A savoir :
- Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Ils doivent prendre en compte la protection des données, dès la conception du service ou du produit et par défaut, et mettre en place des mesures permettant de garantir une protection optimale des données.
- Les sous-traitants ont notamment une obligation de conseil auprès des clients pour le compte desquels ils traitent des données. Ils doivent les aider dans la mise en œuvre de certaines obligations du Règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits).
- Les sous-traitants (sauf pour les entreprises de moins de 250 salariés), devront tenir un registre des activités de traitement effectuées pour le compte de leurs clients.
- Dans certains cas, ils devront désigner un délégué à la protection des données (DPD) dans les mêmes conditions qu’un responsable de traitement.