Sous-traitant RGPD

Au sens de l'article 4(8) du RGPD, le sous-traitant est la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement (par exemple un prestataire SaaS, un hébergeur, un service d'envoi d'e-mails). Sa relation avec le responsable doit être encadrée par un contrat de sous-traitance (DPA) conforme à l'article 28, qui définit ses obligations : agir sur instructions documentées, garantir la confidentialité, mettre en œuvre des mesures de sécurité, assister le responsable, autoriser les audits, restituer ou supprimer les données en fin de contrat.