Les sous-traitants
Le RGPD reconnait le rôle des sous-traitants dans le traitement des données personnelles.
Certaines obligations leur sont imposées.
Définition
- Société « donneur d’ordre » : Responsable de traitement.
- Sous-traitant : traite les données personnelles pour le compte du responsable de traitement.
Qui est concerné ?
- Des personnes physiques et/ou morales en contrat avec d’autres sociétés ou organismes.
- L’entreprise « responsable de traitement » qui confie la gestion des données personnelles à des prestataires qui deviennent les sous-traitants : Experts-comptables, Hébergeurs, SSII, ….
- Le sous-traitant qui traite des données personnelles sur ordre de services d’une société ou organisme dans le cadre d’une prestation ou d’un service : opération de comptabilité, paie, prospection…

Que sont les obligations des sous-traitants ?
- Respect d’obligations spécifiques : sécurité, confidentialité, et documentation de leurs activités.
- Prise en compte de l’objectif de protection des données personnelles et de la vie privée (principe du « Privacy by design »).
- Mise en place de mesures garantissant une protection optimale des données.
- Obligation de conseil auprès de leurs clients : aide à l’étude d’impact sur la vie privée, notification de violation de données…
- Tenue d’un registre spécifique des activités de traitement effectuées pour le compte de leurs clients.
Note : rédiger un contrat entre sous-traitant et donneur d’ordre pour définir les obligations respectives de chaque partie. Ce contrat doit contenir une clause particulière sur la protection des données personnelles en toute transparence.
