintenir un niveau de conformité élevé sur l’ensemble des obligations (et pas seulement celles qu’il a prises en charge dans l’accord). En pratique, la CNIL attend de chaque acteur qu’il puisse prouver individuellement le respect du RGPD sur les aspects sous sa responsabilité.

Un exemple concret de ces nouvelles exigences concerne les partenariats public-privé dans le domaine de la santé. Par le passé, un hôpital fournissant des données patients à un éditeur de logiciel médical pour développer un algorithme d’IA pouvait avoir tendance à considérer ce dernier comme un simple prestataire. Or, si l’éditeur participe activement à la définition des objectifs (diagnostic, prédiction, etc.) et aux choix des données et méthodes d’entraînement, il devient co-responsable du traitement d’IA. La CNIL exige dans ce cas que les deux parties documentent conjointement le fonctionnement de l’algorithme, les données utilisées, les évaluations de risque, etc., et qu’elles prévoient contractuellement qui fait quoi (par exemple pour la maintenance, la gestion des biais, l’information des patients). L'exemple de la CNIL de plusieurs centres hospitaliers universitaires mutualisant leurs données pour entraîner un système d’IA d’imagerie médicale illustre cette approche : en choisissant ensemble un protocole d’apprentissage fédéré et en définissant de concert l’objectif (entraîner l’IA) ainsi que les données exploitées, ils se trouvent co-responsables de ce traitement d’apprentissage. Dans de telles configurations, le respect du principe de transparence envers les personnes concernées impose de décrire clairement le rôle de chaque acteur (hôpital et fournisseur) dans les mentions d’information, afin que les patients sachent à qui s’adresser pour exercer leurs droits.

Articulation avec les autres obligations du RGPD

Conséquences sur les analyses d’impact (AIPD)

Une qualification erronée des rôles peut rendre caduque une partie de l’analyse d’impact relative à la protection des données (AIPD) d’un projet. En effet, si l’on se trompe de qualification, les mesures envisagées et les risques évalués dans l’AIPD ne correspondront pas à la réalité opérationnelle des responsabilités, et l’analyse peut passer à côté de risques importants. La CNIL souligne ainsi que la détermination du statut de chaque intervenant doit figurer explicitement dans la documentation de conformité : un registre des traitements doit indiquer pour chaque traitement qui en est le responsable (et le cas échéant le ou les co-responsables, ainsi que les sous-traitants impliqués). De même, dans une AIPD, il convient d’intégrer une cartographie des responsabilités : qui décide et qui exécute, à chaque étape, afin de bien évaluer les risques propres à chaque acteur et les mesures de maîtrise associées.

La présente publication de la CNIL insiste par ailleurs sur plusieurs points à intégrer dans ces documents :

  • Mention des responsabilités dans le registre et l’AIPD. Le registre des activités de traitement doit comporter les coordonnées du responsable du traitement et de ses sous-traitants (conformément à l’article 30 RGPD). Au-delà de cette exigence formelle, la CNIL recommande d’ajouter une mention de la nature du rôle de chaque acteur pour le traitement considéré (ex. « Traitement X – Responsable : Société A ; Sous-traitant : Société B »). Cela permet d’assurer une vue d’ensemble claire de qui porte quelles obligations sur chaque traitement et de vérifier que rien n’est laissé hors champ.

  • Évaluation des risques à la coordination des acteurs. Lorsqu’un traitement met en jeu plusieurs parties (par exemple un fournisseur externalisé), l’AIPD devrait analyser non seulement les risques « internes » à chaque entité, mais aussi ceux liés à l’interaction entre ces parties. Par exemple, un risque de mauvaise coordination dans la réponse à une fuite de données, ou une incertitude quant à la responsabilité d’une tâche de sécurité. Identifier ces « risques d’interface » et prévoir des mesures pour y remédier (clauses contractuelles de coopération en cas d’incident, procédures conjointes de gestion des droits des personnes, etc.), vous permet d'être plus sereins et mieux préparés en cas de difficulté.

  • Clauses de réversibilité dans les contrats complexes. La réversibilité désigne la capacité pour un client (responsable de traitement) de récupérer ou faire supprimer toutes les données chez son prestataire en cas de fin de contrat ou de changement de fournisseur. C'est un élèment essentiel à prévoir contractuellement, notamment pour les services cloud ou SaaS. Un bon contrat de sous-traitance devrait ainsi imposer au prestataire, en fin de mission, d'exporter ou détruire toutes les données selon les instructions du client, et ce dans un format exploitable techniquement. Cela évite que le sous-traitant ne conserve indûment des données ou que le responsable se retrouve bloqué pour les récupérer. En outre, la clause de réversibilité participe de la sécurité juridique : elle formalise l’obligation du prestataire de restituer les données et facilite la transition vers un autre opérateur si nécessaire.

