Les sous-traitants

Définition

• Société « donneur d’ordre » : Responsable de traitement.
• Sous-traitant : traite les données personnelles pour le compte du responsable de traitement.

Qui est concerné ?

• Des personnes physiques et/ou morales en contrat avec d’autres sociétés ou organismes.

• L’entreprise « responsable de traitement » qui confie la gestion des données personnelles à des prestataires qui deviennent les sous-traitants : Experts-comptables, Hébergeurs, SSII, ….
• Le sous-traitant qui traite des données personnelles sur ordre de services d’une société ou organisme dans le cadre d’une prestation ou d’un service : opération de comptabilité, paie, prospection…

Que sont les obligations des sous-traitants ?

• Respect d’obligations spécifiques : sécurité, confidentialité, et documentation de leurs activités.
• Prise en compte de l’objectif de protection des données personnelles et de la vie privée (principe du « Privacy by design »).
• Mise en place de mesures garantissant une protection optimale des données.
• Obligation de conseil auprès de leurs clients : aide à l’étude d’impact sur la vie privée, notification de violation de données…
• Tenue d’un registre spécifique des activités de traitement effectuées pour le compte de leurs clients.

Note : rédiger un contrat entre sous-traitant et donneur d’ordre pour définir les obligations respectives de chaque partie. Ce contrat doit contenir une clause particulière sur la protection des données personnelles en toute transparence.