Lorsque le responsable de traitement fait appel à un ou des sous-traitants, il s'assure que ceux-ci présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD, de la loi « informatique et libertés » et garantisse la protection des droits de la personne concernée.
Un établissement de santé ou une fédération hospitalière responsable de traitement peut notamment choisir comme sous-traitant un autre établissement de santé ou une fédération hospitalière.
Le responsable de traitement établit avec le sous-traitant un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l'article 28 du RGPD. En particulier, le contrat doit prévoir que le sous-traitant :
- ne traite les données que sur instruction documentée du responsable de traitement et prend toutes les mesures de sécurité requises ;
- ne sous-traite pas sans autorisation écrite du responsable de traitement ;
- aide le responsable de traitement à garantir le respect de ses diverses obligations (droits des personnes, sécurité du traitement, notification de violation, analyses d'impact, etc.) ;
- met à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d'audits ;
- informe immédiatement le responsable de traitement en cas d'instruction qui, selon lui, constitue une violation du RGPD ou de la loi « informatique et libertés ».
En outre, le sous-traitant :
- désigne, le cas échéant, un délégué à la protection des données conformément à l'article 37 du RGPD ;
- tient un registre des catégories de traitements effectués pour le compte du responsable de traitement, conformément à l'article 30 du RGPD.