Conséquences sur la sécurité des données

La répartition des rôles entre acteurs influence directement les mesures techniques et organisationnelles de sécurité à mettre en œuvre : chaque acteur doit assumer sa part de la sécurité du traitement, et leur coopération doit être organisée. Voici quelques points d’attention soulignés par la CNIL et les bonnes pratiques :

  • Détection des incidents et intrusions. Dans le cas de responsables conjoints partageant un système ou une base de données commune, il est crucial de mettre en place des mécanismes communs de surveillance de la sécurité. Concrètement, cela peut passer par un système de détection d’intrusion mutualisé ou au minimum par un échange systématique d’alertes entre les parties. Chacun des co-responsables doit avoir une visibilité sur les tentatives d’accès non autorisées ou les failles survenant dans la partie du système qu’il gère. Cette approche concertée permet une réaction plus rapide et coordonnée en cas d’attaque ou d’incident, évitant les « angles morts ». Par exemple, si une société A et une société B sont co-responsables d’une plateforme commune, un dispositif de journalisation et d’alerte partagé assurera que toute anomalie de sécurité est notifiée aux deux parties sans délai, via des canaux qu'il convient de formaliser (ex : échanges de mails sécurisés entre les responsables SI).

  • Notification rapide des incidents par les sous-traitants. En matière de violation de données, le RGPD oblige le responsable de traitement à notifier la CNIL dans les 72 heures suivant la découverte de l’incident. Pour respecter ce délai, le sous-traitant doit alerter sans tarder le responsable de tout incident ou vulnérabilité constaté pouvant impacter les données. Le contrat de sous-traitance doit prévoir cette obligation d’information immédiate et ses modalités d'exercice. La CNIL rappelle d’ailleurs que le sous-traitant, bien qu’il n’ait pas d’obligation légale (ni pouvoir) de notification directe à l’autorité, est tenu de notifier le responsable de traitement « dans les plus brefs délais » après en avoir pris connaissance. En pratique, il est recommandé d’établir un point de contact d’urgence et une procédure d’escalade chez le prestataire, de sorte qu’aucune fuite ne reste inconnue du client plus de quelques heures. Ainsi, le responsable pourra respecter son propre délai réglementaire de 72h vis-à-vis de la CNIL.

  • Gestion des accès et habilitations conforme aux responsabilités. La gestion des droits d’accès aux données doit refléter la hiérarchie des responsabilités et le principe du moindre privilège. Le responsable de traitement doit veiller à ce que chaque acteur (interne ou externe) n’ait accès qu’aux données strictement nécessaires à sa mission. Par exemple, un sous-traitant technique ne devrait accéder qu’aux données dont il a besoin pour la maintenance, et non à l’intégralité des informations clients. La CNIL recommande de définir des profils d’habilitation en segmentant les tâches et les domaines de responsabilité, et de faire valider toute création de droit d’accès par un supérieur habilité. De plus, il convient de supprimer immédiatement les accès lorsqu’une personne ou un prestataire n’est plus en charge du traitement (départ d’un salarié, fin de contrat d’un sous-traitant). Ces mesures organisationnelles garantissent que chaque acteur, qu’il soit responsable de traitement ou sous-traitant, n’exerce son rôle que dans le périmètre qui lui est assigné, réduisant ainsi les risques d’accès non autorisé ou de confusion des responsabilités en cas d’abus.

Perspectives d’évolution et prochaines étapes

Ce type de publication de la part de la CNIL peut être interprété comme un indice sur d'éventuels contrôles ciblés portant spécifiquement sur la bonne qualification des rôles par les organismes ; la logique de la CNIL consistant généralement à clarifier le cadre règlementaire puis à effectuer des vérifications sur le terrain pour s’assurer de son application.

Concrètement, on peut s’attendre à ce que ces contrôles prennent la forme :

  • De questionnaires détaillés envoyés aux organismes pour décrire leurs processus décisionnels et la façon dont ils ont qualifié chaque acteur (responsable, sous-traitant, etc.) pour un certain nombre de traitements. La CNIL a déjà employé cette méthode de questionnaires dans d’autres thématiques pour préparer ses inspections, ce qui lui permet de cibler les points faibles à vérifier.

  • D’audits in situ de la chaîne de sous-traitance. La CNIL pourrait décider de contrôler non seulement une entreprise donnée, mais également certains de ses sous-traitants importants, afin d’évaluer la cohérence de la qualification tout au long de la chaîne. Par exemple, en cas de sous-traitance en cascade (responsable -> sous-traitant -> sous-traitant ultérieur), elle examinera comment chaque niveau perçoit son rôle et si les contrats reflètent correctement la réalité. Des contrôles sur place, avec examen des documents et interviews, permettront de constater la mise en pratique des principes décrits dans la présente publication.

