Vous pouvez en votre qualité de responsable du traitement confier la gestion de certains traitements de données personnelles à des prestataires externes (p. ex. pour la mise en place, ainsi que la gestion technique de votre site internet, pour l’enregistrement des données sur les serveurs mis à dispositions par un tiers, pour l’utilisation d’un cloud, la gestion administrative de vos membres, un comptable qui calcule les salaires, etc.).
Vous ne pouvez faire appel qu’à des sous-traitants qui présentent des garanties suffisantes quant au respect de la règlementation en matière de protection des données (vous devez le vérifier et en avoir la preuve).
En cas de sous-traitance, l’établissement d’un contrat de sous-traitance est nécessaire. Ce contrat doit lier les deux parties, prévoyant, entre-autres, que le sous-traitant ne peut traiter les données à caractère personnel pour ses propres fins, mais uniquement sur instruction du responsable du traitement. Des clauses types relatives aux règles du RGPD doivent s’y retrouver.
Le RGPD renforce les obligations imposées au sous-traitant. Par exemple, il doit aussi établir un registre des activités de traitement, il doit notifier au responsable du traitement toute violation de données à caractère personnel, et il peut aussi être soumis à l’obligation de nommer un DPO.