Si un sous-traitant doit bien fournir au responsable de traitement des informations sur la violation de données personnelles, il ne doit pas fournir l’évaluation de l’impact de la violation de données sur les personnes concernées.
C’est au responsable de traitement de la réaliser, sur la base des éléments fournis par le sous-traitant et de sa connaissance du contexte, liée à son rôle de responsable de traitement.
Le sous-traitant doit néanmoins être en capacité de coopérer avec le client en cas de questions.
Le délai de 72 heures pour notifier à la CNIL est quant à lui non applicable au sous-traitant : il dispose des meilleurs délais pour informer le responsable de traitement (sauf délai précisé contractuellement). Le délai de 72 h pour notifier la CNIL démarre à compter de la notification faite au responsable de traitement.