RGPD agence communication : guide pratique 2026
RGPD pour agence de communication et marketing : sous-traitance, campagnes, bases prospects, pixels et cookies. Obligations, DPA et contrôles CNIL.
- Sous-traitant ou responsable : la question centrale
- Les traitements typiques de l’agence
- Pixels, cookies et traceurs : le terrain le plus exposé
- Les bases de prospects : le risque de l’achat de fichiers
- Faut-il désigner un DPO ?
- Les sous-traitants ultérieurs de l’agence
- Sécurité et contrôles CNIL
- Checklist de conformité pour agence de communication
- FAQ
L’essentiel. Une agence de communication est le plus souvent sous-traitant au sens de l’Art. 28 du RGPD : elle traite les données des clients finaux pour le compte de l’annonceur, qui reste responsable de traitement. Cette qualification impose un contrat de sous-traitance conforme, des obligations d’assistance et une interdiction d’usage des données à ses propres fins. Mais l’agence redevient responsable de traitement pour sa prospection, ses bases internes et ses campagnes menées en son nom propre. Distinguer ces deux casquettes est la clé de la conformité.
Une agence de communication ou de marketing manipule en permanence des données personnelles qui ne lui appartiennent pas : fichiers clients de l’annonceur, bases d’emailing, audiences publicitaires, données comportementales issues des pixels et cookies. Cette position d’intermédiaire crée une confusion fréquente sur les responsabilités RGPD. Qui répond des données ? Qui doit informer les personnes ? Qui notifie en cas de fuite ? La réponse dépend entièrement de la qualification — sous-traitant ou responsable de traitement — et cette qualification change selon le traitement considéré. Voici comment la trancher, projet par projet.
Sous-traitant ou responsable : la question centrale
Le sous-traitant au sens RGPD (Art. 4(8)) traite des données pour le compte et sur instruction d’un responsable de traitement. C’est la situation la plus courante d’une agence : l’annonceur détermine la finalité (promouvoir ses produits, fidéliser ses clients) et confie l’exécution à l’agence.
Dans cette configuration, l’Art. 28 du RGPD impose un contrat écrit — le DPA — comportant les mentions obligatoires de l’Art. 28(3) : objet et durée du traitement, finalités, obligation de n’agir que sur instruction, confidentialité, sécurité, assistance au responsable, sort des données en fin de contrat, recours à des sous-traitants ultérieurs. L’agence sous-traitante :
- ne peut pas utiliser les données du client à ses propres fins ;
- doit assister l’annonceur dans la gestion des demandes de droits et des violations ;
- doit tenir son propre registre des catégories d’activités de sous-traitance (Art. 30(2)) ;
- répond directement en cas de manquement à ses obligations propres (Art. 82).
Mais l’agence redevient responsable de traitement dès qu’elle détermine elle-même les finalités : sa propre prospection commerciale, la gestion de ses salariés, ses campagnes de notoriété menées en son nom, la constitution de ses bases de prospects. Pour ces traitements, elle assume l’ensemble des obligations : information, base légale, registre en tant que responsable, durées de conservation.
Il existe enfin des cas de responsabilité conjointe (Art. 26) : lorsque agence et annonceur définissent ensemble les finalités et les moyens d’une campagne. Un accord de responsabilité conjointe est alors requis, répartissant les obligations entre les deux acteurs.
Les traitements typiques de l’agence
Le tableau distingue les traitements où l’agence agit pour le compte du client (sous-traitance) et ceux où elle agit pour elle-même (responsable).
| Traitement | Base légale | Durée de conservation |
|---|---|---|
| Gestion des bases clients de l’annonceur (sous-traitance) | Instruction du client (Art. 28) | Selon instructions du client |
| Campagnes emailing pour le compte du client | Instruction du client (Art. 28) | Durée de la campagne |
| Ciblage publicitaire, pixels et audiences | Instruction du client / consentement | 13 mois max pour les cookies |
| Prospection commerciale de l’agence | Intérêt légitime / consentement | 3 ans après dernier contact |
| Base de prospects propre à l’agence | Intérêt légitime (Art. 6(1)(f)) | 3 ans sans contact |
| Gestion des contacts et clients de l’agence | Exécution du contrat (Art. 6(1)(b)) | Durée relation + prescription |
| Gestion des salariés et freelances | Contrat + obligation légale | 5 ans après départ |
Pour la prospection commerciale B2B menée par l’agence en son nom, l’intérêt légitime est mobilisable sous conditions (message en rapport avec la fonction professionnelle du destinataire, droit d’opposition). Pour la prospection B2C par email, le consentement préalable est en principe requis.
