Sous-traitant
Une entité qui traite des données personnelles pour le compte et selon les instructions d'un responsable du traitement.
Un sous-traitant est une organisation ou un individu qui traite des données personnelles pour le compte d'un responsable du traitement, en suivant les instructions du responsable plutôt qu'en prenant des décisions indépendantes concernant les données. Les exemples courants incluent les fournisseurs d'hébergement cloud, les plateformes de marketing par e-mail, les services d'analyse et les processeurs de paiement. En vertu du RGPD, la relation entre le responsable et le sous-traitant doit être régie par un accord formel de traitement des données (DPA) qui spécifie la portée, la nature et la finalité du traitement.
Les sous-traitants ont leurs propres obligations de conformité en vertu du RGPD, notamment la mise en œuvre de mesures de sécurité appropriées, l'interdiction d'engager des sous-traitants ultérieurs sans l'autorisation du responsable, l'assistance au responsable pour les demandes des personnes concernées et les notifications de violations, le maintien de registres des activités de traitement et la suppression ou la restitution des données à la fin de la relation de service. Un sous-traitant qui agit en dehors des instructions du responsable — par exemple, en utilisant les données à ses propres fins — peut être requalifié en responsable du traitement et assumer l'intégralité des obligations et de la responsabilité du responsable.