C’est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Le sous-traitant qui agit au nom du responsable de traitement sur le traitement des données à caractère personnel est qualifié de responsable conjoint de traitement.
Que ce soit pour le sous-traitant ou le responsable conjoint de traitement, l’obligation de conclure un contrat spécifique avec chacun est certaine, outre en sus un code de bonne conduite qui doit être présenté à un Organisme certifié par la CNIL aux fins de la validation et de la publication par l’Autorité nationale de contrôle.
Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.
Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis.
Un point de contact pour les personnes concernées peut être désigné dans l’accord. L’accord reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées.
Les grandes lignes de l’accord sont mises à la disposition de la personne concernée. Indépendamment des termes de l’accord, la personne concernée peut exercer les droits que lui confère le RGPD à l’égard de et contre chacun des responsables du traitement.
Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre.