Vous avez accès au backoffice, à la base de contacts et aux logs du serveur de votre client. Juridiquement, vous traitez ses données personnelles. Et si personne ne vous a jamais expliqué ce que ça implique, vous êtes peut-être exposé sans le savoir.
La question de la responsabilité RGPD des agences web est l'angle mort du secteur. On parle abondamment de la conformité des sites : politique de confidentialité, bannière de cookies, mentions légales. Mais on parle peu de la relation contractuelle entre l'agence et son client, et de ce qu'elle implique juridiquement quand des données personnelles circulent dans les deux sens. Or c'est précisément là que la CNIL concentre de plus en plus ses contrôles depuis 2023. Selon l'autorité elle-même, la qualification des acteurs est "une étape essentielle pour assurer une conformité effective", et elle dépend des faits, jamais du seul intitulé du contrat.
Ce que cela signifie concrètement : même si votre contrat de prestation ne mentionne pas le RGPD, même si votre client n'a jamais entendu parler de l'article 28, et même si votre intervention est ponctuelle, vous pouvez être qualifié de sous-traitant dès le premier accès à un fichier client, un formulaire de contact ou un backoffice e-commerce. Et cette qualification emporte des obligations précises, sanctionnées jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial en cas de manquement.
La première question : quel est votre rôle exact ?
Avant de rédiger quoi que ce soit, il faut poser la bonne question : dans la relation avec ce client, qui décide du pourquoi et du comment du traitement de données ? La CNIL est explicite sur ce point : la qualification ne dépend pas d'un choix contractuel, mais des faits.
Sous-traitant
L'agence exécute des instructions précises du client sur des données qui appartiennent à ce client. C'est le cas le plus fréquent : développement, maintenance, hébergement, intégration d'outils. L'article 28 du RGPD s'applique et un DPA est obligatoire.
Responsable conjoint
L'agence et le client décident ensemble des finalités du traitement, par exemple dans une campagne marketing co-pilotée. L'article 26 du RGPD impose alors un accord écrit définissant les obligations de chacun, accessible aux personnes concernées.
Responsable de traitement autonome
L'agence collecte et utilise des données pour ses propres finalités, indépendamment du client. Par exemple : une base de prospects propre à l'agence, ou des données de facturation. L'article 28 ne s'applique pas mais les obligations RGPD classiques, oui.
Attention : une même agence peut être sous-traitante pour certaines missions et responsable conjointe pour d'autres, avec le même client. La qualification s'apprécie traitement par traitement, pas globalement sur la relation commerciale. Documentez chaque cas séparément.
Ce que l'article 28 impose concrètement
L'article 28 du RGPD est la pierre angulaire de la relation agence-client. Il impose un contrat écrit, précis et contraignant, dont le contenu minimum est fixé par le règlement lui-même. La CNIL met à disposition des clauses contractuelles types depuis la décision de la Commission européenne du 4 juin 2021, que vous pouvez utiliser comme base.
Ce contrat, souvent appelé DPA (Data Processing Agreement) ou avenant RGPD, doit impérativement mentionner :
- L'objet, la durée, la nature et la finalité du traitement : quelles données, pour quel objectif, pendant combien de temps. "Hébergement et maintenance du site e-commerce" ne suffit pas, il faut détailler les catégories de données concernées (clients, prospects, salariés...).
- Le traitement uniquement sur instruction documentée : l'agence ne traite les données que selon les instructions du client. Si l'agence estime qu'une instruction viole le RGPD, elle doit en informer le client par écrit avant d'exécuter.
- La confidentialité des personnes autorisées : les développeurs, chefs de projet et autres personnes ayant accès aux données doivent être liés par une obligation de confidentialité.
- Les mesures de sécurité appropriées (article 32) : chiffrement, contrôle d'accès, sauvegardes, tests de sécurité. Ces mesures doivent être décrites concrètement, pas seulement mentionnées de façon générique.
- Les règles de sous-sous-traitance (article 28.2) : l'agence ne peut pas faire appel à un autre prestataire (hébergeur, outil tiers) sans autorisation écrite préalable du client. Cette liste doit être annexée au contrat et tenue à jour.
- L'assistance aux droits des personnes : si un client final exerce son droit d'accès ou d'effacement, l'agence doit aider le responsable de traitement à y répondre dans les délais légaux.
- La notification des violations (article 33) : délai, canal et format de remontée à définir contractuellement, pour permettre au client de respecter son délai de 72 heures vis-à-vis de la CNIL.
- La restitution ou suppression des données en fin de mission : à la résiliation du contrat, les données doivent être restituées au client ou supprimées de façon sécurisée, avec attestation écrite.
