La conformité d’un site dépend aussi des services qui soutiennent le site et de la manière dont les données y circulent.
Sous-traitants, hébergement et flux
Un site ne se résume pas à ses pages. Hébergement, messagerie, stockage, sauvegardes et prestataires techniques entrent eux aussi dans la lecture RGPD.
Sous-traitants, hébergement et flux
Le but de cette page est simple : permettre à un dirigeant, à un responsable opérationnel ou à un chef de projet de comprendre vite si le sujet justifie un audit du visible, une lecture documentaire renforcée ou une reprise plus large de la conformité.
1. Pourquoi ce sujet dépasse le site lui-même
Le site visible ne suffit pas à comprendre la réalité d’un traitement. Hébergement, messagerie, stockage privé, sauvegardes, journaux, vidéos, formulaires et outils de support dessinent en réalité une chaîne technique plus large qu’il faut pouvoir relire proprement.
Nommer un hébergeur ou un fournisseur SaaS ne suffit pas : il faut savoir ce qu’il fait réellement et comment il est encadré.
Une donnée peut être bien collectée sur le site et mal gérée ensuite si les flux, accès et supports ne sont pas relus sérieusement.
2. Les angles morts fréquents
Messagerie et notifications
Boîtes partagées, routages imprécis, absence de journalisation ou sous-traitance technique non vraiment relue.
Stockage et sauvegardes
Répertoires publics, duplication de données, copies de sauvegarde non identifiées ou purges seulement théoriques.
Prestataires empilés
Hébergement, envoi d’e-mails, vidéos, CRM, signatures, tickets ou support, sans cartographie suffisamment claire.
3. Ce qu’un audit documentaire doit relire
- l’identité des prestataires réellement impliqués dans le parcours du site ;
- le lieu d’hébergement déclaré, le stockage effectif et les répertoires sensibles ;
- la logique d’accès aux boîtes e-mail, aux formulaires, aux journaux et aux exports ;
- les sauvegardes, leur localisation, leur rétention et leur cohérence avec la politique publiée ;
- le niveau de documentation disponible sur les contrats, rôles et flux principaux.
4. Quand il faut passer au site + documents
Dès que l’hébergement, la messagerie, les sauvegardes ou les prestataires deviennent une partie du sujet, le site seul ne suffit plus. Il faut alors confronter le visible aux documents, aux contrats, aux configurations et aux rôles réels.
Le bon point d’entrée devient souvent le site + documents
Quand la sous-traitance ou les flux techniques comptent déjà, un audit documentaire renforcé évite de s’arrêter à une lecture trop superficielle du seul visible.