Pourquoi la messagerie est un point névralgique pour le DPO
Un sous-traitant RGPD pour la messagerie doit satisfaire à des exigences précises définies par l'article 28 du règlement : contrat formalisé, garanties techniques suffisantes, limitation des finalités et obligation de notification en cas de violation. Négliger ce cadre expose l'entreprise à des sanctions pouvant atteindre 2 % du chiffre d'affaires annuel mondial.
La messagerie professionnelle concentre des données personnelles particulièrement sensibles : identités, coordonnées, contenus d'échanges commerciaux, pièces jointes contractuelles. Selon le rapport DBIR 2023 de Verizon, 74 % des violations de données impliquent un facteur humain, et l'e-mail reste le premier vecteur d'entrée des attaquants.
Pour le DPO, qualifier correctement chaque prestataire intervenant sur la chaîne e-mail — hébergeur, filtre anti-spam, archiveur, outil de signature — est donc une priorité absolue, pas une formalité administrative.
Les 12 points de la check-list DPO
Points 1 à 4 : fondations contractuelles
1. Existence d'un DPA (Data Processing Agreement) conforme à l'article 28. Le contrat doit lister explicitement les catégories de données traitées, les finalités autorisées, la durée de conservation et les coordonnées du sous-traitant. Un DPA générique renvoyant à des CGU en anglais ne suffit pas.
2. Limitation des finalités. Le prestataire doit s'engager à ne traiter vos données qu'aux fins strictement nécessaires à la prestation. Toute utilisation à des fins de profilage, de publicité ou d'entraînement de modèles d'IA doit être explicitement exclue par écrit.
3. Clause de sous-traitance ultérieure. L'article 28§2 impose que le sous-traitant obtienne votre autorisation préalable avant de faire appel à un autre prestataire. Vérifiez que le contrat prévoit une liste actualisée des sous-traitants ultérieurs et une procédure de notification en cas de changement.
4. Droit d'audit. Le DPA doit prévoir un droit contractuel d'audit ou, a minima, la communication annuelle d'un rapport de certification tiers (ISO 27001, SOC 2 Type II). Sans cette clause, votre responsabilité de contrôle reste fictive.
Points 5 à 8 : garanties techniques et sécurité
5. Chiffrement en transit et au repos. Exigez TLS 1.2 minimum pour le transit des e-mails (TLS 1.3 recommandé) et un chiffrement AES-256 pour les données stockées. Demandez une attestation écrite, pas seulement une fiche marketing.
6. Gestion des accès et traçabilité. Le prestataire doit appliquer le principe du moindre privilège : seuls les personnels strictement nécessaires accèdent aux données. Les journaux d'accès doivent être conservés a minima 6 mois et mis à disposition sur demande.
7. Plan de réponse aux incidents et délai de notification. Le RGPD impose au sous-traitant de vous notifier toute violation dans les meilleurs délais, afin que vous puissiez respecter votre propre délai de 72 heures vis-à-vis de la CNIL. Vérifiez que le contrat fixe un délai contractuel explicite — idéalement 24 heures.
8. Tests de pénétration et audits de sécurité réguliers. Un prestataire sérieux réalise des pentests annuels conduits par un tiers indépendant. Demandez les rapports de synthèse (executive summary) des deux dernières années.
Points 9 à 12 : localisation des données et fin de contrat
9. Localisation des serveurs et transferts hors UE. Depuis l'invalidation du Privacy Shield en 2020 (arrêt Schrems II), tout transfert vers les États-Unis ou un pays tiers doit reposer sur des clauses contractuelles types (CCT) adoptées par la Commission européenne et une évaluation du pays de destination (TIA). Localisez précisément chaque datacenter utilisé.
10. Registre des traitements du sous-traitant. En vertu de l'article 30§2, les sous-traitants de plus de 250 salariés — et souvent les plus petits en pratique — tiennent un registre. Demandez l'extrait correspondant à votre traitement.
11. Procédure de restitution et de suppression des données. À l'issue du contrat, le prestataire doit restituer toutes les données dans un format exploitable et les supprimer de ses systèmes sous un délai défini. Vérifiez l'existence d'un certificat de destruction ou d'un procès-verbal de suppression.
12. Désignation d'un interlocuteur DPO ou point de contact RGPD. Votre sous-traitant doit disposer d'un DPO désigné (obligatoire dans certains cas selon l'article 37) ou d'un point de contact RGPD identifié. Une boîte mail générique privacy@prestataire.com sans SLA de réponse ne constitue pas une garantie suffisante.
