Responsable de traitement et sous-traitant : 6 bonnes pratiques pour respecter les données personnelles

08 juillet 2020

Le sous-traitant et le responsable de traitement sont tenus à un certain nombre de nouvelles obligations en application du RGPD. La CNIL, qui a réalisé des vérifications auprès de 15 fournisseurs de services et solutions informatiques en ligne, rappelle quelques bonnes pratiques à adopter.

Depuis l’entrée en application du RGPD, de nouvelles obligations pèsent sur les sous-traitants comme sur les responsables de traitement.

Les contrôles réalisés par la CNIL, dans le cadre des thématiques de contrôles prioritaires pour 2019, ont mis en évidence une réelle prise de conscience des nouvelles obligations pesant sur les sous-traitants avec notamment l’élaboration par les sous-traitants eux-mêmes de modèles de clauses contractuelles, en annexe du contrat de sous-traitance (désigné également contrat de prestations de services).

Ces conseils s’inscrivent dans la continuité du guide du sous-traitant publié par la CNIL en septembre 2017. Des travaux sont en cours au niveau du Comité européen de la protection des données sur les notions de responsable de traitement et de sous-traitant, qui permettront de préciser et compléter ces premiers rappels.

Déterminer le statut des acteurs impliqués


Établir un contrat clair


Documenter l’activité de sous-traitance


Proposer des outils respectueux des données personnelles


Aider le responsable de traitement à répondre aux demandes d’exercices des droits des personnes


Garantir la sécurité des données collectées


Document reference

Télécharger