Les sous-traitants sont « la personne physique ou morale, l’autorité publique, le service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ».
Désormais, ils ont des obligations au regard du RGPD. La CNIL a publié un guide pour les sensibiliser et les accompagner dans la mise en œuvre concrète de leurs obligations.
Ce guide a précisé la notion de « sous-traitant » et sa portée, les principaux changements apportés par le RGPD aux obligations des sous-traitants en matière de protection des données à caractère personnel. Il a aussi rappelé les sanctions en cas d’inobservation des dispositions du RGPD.
Il également analysé l’obligation de rédiger un contrat avec chaque sous-traitant, en donnant un exemple type de clauses contractuelles de sous-traitance.