Formateur en business development
Formateur en business development

Glossaire #RGPD. #4

Le sous-traitant c’est qui ?

Le RGPD introduit une notion de coresponsabilité entre le responsable du traitement et son sous-traitant. Vérifiez que vos sous-traitants sont conformes au RGPD ! Par @FGuerard34 Cliquez pour tweeter

Vous êtes un sous-traitant si vous traitez des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement. Pour rappel, le responsable de traitement est celui « qui détermine les finalités et les moyens d’un traitement » (article 4 du règlement européen – définitions).

Une très grande variété de prestataires de services a la qualité de sous-traitant au sens juridique du terme.

Les activités des sous-traitants peuvent concerner une tâche bien précise (sous-traitance d’envoi de courriers) ou être plus générales et étendues (gestion de l’ensemble d’un service pour le compte d’un autre organisme telle que la gestion de la paie des salariés ou des agents par exemple).

Sont notamment concernés par le règlement européen :

  • Les prestataires de services informatiques (hébergement, maintenance…), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique (ESN) qui ont accès aux données,
  • Les agences de marketing ou de communication qui traitent des données personnelles pour le compte de clients
  • Plus généralement, tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme.
  • Un organisme public ou une association peut également être amené à recevoir une telle qualification.

A noter :

  • Un organisme qui est sous-traitant est généralement responsable de traitement pour les traitements qu’il réalise pour son propre compte, et non pour ses clients (gestion de son personnel par exemple).
  • Lorsqu’un organisme détermine la finalité et les moyens d’un traitement, il ne peut pas être qualifié de sous-traitant : un tel organisme doit être considéré comme étant un responsable de ce traitement (article 28.10 du règlement européen).

 

A retenir :

 

Le RGPD introduit une notion de coresponsabilité entre le responsable du traitement et son sous-traitant. Vérifiez que vos sous-traitants sont conformes au RGPD !

Par François Guérard

Formateur en RGPD, DPO externe et business development

https://www.bizdev34.fr

 

Glossaire RGPD. #0

Glossaire RGPD. #1

Glossaire RGPD. #2

Glossaire RGPD. #3

Glossaire RGPD. #4

Glossaire RGPD. #5

Glossaire RGPD. #6