Article 28

Sous-traitant

1. Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

2. Le sous-traitant ne peut engager un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. En cas d’autorisation écrite générale, le sous-traitant informe le responsable du traitement de toute modification prévue concernant l’ajout ou le remplacement d’autres sous-traitant, donnant ainsi au responsable du traitement la possibilité de s’opposer à ces modifications.

3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique relevant du droit de l’Union ou du droit national, qui lie le sous-traitant au responsable du traitement et qui précise l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement. Ce contrat ou autre acte juridique stipule notamment que le sous-traitant:

(a)

ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;

(b)

veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

(c)

prend toutes les mesures requises en vertu de l’article 32;

(d)

respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;

(e)

tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;

(f)

aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;

(g)

selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel; et

(h)

met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

4. Lorsqu’un sous-traitant engage un autre sous-traitant pour effectuer des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection des données que celles prévues dans le contrat ou autre acte juridique entre le responsable du traitement et le sous-traitant visé au paragraphe 3 sont imposées à cet autre sous-traitant par le biais d’un contrat ou autre acte juridique en vertu du droit de l’Union ou du droit des États membres, en particulier la fourniture de garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Si cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial reste pleinement responsable de l’exécution des obligations de cet autre sous-traitant vis-à-vis du responsable du traitement.

5. L’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.

6. Sans préjudice d’un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu’elles font partie d’une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.

7. La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d’examen visée à l’article 93, paragraphe 2.

8. Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l’article 63.

9. Le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.

10. Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

Qu'est-ce que ça veut dire?

Vous devez faire appel à des sous-traitantdonnées à caractère personnel qui peuvent fournir des garanties suffisantes qu’ils ont mis en œuvre des mesures techniques ou organisationnelles pour sauvegarder les données de la personne concernée.

Fournir à des garanties suffisantes signifie prouver que le sous-traitant se conforme à l’obligation de préserver la sécurité des données de la personne concernée. Vous devez donc choisir un sous-traitant données fiable qui offre des garanties suffisantes.

Tout cela doit être documenté dans un accord de traitement des données ou d’une manière similaire.

Les mesures techniques et organisationnelles appropriées sont un concept fondamental du RGPD.

Pour déterminer une mesure “appropriée”, vous devez procéder à une évaluation des risques de votre traitement des données personnelles concernant la personne concernée.

Le traitement de données personnelles sensibles nécessite des mesures plus strictes pour assurer la conformité au RGPD que, par exemple, une personne qui s’inscrit à une newsletter. L’évaluation des risques porte donc sur les détails de votre traitement spécifique afin que vous puissiez faire respecter les règles suivantes mesures techniques et organisationnelles appropriées.

L’évaluation des risques vous permet de déterminer si une mesure est appropriée.

Vous ne pouvez pas faire appel à un sous-traitant en votre nom, à moins qu’il n’ait fourni des garanties suffisantes pour traiter les données personnelles en conformité avec le RGPD.

Le sous-traitant données doit mettre en œuvre des mesures techniques et organisationnelles appropriées et s’engage à ne pas faire appel à d’autres sous-traitantdonnées sans le consentement préalable du responsable du traitement. En outre, le responsable du traitement et le sous-traitant doivent signer un accord de traitement des données qui détermine les exigences spécifiques au traitement des données personnelles, par exemple le type de données personnelles et la durée du traitement.

Tous les responsable du traitementdonnées doivent signer un accord de traitement des données avec leurs sous-traitant. L’accord de traitement des données doit contenir les exigences énumérées à l’article 28, paragraphe 3, qui, par exemple, exigent que tous les sous-traitantobtiennent l’autorisation préalable du responsable du traitement données pour l’utilisation de tout sous-traitant ultérieur.

Le sous-traitant d’un sous-traitant est également appelé sous-processeur. Un sous-traitant ultérieur est un vendeur pour un vendeur dans le cadre du traitement des données personnelles.

Le responsable du traitement des responsable du traitement est responsable de l’accord de traitement des données en tant que responsable du traitement données personnelles. Cette responsabilité implique également de vérifier que le sous-traitant données respecte l’accord de traitement des données.

Un accord de traitement des données doit répondre aux exigences énoncées à l’article 28 du RGPD.

On peut trouver des clauses contractuelles types sur le site de l’Union européenne. Il s’agit de modèles pour établir un accord sur le traitement des données.

Oui. Il incombe au responsable du traitement documenter la conformité au RGPD, et vous devez également être en mesure de démontrer que les sous-traitantrespectent l’accord de traitement des données.

Certains accords de traitement des données stipulent que le responsable du sous-traitant doit obtenir une autorisation spécifique préalable du responsable du traitement pour choisir un nouveau sous-traitant pour certaines parties du traitement (sous-traitant secondaire). Cette autorisation préalable permet au responsable du traitement de mieux contrôler la manière dont les données personnelles sont traitées dans la chaîne de valeur, ce qui accroît la sécurité des personnes concernées.

Les accords de traitement des données peuvent également contenir une autorisation écrite générale permettant d’utiliser un type spécifique de sous-traitant pour les données personnelles convenues sans autorisation préalable explicite. Toutefois, le sous-traitant doit toujours informer le responsable du traitement à l’avance de tout changement prévu afin de permettre au responsable du traitement de s’opposer aux changements.

Si vous êtes le responsable du sous-traitant données et que vous souhaitez ajouter ou remplacer un sous-traitant ultérieur, vous devez en informer le responsable du traitement données par écrit. Il en va de même pour les modifications apportées au traitement des données à caractère personnel effectué par un sous-traitant.

Formation de sensibilisation

Veillez à ce que l’ensemble de votre entreprise dispose de la formation de sensibilisation nécessaire sur les bases du RGPD et de la sécurité informatique.

Discover

About