Dans ses « Guidelines on the concepts of controller and processor in the GDPR », l’EDPB remet un peu de rationalité dans le concept de sous-traitant : « not every service provider that processes personal data in the course of delivering a service is a “processor” within the meaning of the GDPR ».
1️⃣ En toute logique, n’est pas sous-traitant, par exemple : un service de taxi pour entreprise qui traite les données de salariés transportés. 2️⃣ De manière critiquable, reste sous-traitant selon l’EDPB : le prestataire auquel une entreprise confie le support de son IT.
Des commentaires peuvent être adressés à l’EDPB jusqu’au 19 octobre 2020.
