C’est la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable de traitement sur ses instructions documentées et conformément au contrat conclu avec ce dernier. Des obligations propres et spécifiques lui sont imposées :
- une obligation de transparence et de traçabilité ;
- la prise en compte des principes de protection des données ;
- une obligation de garantir la sécurité des données traitées ;
- une obligation d’assistance, d’alerte et de conseil ou coopération notamment en cas de violation de données personnelles.
✅ Un sous-traitant peut être :
- Hébergeur de données ;
- Editeur de logiciel ;
- Prestataires de stockage d’archives intermédiaires ;
- Prestataire d’outsourcing (call centers, BPO etc…).
⛔Un sous-traitant n’est pas un :
- Destinataire de données ;
- Tiers autorisé.