C’est l’une des mesures phares du règlement général sur les données personnelles (RGPD) entré en vigueur le 25 mai : donner au sous-traitant un véritable statut assorti de responsabilités définies en matière de traitement des données personnelles. Jusqu’à présent, le sous-traitant n’avait qu’une responsabilité contractuelle à l’égard de son donneur d’ordre. Résultat, quelle que soit l’origine de la défaillance, seul le « responsable des traitements », c’est-à-dire le donneur d’ordre, était considéré comme responsable vis-à-vis de la CNIL et de la réglementation qu’elle contrôlait.

La suite