  • D’une grille d’évaluation publique des bonnes pratiques. À l’issue de ces contrôles, la CNIL pourrait publier un bilan anonymisé mettant en avant les erreurs fréquemment rencontrées et au contraire les bonnes pratiques observées. L’idée serait de fournir aux professionnels une grille de référence indiquant, secteur par secteur, les indices d’une bonne qualification des acteurs (par ex. « si votre prestataire cloud fait X ou Y, il doit être considéré co-responsable »). Une telle publication, si elle a lieu, contribuerait à diffuser largement la culture de la conformité sur ce sujet et à tirer vers le haut l’ensemble des acteurs.

Face à ces perspectives, les professionnels doivent anticiper dès maintenant et adapter leur conformité RGPD en conséquence. Les étapes prioritaires à engager sont :

  1. Mettre à jour les registres de traitement avant septembre 2025. Chaque traitement doit avoir un responsable clairement identifié, et les contrats de sous-traitance correspondants doivent être annexés ou référencés dans le registre. Il est indispensable de corriger les éventuelles incohérences (par exemple un traitement listé sans responsable clairement nommé) avant que la CNIL ne vienne vous poser la question. De plus, les registres devront pouvoir être présentés aux équipes de contrôle justifiant de la réflexion menée en interne et/ou avec l'ensemble des parties prenantes.

  2. Former les équipes aux grilles d’analyse. Les collaborateurs des départements juridique, conformité, DPO mais aussi les opérationnels impliqués dans les projets data doivent être sensibilisés aux critères de qualification. Des sessions de formation, à base d’exemples concrets, permettront de s’assurer que chacun sait identifier son rôle et celui des partenaires dans un projet utilisant des données personnelles. Cela évitera des erreurs de qualification au quotidien (par exemple, ne pas appeler « sous-traitant » un prestataire qui décide d’une partie des finalités), et de renforcer vos obligations au titre du principe d'accountability.

  3. Réviser les contrats avec les sous-traitants stratégiques. Il est crucial d’intégrer les exigences de la CNIL dans les contrats en cours et futurs : clauses de partage de responsabilité pour les co-traitances, clauses de notification rapide des incidents, clauses de réversibilité, etc. Les contrats de sous-traitance existants devraient être relus attentivement pour vérifier qu’ils ne laissent pas de latitude excessive au prestataire (au risque d’un changement de qualification). En cas de manquement, il sera nécessaire d'envisager des avenants contractuels. Cette mise à jour contractuelle, quoique fastidieuse, est un investissement pour éviter des désaccords ultérieurs et des sanctions ; la CNIL ayant clairement indiqué que chaque organisme doit s’assurer que les clauses reflètent fidèlement la réalité des traitements et qu'elle n’hésitera pas à requalifier les situations trompeuses.

Conclusion

L’enjeu de la présente publication dépasse la simple crainte des sanctions : une qualification précise et honnête des rôles devient un levier de confiance entre partenaires et vis-à-vis des clients. Un responsable de traitement qui connaît ses obligations et choisit des sous-traitants fiables favorise un environnement où les données circulent avec plus de sécurité et de transparence. À l’inverse, une confusion sur les responsabilités peut entraîner non seulement des pénalités financière, mais aussi une dégradation de l’image de l’entreprise en cas d’incident (litiges entre acteurs, notification chaotique des personnes concernées, etc.).

Finalement, les entreprises qui sauront transformer cette contrainte en opportunité stratégique y gagneront sur deux tableaux : agilité dans leurs projets data (grâce à une clarification dès le départ du rôle de chacun, évitant les frictions ultérieures) et renforcement de leur crédibilité (en pouvant démontrer à tout moment à la CNIL, à leurs clients et à leurs partenaires qu’elles maîtrisent la chaîne de traitement conforme au RGPD). Comme l’indique la CNIL, une qualification rigoureuse et documentée dès la conception d’un traitement est désormais incontournable pour une conformité effective. C’est le prix à payer pour une utilisation responsable des données, au service d’une innovation numérique digne de la confiance du public.

Besoin d’un DPO externalisé pour vérifier et qualifier correctement le rôle des parties prenantes dans vos chaînes de traitement de données personnelles ? Contactez nous pour un diagnostic personnalisé.

#RGPD  #CNIL  #ChaîneDeTraitement #RôlesDesPartiesPrenantes

Besoin d'un DPO externe pour votre entreprise ?

Ne laissez pas les complexités du RGPD freiner votre croissance. Bénéficiez d'un accompagnement personnalisé qui transforme vos obligations réglementaires en atout stratégique.

Parlons de votre projet