Pixels, cookies et traceurs : le terrain le plus exposé
C’est le domaine où les agences prennent le plus de risques, souvent sans en avoir conscience. La pose de pixels de suivi (Meta Pixel, tags publicitaires), de cookies de mesure d’audience et de traceurs de reciblage sur le site d’un client relève des règles issues de l’article 82 de la loi Informatique et Libertés (transposant la directive ePrivacy), complétées par le RGPD.
Les principes à respecter :
- Consentement préalable pour tout traceur non strictement nécessaire (publicité, reciblage, mesure d’audience non exemptée). Le dépôt ne peut intervenir qu’après recueil du consentement via un bandeau conforme.
- Le consentement doit être libre, éclairé, spécifique et univoque. Un bandeau qui ne propose pas de refuser aussi simplement que d’accepter n’est pas conforme.
- Durée de vie des cookies limitée à 13 mois et durée de conservation des données qui en sont issues limitée à 25 mois maximum.
- Documentation du consentement : l’agence doit pouvoir démontrer, pour le compte du client, que le consentement a bien été recueilli.
La question de la responsabilité est ici cruciale. Lorsque l’agence installe des pixels sur le site de l’annonceur et que les données alimentent aussi les plateformes publicitaires (qui les réutilisent à leurs propres fins), on est généralement dans une situation de responsabilité conjointe entre l’annonceur et la plateforme — l’agence agissant comme sous-traitant technique de l’annonceur. La chaîne doit être documentée.
Les bases de prospects : le risque de l’achat de fichiers
Beaucoup d’agences constituent ou acquièrent des bases de prospects. Deux règles doivent être gravées dans le marbre.
L’achat ou la location de fichiers est encadré. Les personnes figurant dans un fichier acheté doivent avoir été informées, au moment de la collecte, que leurs données pourraient être cédées à des partenaires. À défaut, la réutilisation est illicite. Pour la prospection par email B2C, le consentement doit avoir été recueilli spécifiquement pour ce canal — un consentement générique ne suffit pas.
La minimisation s’applique. Le principe de minimisation interdit de conserver plus de données que nécessaire. Une base de prospects gonflée d’informations inutiles est un facteur de risque et une cible privilégiée en cas de contrôle.
Enfin, chaque personne doit pouvoir exercer facilement son droit d’opposition, et tout message de prospection doit comporter un moyen de désinscription fonctionnel. Lorsque l’agence opère pour un marchand en ligne, les règles de collecte des emails clients se combinent avec celles du RGPD en e-commerce, que le vendeur doit respecter de son côté.
Faut-il désigner un DPO ?
L’Art. 37 impose un DPO en cas de suivi régulier et systématique à grande échelle, ou de traitement à grande échelle de données sensibles. Une agence dont l’activité principale consiste à profiler des audiences, à gérer de vastes bases comportementales et à opérer du reciblage à grande échelle peut relever du critère de suivi systématique.
En pratique, beaucoup d’agences de taille moyenne ne franchissent pas le seuil de la « grande échelle », mais l’accumulation de traitements sensibles (profilage, ciblage comportemental) rend la désignation d’un DPO fortement recommandée, voire obligatoire pour les plus grosses structures. Le DPO externalisé est une option adaptée à un secteur où les compétences RGPD internes sont rares. Pour les campagnes reposant sur du profilage à grande échelle, une analyse d’impact (AIPD) au titre de l’Art. 35 est souvent requise.
Les sous-traitants ultérieurs de l’agence
L’agence, elle-même sous-traitante, fait appel à ses propres prestataires — ce sont des sous-traitants ultérieurs au sens de l’Art. 28(2) et (4). Le recours à ces prestataires suppose l’autorisation de l’annonceur et un contrat back-to-back reprenant les mêmes obligations :
- Plateformes d’emailing et de marketing automation
- Régies et plateformes publicitaires (achat média)
- Outils de CRM et de gestion de campagnes
- Hébergeur cloud, prestataire de stockage des créations
- Prestataires de studio, freelances ayant accès aux données
- Outils d’analytics et de mesure d’audience
Chaque freelance ou prestataire ayant accès aux données du client doit être lié par une clause de confidentialité et, s’il traite les données, par un contrat Art. 28. La cartographie de cette chaîne fait partie des premiers livrables d’un audit RGPD.