Les situations que personne ne vous a expliquées
La théorie est une chose. Voici les scénarios concrets que les agences rencontrent chaque semaine, et ce que le droit dit à leur sujet.
Vous intégrez Google Analytics ou un pixel Meta sur le site du client
Vous venez d'introduire un sous-traitant supplémentaire (Google, Meta) dans la chaîne de traitement. Sans clause de sous-sous-traitance dans votre DPA, et sans que votre client ait consenti à ce tiers par écrit, vous êtes en violation de l'article 28.2 du RGPD. La solution : une annexe listant tous les outils tiers, mise à jour à chaque intégration nouvelle.
Le serveur de votre client est compromis et vous êtes l'hébergeur
Vous découvrez la brèche un vendredi soir. Sans procédure documentée, vous ne savez pas quand ni comment alerter votre client. Résultat : il dépasse le délai de 72 heures imposé par l'article 33 pour notifier la CNIL. La CNIL peut vous imputer une part de responsabilité dans ce dépassement si votre DPA ne prévoyait pas de procédure de remontée d'incident.
Votre client veut collecter des données sans vous dire pourquoi
Un client vous demande d'intégrer un formulaire collectant des données de santé ou des données sensibles, sans finalité claire. En tant que sous-traitant, vous devez traiter les données selon les instructions du client. Mais si vous estimez que l'instruction viole le RGPD, l'article 28.3.h vous impose d'en informer votre client par écrit. Ne pas le faire vous rend co-responsable du manquement.
Vous gérez le site d'un client qui n'a pas de politique de confidentialité
Votre responsabilité directe est limitée : c'est le client, en tant que responsable de traitement, qui doit publier cette politique. En revanche, votre DPA doit prévoir que vous l'assistez dans cette démarche. Et si vous avez connaissance d'un manquement évident (absence totale d'information des personnes), documenter par écrit votre recommandation au client vous protège en cas de contrôle.
Générez la politique de confidentialité de votre client en 3 minutes
RGPDKit produit des documents conformes au RGPD et au droit français, adaptés à chaque type de site. Idéal pour les agences qui gèrent plusieurs clients à la fois.
Les clauses à insérer dans vos contrats dès maintenant
Un DPA n'est pas un document à part, lourd et intimidant. Pour la majorité des missions d'une agence web, il peut prendre la forme d'un avenant court à votre contrat de prestation, ou d'une annexe à vos CGV. Le guide CNIL pour les sous-traitants fournit des exemples de clauses que vous pouvez adapter. Voici les quatre blocs incontournables.
Clauses orientées responsable de traitement
- Traitement des données uniquement sur instruction documentée et écrite
- Obligation de confidentialité de toutes les personnes accédant aux données
- Notification de toute violation dans un délai défini contractuellement (recommandé : 24 heures maximum)
- Restitution ou suppression sécurisée des données en fin de contrat, avec attestation
- Assistance aux demandes d'exercice de droits des personnes concernées
Clauses orientées sous-traitant
- Liste des sous-sous-traitants autorisés (hébergeur, CDN, analytics, CRM...) en annexe actualisable
- Clause de conseil : l'agence alerte par écrit si une instruction client semble contraire au RGPD
- Droit d'audit : le client peut vérifier, à ses frais, la conformité des mesures de sécurité
- Limitation de responsabilité : l'agence n'est pas responsable des manquements décidés par le client
- Preuve documentaire : l'agence conserve une trace de ses recommandations de conformité
Bon à savoir : depuis décembre 2025, la CNIL sanctionne directement les sous-traitants défaillants, pas seulement leurs clients. Mobius Solutions Ltd a été condamné à 1 million d'euros pour une fuite de données d'utilisateurs de Deezer dont il était le sous-traitant. La protection contractuelle est votre seul bouclier face à cette responsabilité directe.
Le point que personne ne vérifie : la chaîne de sous-traitance
Toute agence web utilise des outils tiers pour produire ses services : un hébergeur, un CDN, un outil de déploiement, une suite analytics, parfois un CRM ou un outil de formulaires. Chacun de ces outils traite potentiellement des données personnelles appartenant aux clients de votre client. L'article 28.2 du RGPD, disponible sur Légifrance, est explicite : l'agence ne peut faire appel à aucun autre sous-traitant sans l'autorisation écrite préalable du responsable de traitement.
Ce que vous pouvez faire dès cette semaine
Pas besoin de refondre tous vos contrats d'un coup. Voici une approche progressive, réaliste pour une agence de 3 à 20 personnes.
