L’article 29 LIPDA prévoit un certain nombre d’exigences relatives à la sous-traitance.

Pour qu’un responsable du traitement puisse avoir recours à un sous-traitant qui traite des données personnelles, il faut que la loi le prévoie ou qu’un contrat soit conclu, et que les conditions suivantes soient réunies :

• Le sous-traitant effectue uniquement les traitements que le responsable du traitement serait en droit d’effectuer lui-même ;
• Aucune obligation légale ou contractuelle de garder le secret ne l’interdit.

Par ailleurs, le contrat qui doit revêtir la forme écrite doit définir les éléments suivants :

• L’objet et la durée du traitement
• La nature et la finalité du traitement
• Le type de données personnelles traitées
• Les catégories de personnes concernées
• Les obligations et les droits du responsable du traitement
• Le fait que le sous-traitant n’agit que sur instructions du responsable du traitement
• Le sous-traitant s’engage à respecter la confidentialité
• Le sous-traitant supprime ou renvoie au responsable du traitement toutes les données personnelles au terme de la prestation de services
• Met à disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect de ses obligations.

Le sous-traitant ne peut pas décider seul de sous-traiter lui-même tout ou partie du traitement. Pour ce faire, il doit obtenir l’autorisation écrite du responsable du traitement.

Finalement, le sous-traitant doit tenir un répertoire de tous les traitements effectués pour le compte du responsable du traitement, répondant à l’article 29 alinéa 6 LIPDA.

Afin d’accompagner au mieux les autorités dans ces démarches, nous avons préparé des documents types qui peuvent être repris directement sur notre page relative à la sous-traitance.