Recours à un prestataire.
La réalisation des études mentionnées à l'article 1er peut être confiée par le responsable du traitement à un tiers prestataire de services.
Les données pertinentes pour réaliser une prestation sous-traitée peuvent être accédées par le prestataire sur habilitation spéciale ou lui être transmises par le responsable du traitement sous forme chiffrée, et dans les conditions prévues par une convention conforme au référentiel général de sécurité (RGS) (décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005, relatifs à la sécurité des informations échangées par voie électronique).
La convention signée avec le prestataire doit notamment définir les opérations autorisées à partir des données à caractère personnel auxquelles il a accès ou qui lui sont transmises ainsi que les engagements pris pour garantir leur sécurité et leur confidentialité, et souligner en particulier l'interdiction d'utiliser les données à d'autres fins que celles faisant l'objet de la convention.
Le prestataire de services doit procéder à la destruction ou à la restitution de tous les fichiers manuels ou informatisés contenant les informations qui lui ont été transmises et qu'il a enrichies, dès l'achèvement de son contrat.