- Listez tous vos clients actifs et identifiez ceux pour qui vous accédez à des données personnelles : backoffice, base de contacts, logs, formulaires, espace client. Ce sont vos relations de sous-traitance à contractualiser en priorité.
- Rédigez un avenant RGPD standard à annexer à vos contrats : adaptez les clauses contractuelles types publiées par la Commission européenne et disponibles sur le site de la CNIL. Un document de 3 à 4 pages suffit pour la majorité des missions d'agence.
- Dressez la liste de vos sous-traitants habituels : hébergeur, CDN, outil de déploiement, analytics, formulaires, newsletter. Cette liste devient l'annexe de votre DPA. Vérifiez que chacun dispose lui-même d'un DPA conforme.
- Définissez votre procédure de remontée d'incident : qui appelle qui, dans quel délai, avec quelles informations. Documentez-la et formez votre équipe technique. En cas de fuite chez un client, vous aurez besoin de réagir dans l'heure, pas dans la journée.
- Vérifiez que les sites de vos clients ont une politique de confidentialité à jour : sans être responsable de ce document à leur place, vous pouvez l'intégrer comme livrable de votre mission ou comme service complémentaire. RGPDKit permet de le générer en quelques minutes pour chaque site.
- Conservez une trace écrite de vos recommandations de conformité : chaque fois que vous signalez à un client un risque qu'il refuse de corriger, un email suffit. Cette trace est votre protection en cas de contrôle CNIL.
Questions fréquentes
Une agence web est-elle automatiquement sous-traitante au sens du RGPD ?
Non. La qualification dépend des faits, pas du contrat. Si l'agence décide seule des finalités et des moyens du traitement, elle est responsable de traitement. Si elle exécute des instructions précises de son client sur des données appartenant à ce client, elle est sous-traitante. Si les deux parties décident ensemble du pourquoi et du comment, elles sont responsables conjointes au sens de l'article 26 du RGPD. La CNIL peut requalifier votre statut lors d'un contrôle, indépendamment de l'intitulé de votre contrat.
Qu'est-ce qu'un DPA et pourquoi est-ce obligatoire pour une agence web ?
Un DPA (Data Processing Agreement) est le contrat de sous-traitance imposé par l'article 28 du RGPD. Il doit être signé dès qu'une agence traite des données personnelles pour le compte d'un client. Il précise l'objet du traitement, les catégories de données, les obligations de sécurité, les droits d'audit et les règles de notification en cas de violation. L'absence de DPA expose à la fois l'agence et son client à des sanctions de la CNIL pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
Que se passe-t-il si le site d'un client est piraté et qu'il n'existe pas de DPA ?
La CNIL peut sanctionner les deux parties : le client en tant que responsable de traitement pour ne pas avoir encadré son sous-traitant, et l'agence directement en tant que sous-traitant défaillant. En décembre 2025, Mobius Solutions Ltd a été condamné à 1 million d'euros d'amende pour une fuite de données dont il était sous-traitant, sans que son client soit exonéré pour autant. L'absence de DPA vous prive de tout bouclier juridique dans cette situation.
L'agence peut-elle utiliser son hébergeur ou ses outils sans l'accord du client ?
Non. L'article 28.2 du RGPD interdit au sous-traitant de recruter un autre sous-traitant sans l'autorisation écrite préalable du responsable de traitement. Cette autorisation peut être générale, listée dans une annexe actualisable, ou spécifique pour chaque nouvel outil. L'utilisation non autorisée d'un sous-sous-traitant expose l'agence à une sanction directe, comme l'illustrent plusieurs délibérations de la CNIL entre 2022 et 2025.
L'agence est-elle responsable si le client refuse de mettre en conformité son site ?
Partiellement. L'agence ne peut pas être sanctionnée pour les choix de conformité que son client refuse de mettre en oeuvre, à condition que le DPA soit en place et que l'agence ait documenté ses recommandations par écrit. En revanche, continuer de traiter des données sur un site manifestement non conforme, sans alerte formalisée, peut engager votre responsabilité. Un simple email de recommandation conservé suffit souvent à vous protéger.
Faut-il un DPA même pour une mission courte ou ponctuelle ?
Oui. Dès le premier accès à des données personnelles d'un client, l'obligation de DPA s'applique. La durée de la mission n'a aucune incidence sur ce point. Une intervention ponctuelle de maintenance sur un CMS contenant une base de contacts ou des commandes déclenche les obligations de l'article 28 du RGPD exactement comme un contrat annuel de gestion complète.
Jérémy Pierre
Expert en conformité RGPD, Jérémy accompagne les sites et agences dans la mise en conformité de leurs traitements de données depuis le lancement de RGPDKit.