CNIL. Guide du sous-traitant. Edition septembre 2017. [en ligne] [Consulté le 23.01.2019]
D'ERRICO, Luca. Le sous-traitant, entre hantise et maîtrise. 9 février 2024. In : www.swissprivacy.law/282 [en ligne] [Consulté le 21.05.2025]
EDPB. Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD. Version 2.0, Adoptées le 7 juillet 2021. 59 p. [en ligne] [Consulté le 22.05.2025]
EDPB. Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s). Adopted on 7 October 2024. [en ligne]. [Consulté le 30.01.2025]
GROUPE DE TRAVAIL "ARTICLE 29" SUR LA PROTECTION DES DONNEES. Avis 1/2010 sur les notions de "responsable du traitement" et de "sous-traitant", adopté le 16 février 2010. 36 p., 00264/10/FR WP 169 [en ligne] [Consulté le 23.01.2019]
WEBER, Claudia (Dir.). Guide pratique du data processing agreement : des solutions communes pour les acheteurs et prestataires de services IT. Bruxelles : Larcier, 2000. [Consulté le 28.05.2025]
METILLE, Sylvain. RAEDLER, David. Le RGPD et le sous-traitant suisse : quelle application du Règlement général de protection des données à un sous-traitant établi hors de l'Espace économique européen ? In : Jusletter 26 octobre 2020. [en ligne] [Consulté le 25.01.2024]
En anglais : data processor
Les notions de responsable du traitement et de sous-traitant sont définies à art. 5 let. j et K LPD.
ex. de sous-traitant :
Par ailleurs les services rendus par le sous-traitant ne relèvent pas forcément du domaine informatique.
Personne physique ou morale, autorité publique, service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Selon le RGPD, le sous-traitant a les mêmes obligations que le responsable du traitement en ce qui concerne le respect du règlement et il est également soumis aux obligations demandées par le responsable du traitement.
Le sous-traitant doit notamment :
Le sous-traitant : celui qui traite des données pour le compte et selon les instruction du responsable du traitement (art. 5 lit. k nLPD, art. 4 RGPD). Il ne s'agit pas d'un tiers au nom de la loi.
art 10a LPD exige principalement un contrat qui peut être oral
art 9 nLPD
art 28 RGPD exige un contrat écrit avec de nombreux éléments obligatoires
Traditionnellement les fournisseurs de services = sous-traitants mais tendance à la responsabilité indépendante ou responsabilité conjointe selon la jurisprudence récente (l'administrateur d'une page hébergée sur facebook est conjointement avec facebook responsable du traitement des données des visiteurs de la page idem celui qui a inséré sur son site web le bouton "j'aime" de facebook)
La LPD a introduit des obligations directement à la charge du sous-traitant, notamment en matière de sécurité des données (art. 8 LPD, art. 1 ss OPDo). de documentation (art. 12 LPD et art. 5s. OPDo) et des annonces de violations de la sécurité des données (art. 24 LPD).
Si le sous-traitant délègue à son tour une partie du traitement à un autre sous-traitant (i.e. un sous-traitant ultérieur), il doit obtenir l'autorisation du RT.
Selon l'art. 7 OPDo l'autorisation peut être générale ou spécifique. Si l'autorisation est générale, le ST est tenu d'informer le RT d'un nouveau sous-traitant et le RT peut s'y opposer dans un certain délai.
Si le RT est soumis au secret professionnel, il doit s'assurer du respect de celui-ci dans le cas de la sous-traitance.
Si le sous-traitant traite les données hors de Suisse, le responsable du traitement doit respecter les exigences relatives à la sous-traitance (art. 9 LPD) mais également celles se rapportant à la communication de données à l'étranger (art. 16 ss LPD).
En matière de sous-traitance, le RT a un devoir de diligence. Il demeure en charge du respect de la protection des données et il doit s'assurer que le ST s'y conforme dans la même mesure que lui en particulier en matière de sécurité des données (art. 9 al. 2 LPD).
Le RT doit :
Le RT qui intentionnellement recourt à un ST sans respecter les conditions de l'art.9 LPD encourt une amende pénale.
Le responsable du traitement qui entend sous-traiter tout ou partie d'un traitement est tenu de conclure un contrat avec son sous-traitant.
A la différence du RGPD (art. 28 al. 3 RGPD), la LPD ne règlemente ni la forme ni le contenu minimal du contrat de sous-traitance.
L'absence de contrat est sanctionné pénalement (ar.t 61 let. b LPD). Pour des questions de preuves, il est recommandé d'établir un contrat par écrit.
En matière de contenu, le contrat devrait permettre d'établir le respect des exigences de lart. 9 LPD.
Même si le pouvoir de négociation peut s'avérer très restreint pour le RT, notamment lorsque le sous-traitant offre des conditions contractuelles standardisées, il incombe au RT de vérifier que le contrat proposé respecte les exigences légales.
En pratique, les contrats de sous-traitance suisses sont fréquemment rédigés selon les standards du RGPD.
Les dispositions contractuelles relatives à la protection des données s'inscrivent généralement dans une annexe au contrat appelée DATA PROCESSING ADDENDUM.
Il n'est pas toujours facile de déterminer si on est en présence d'une relation de sous-traitance ou d'une relations entre deux responsable de traitement (conjoints ou distincts).
D'une manière générale, un sous-traitant est une personne juridique distincte du responsable du traitement.
L'article 9 LPD règle la sous-traitance du traitement de données.
Le sous-traitant ne peut effectuer que les traitements que le responsable du traitement serait en mesure d'effectuer lui-même.
Dans le cas de transferts de données hors de Suisse, dans un pays considéré comme n'offrant pas une sécurité suffisante selon le Conseil fédéral, il est nécessaire de faire signer des clauses contractuelles types (CCT).
Ces CCT sont des clauses qui régissent les transferts de données.