CNIL. Guide du sous-traitant. Edition septembre 2017. [en ligne] [Consulté le 23.01.2019]
GROUPE DE TRAVAIL "ARTICLE 29" SUR LA PROTECTION DES DONNEES. Avis 1/2010 sur les notions de "responsable du traitement" et de "sous-traitant", adopté le 16 février 2010. 36 p., 00264/10/FR WP 169 [en ligne] [Consulté le 23.01.2019]
METILLE, Sylvain. RAEDLER, David. Le RGPD et le sous-traitant suisse : quelle application du Règlement général de protection des données à un sous-traitant établi hors de l'Espace économique européen ? In : Jusletter 26 octobre 2020. [en ligne] [Consulté le 25.01.2024]
En anglais : data processor
Personne physique ou morale, autorité publique, service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Selon le RGPD, le sous-traitant a les mêmes obligations que le responsable du traitement en ce qui concerne le respect du règlement et il est également soumis aux obligations demandées par le responsable du traitement.
Le sous-traitant doit notamment :
Le sous-traitant : celui qui traite des données pour le compte et selon les instruction du responsable du traitement (art. 5 lit. k nLPD, art. 4 RGPD). Il ne s'agit pas d'un tiers au nom de la loi.
art 10a LPD exige principalement un contrat qui peut être oral
art 9 nLPD
art 28 RGPD exige un contrat écrit avec de nombreux éléments obligatoires
Traditionnellement les fournisseurs de services = sous-traitants mais tendance à la responsabilité indépendante ou responsabilité conjointe selon la jurisprudence récente (l'administrateur d'une page hébergée sur facebook est conjointement avec facebook responsable du traitement des données des visiteurs de la page idem celui qui a inséré sur son site web le bouton "j'aime" de facebook)