Sous-traitants et responsabilité du traitement sous la LPrD
Une entité publique vaudoise reste responsable du traitement de données même lorsqu'elle confie ces données à un sous-traitant, par exemple un hébergeur, un prestataire informatique ou un éditeur de logiciel. Elle doit encadrer cette relation par contrat et vérifier les garanties du sous-traitant.
Le recours à des prestataires externes est généralisé dans les communes, du logiciel de gestion scolaire à l'hébergement cloud. Chaque sous-traitant représente un point de risque : l'entité doit identifier ses sous-traitants, contractualiser les obligations de protection, vérifier la localisation des données et suivre la conformité dans la durée. La gestion des sous-traitants devient ainsi un point de contrôle central de la conformité LPrD.