Tableau récapitulatif : niveau de criticité par point
| Point | Exigence | Base légale RGPD | Criticité |
|---|---|---|---|
| 1 | DPA conforme art. 28 | Art. 28§3 | 🔴 Bloquant |
| 2 | Limitation des finalités | Art. 5§1b | 🔴 Bloquant |
| 3 | Autorisation sous-traitance ultérieure | Art. 28§2 | 🔴 Bloquant |
| 4 | Droit d'audit | Art. 28§3h | 🟠 Majeur |
| 5 | Chiffrement transit/repos | Art. 32§1a | 🔴 Bloquant |
| 6 | Gestion des accès et logs | Art. 32§1b | 🟠 Majeur |
| 7 | Notification incidents 24h | Art. 33§2 | 🔴 Bloquant |
| 8 | Pentests annuels | Art. 32§1d | 🟠 Majeur |
| 9 | Localisation serveurs / CCT | Art. 44-49 | 🔴 Bloquant |
| 10 | Registre des traitements | Art. 30§2 | 🟡 Important |
| 11 | Restitution/suppression fin contrat | Art. 28§3g | 🟠 Majeur |
| 12 | Interlocuteur DPO identifié | Art. 37-39 | 🟡 Important |
Les erreurs les plus fréquentes observées par les DPO
Dans la pratique, plusieurs pièges reviennent systématiquement lors des audits de conformité messagerie. Les identifier permet d'éviter les non-conformités les plus coûteuses.
- Accepter le DPA standard sans négociation : les grandes plateformes proposent des DPA génériques qui ne couvrent pas toutes les exigences de l'article 28. Exigez des annexes personnalisées, notamment sur les durées de conservation et la localisation.
- Oublier les sous-traitants de l'anti-spam : un filtre anti-spam SaaS analyse le contenu de vos e-mails. Il constitue un sous-traitant à part entière qui doit faire l'objet d'un DPA distinct. Beaucoup d'organisations l'ignorent.
- Confondre certification ISO 27001 et conformité RGPD : une certification ISO 27001 atteste d'un système de management de la sécurité, pas d'une conformité RGPD. Les deux sont complémentaires mais non substituables.
- Négliger la mise à jour du registre des traitements : chaque nouveau prestataire messagerie doit être ajouté au registre du responsable de traitement sous sa rubrique dédiée. Un registre figé depuis deux ans est une anomalie quasi-certaine lors d'un contrôle CNIL.
Anti-spam SaaS et RGPD : un cas d'usage concret
Un filtre anti-spam par défi-réponse — comme FrozenSpam — traite les métadonnées et parfois le contenu des messages entrants pour qualifier les expéditeurs. Ce traitement déclenche l'application pleine et entière du cadre sous-traitant RGPD : DPA obligatoire, localisation des données à vérifier, politique de rétention des challenges à documenter.
« Chez FrozenSpam, nous considérons que la conformité RGPD n'est pas une option tarifaire : c'est la condition minimale pour mériter la confiance de nos clients. Notre DPA est disponible dès la phase de pilote, nos serveurs sont hébergés en Europe, et notre DPO répond sous 48 heures ouvrées. » — L'équipe FrozenSpam
Le mécanisme de défi-réponse présente un avantage RGPD sous-estimé : il réduit drastiquement le volume d'e-mails indésirables traités et stockés, ce qui diminue mécaniquement la surface de données personnelles exposées. Moins de spam stocké, c'est moins de données à protéger, moins de risques de violation et une gestion de la rétention considérablement simplifiée.
Comment intégrer cette check-list dans votre processus d'achat
La due diligence sous-traitant ne doit pas intervenir après la signature du contrat. Pour l'efficacité maximale, elle s'intègre en amont dans le cycle achat.
- Phase RFI/RFP : intégrez la check-list en 12 points comme questionnaire de pré-qualification. Tout prestataire incapable de répondre sur les points bloquants (1, 2, 3, 5, 7, 9) est éliminé avant la phase commerciale.
- Phase de négociation contractuelle : transmettez votre modèle de DPA ou demandez le leur et annotez chaque écart par rapport aux 12 points. Documentez les concessions obtenues.
- Phase de pilote : avant tout déploiement à grande échelle, vérifiez concrètement les mécanismes techniques annoncés (chiffrement, logs, procédure d'incident) via un audit ou un questionnaire technique détaillé.
- Revue annuelle : le RGPD impose une surveillance continue. Planifiez une revue annuelle du DPA et des certifications de chaque sous-traitant messagerie.
Conclusion : la conformité messagerie se construit point par point
La qualification d'un sous-traitant RGPD pour la messagerie n'est pas un exercice théorique : c'est une obligation légale dont le non-respect expose le responsable de traitement — pas le prestataire — aux sanctions de la CNIL. Les 12 points de cette check-list couvrent l'ensemble des exigences de l'article 28 et des mesures de sécurité de l'article 32, en les rendant actionnables dès la phase de sélection.
En appliquant cette méthodologie systématiquement, le DPO transforme la conformité en avantage compétitif : des prestataires qualifiés, des contrats solides, et une capacité à démontrer la conformité lors d'un contrôle sans délai ni stress.
Vous souhaitez évaluer FrozenSpam comme sous-traitant anti-spam conforme RGPD ? Consultez notre page tarifs ou lancez un pilote gratuit avec DPA disponible dès le premier jour.