Au sens du RGPD, le sous-traitant est l’entité qui réalise un traitement de données pour le compte du responsable de traitement (qui fixe les objectifs et les modalités du traitement).
Les entreprises ont aujourd’hui massivement recours à des sous-traitants au sens du RGPD, c’est notamment le cas lorsqu’elles utilisent des logiciels édités par des tiers (en mode SaaS par exemple), ou lorsqu’elles externalisent certaines tâches (service client, paie, etc.).
Le RGPD impose de conclure un contrat entre le responsable de traitement et le sous-traitant, lequel doit contenir des mentions obligatoires (sécurité des données, modalités des traitements concernés, sort des données à l’issue du contrat, etc.). Ce contrat sera bien souvent annexé au contrat relatif à la prestation de service réalisée (fourniture d’un logiciel par exemple).
Le sous-traitant sera ainsi tenu, entre autres, de :
