Le 8 septembre 2025, l’autorité grecque de protection des données (HDPA) a sanctionné Vodafone et son sous-traitant DS Phone pour plusieurs manquements au RGPD, notamment en matière de gestion de la sous-traitance.
L’affaire met en lumière une faille encore trop fréquente : le manque de contrôle des prestataires et l’absence de contrats conformes entre responsables de traitement et sous-traitants.
Les faits : un partenariat mal encadré
En octobre 2022, un incident de sécurité impliquant DS Phone, prestataire de Vodafone, a révélé d’importantes failles dans la gestion des données personnelles.
L’autorité grecque a constaté qu’aucun contrat conforme à l’article 28, paragraphe 3 du RGPD n’était en place entre les deux entités. Ce contrat, pourtant obligatoire, doit préciser les instructions du responsable de traitement, les mesures de sécurité, les modalités de contrôle et les conditions de recours à des sous-traitants ultérieurs.
Sans ce cadre juridique, le partenariat reposait sur une base fragile, laissant place à des traitements non encadrés et à des risques de violation de données.
Les manquements identifiés
La HDPA a reproché à Vodafone de ne pas avoir assuré une supervision efficace de son prestataire. L’entreprise n’a pas détecté les pratiques non conformes de DS Phone, notamment des erreurs dans les données et des failles dans la sécurité des traitements.
Ce manque de surveillance témoigne d’une carence dans la gouvernance des sous-traitants, un point central du RGPD. Le responsable de traitement reste tenu de vérifier que ses prestataires offrent des garanties suffisantes en matière de protection des données, tant sur le plan contractuel que technique.
Ce que dit le RGPD sur la sous-traitance
L’article 28 du RGPD encadre strictement la relation entre un responsable de traitement et son sous-traitant.
Avant de confier un traitement de données, le responsable doit s’assurer que le prestataire respecte les exigences du RGPD, et formaliser cette relation dans un contrat écrit. Ce contrat doit détailler les obligations de chaque partie, les mesures de sécurité à appliquer, la confidentialité, la gestion des incidents et les audits possibles.
Le responsable de traitement reste co-responsable des traitements confiés : il ne peut pas
se décharger de sa responsabilité en cas de faute du prestataire.
Les leçons pour les entreprises
Cette sanction illustre un risque majeur pour toutes les organisations qui externalisent une partie de leurs traitements : la sous-traitance non maîtrisée.
Les dirigeants doivent s’assurer que chaque partenariat est encadré par un contrat de sous-traitance conforme, régulièrement mis à jour, et que des contrôles effectifs sont réalisés.
L’audit des sous-traitants, la vérification des mesures de sécurité, et la documentation des procédures sont des réflexes indispensables pour éviter les sanctions.
Une vigilance qui concerne tous les secteurs
Même si cette affaire touche le secteur des télécommunications, les enjeux sont universels.
Toute entreprise travaillant avec des prestataires techniques, des hébergeurs, des agences marketing ou des centres d’appels est concernée. Une erreur ou une négligence d’un sous-traitant peut entraîner une sanction directe pour le donneur d’ordre et fragiliser la confiance des clients.
Conclusion : contrôler, contractualiser, documenter
La décision de la HDPA est un rappel clair : la conformité ne s’externalise pas.
Le responsable de traitement doit rester maître de ses données et de la manière dont elles sont traitées, même lorsqu’elles passent entre les mains d’un prestataire.