Pour organiser ces contrats de sous-traitance et suivre les obligations d’assistance de manière fiable, Legiscope permet de centraliser les DPA et de cartographier les flux entre l’agence, ses clients et ses prestataires.
Sécurité et contrôles CNIL
L’Art. 32 impose des mesures adaptées au risque. Pour une agence, les mesures attendues sont : cloisonnement des accès par client, chiffrement des transferts de fichiers, authentification forte sur les outils marketing, gestion des habilitations des freelances, purge des fichiers en fin de mission conformément aux instructions du client.
La CNIL est particulièrement active sur les cookies et traceurs, thème de contrôles récurrent. Les points examinés dans le secteur communication/marketing sont généralement :
- La conformité des bandeaux cookies (refus aussi simple que l’acceptation)
- Le dépôt de traceurs avant recueil du consentement
- L’existence de DPA conformes entre agence, annonceurs et sous-traitants ultérieurs
- La licéité des bases de prospects et des fichiers achetés
- Le respect du droit d’opposition en prospection
- Les durées de conservation des données de campagne
Les manquements aux règles cookies figurent parmi les motifs de sanction les plus fréquents ces dernières années. Voir notre dossier CNIL pour le cadre général.
Checklist de conformité pour agence de communication
- [ ] Chaque mission qualifiée : sous-traitance, responsabilité propre ou responsabilité conjointe
- [ ] DPA Art. 28 signé avec chaque annonceur (agence sous-traitante)
- [ ] Registre des activités de sous-traitance (Art. 30(2)) tenu à jour
- [ ] Registre en tant que responsable pour la prospection et les bases propres — voir un exemple de registre
- [ ] Bandeaux cookies conformes sur les sites clients (refus = accepter)
- [ ] Aucun traceur déposé avant consentement
- [ ] Licéité vérifiée des fichiers prospects achetés ou loués
- [ ] Consentement B2C recueilli pour la prospection par email
- [ ] Contrats back-to-back avec les sous-traitants ultérieurs
- [ ] DPO désigné si profilage à grande échelle
- [ ] AIPD réalisée pour les campagnes de profilage à grande échelle
FAQ
Une agence de communication est-elle responsable de traitement ou sous-traitant ?
Les deux, selon le traitement. Elle est sous-traitante lorsqu’elle traite les données des clients finaux pour le compte de l’annonceur (campagnes, emailing, gestion de fichiers). Elle est responsable de traitement pour sa propre prospection, ses bases de prospects internes et la gestion de ses salariés. Chaque mission doit être qualifiée individuellement.
L’agence doit-elle signer un DPA avec ses clients ?
Oui, dès qu’elle agit comme sous-traitante. L’Art. 28 impose un contrat écrit reprenant les mentions obligatoires : instructions, confidentialité, sécurité, assistance, sort des données en fin de contrat, sous-traitance ultérieure. Sans ce contrat, la relation est en défaut de conformité, tant pour l’agence que pour l’annonceur.
Qui est responsable des cookies déposés par l’agence sur le site d’un client ?
En principe, l’annonceur est responsable du dépôt de traceurs sur son propre site, l’agence agissant comme prestataire technique. Lorsque les données alimentent des plateformes publicitaires qui les réutilisent, une responsabilité conjointe peut exister entre l’annonceur et la plateforme. La chaîne de responsabilité doit être documentée au cas par cas.
Peut-on utiliser un fichier de prospects acheté pour une campagne emailing ?
Seulement si les personnes ont été informées, au moment de la collecte, que leurs données pourraient être cédées, et si le consentement au canal email a été recueilli pour la prospection B2C. Un consentement générique ne suffit pas. À défaut, la campagne est illicite. Voir notre guide sur la prospection commerciale RGPD.
Une agence doit-elle désigner un DPO ?
Pas systématiquement. L’obligation dépend de l’échelle du profilage et du ciblage comportemental. Une agence opérant du reciblage et du profilage à grande échelle peut relever de l’Art. 37(1)(b). Pour les autres, le DPO n’est pas obligatoire mais fortement recommandé compte tenu de la densité de traitements.
L’agence doit-elle tenir un registre RGPD ?
Oui, un double registre. En tant que sous-traitante, elle tient le registre des catégories d’activités de sous-traitance (Art. 30(2)). En tant que responsable de traitement pour ses propres traitements (prospection, RH), elle tient le registre classique de l’Art. 30(1). Un exemple de registre rempli aide à structurer les deux.