A partir du 25 mai 2018, le Règlement Général sur la Protection des Données personnelles (RGPD) impose à l’article 28 des obligations spécifiques aux sous-traitants qui doivent notamment assister les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements.
Dans un guide pratique, publié sur le site de la CNIL depuis le 29 septembre 2017, la CNIL recommande aux sous-traitants, de désigner un délégué à la protection des données en 2018, mais aussi d’analyser et de réviser les contrats entre sous-traitants et responsables de traitements, sans oublier pour tous les sous-traitants, l’obligation de tenir un registre des catégories d’activités de traitements effectués pour le compte de leurs clients.
A défaut, les sous-traitants peuvent faire l’objet de sanctions administratives importantes pouvant s’élever, selon la catégorie de l’infraction, jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.