Article 28 du RGPD

Responsable du traitement et sous-traitant

Ce que dit le RGPD :

3.  Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public;

b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c) prend toutes les mesures requises en vertu de l'article 32;

d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;

e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;

f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;

g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l'Union ou le droit de l'État membre n'exige la conservation des données à caractère personnel; et

h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données.

4.  Lorsqu'un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d'un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations.

5.  L'application, par un sous-traitant, d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.

6.  Sans préjudice d'un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu'elles font partie d'une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.

7.  La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d'examen visée à l'article 93, paragraphe 2.

8.  Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l'article 63.

9.  Le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.

10.  Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

Que doit-on en comprendre ?

Des exemples de sanctions dans le cadre de cet article

8150000
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Vodafone España, Sau
500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Roma Capitale (municipalité De Rome)
400000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Société Monsanto
350000
Autorité italienne de protection des données (Garante)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Roma Capitale
200000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Merlini Srl
100000
Autorité espagnole de protection des données (aepd)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Vodafone España, Sau
100000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Azienda Unità Sanitaria Locale Toscana Sud Est
80000
Autorité italienne de protection des données (Garante)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Azienda Ospedaliera Di Rilievo Nazionale 'antonio Cardarelli' (hôpital Privé)
75000
Autorité italienne de protection des données (Garante)
Contexte :
Accord de traitement des données insuffisant
En cause :
Regione Lazio
50000
Autorité de protection des données du Brandebourg
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Entreprise Inconnue
50000
Autorité belge de protection des données (APD)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Service À La Famille / Ndpk Nv.
40000
Autorité italienne de protection des données (Garante)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
Aicomply Srl
24000
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Vamavi Phone Sl
22200
Office national polonais de protection des données personnelles (UODO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Krajowa Szkoła Sądownictwa I Prokuratury
9380
Office national polonais de protection des données personnelles (UODO)
Contexte :
Accord de traitement des données insuffisant
En cause :
Major D'aleksandrów Kujawski
8500
Médiateur adjoint à la protection des données
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Editeur De Magazines
7300
Autorité française de protection des données (CNIL)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Perfomeclic
5000
Autorité de protection des données de Hambourg
Contexte :
Accord de traitement des données insuffisant
En cause :
Kolibri Image Regina Et Dirk Maass Gbr
4200
Autorité espagnole de protection des données (aepd)
Contexte :
Accord de traitement des données insuffisant
En cause :
Marbella Resorts Sl
3000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Avata Hispania, Sl
0
Autorité tchèque de protection des données (UOOU)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Fournisseur De Soins De Santé

S'inscrire à la newsletter de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre
En cliquant sur "Accepter", vous acceptez le stockage de cookies sur votre appareil qui permettent d'améliorer la navigation du site, analyser les statistiques et nous soutenir dans nos efforts marketing. N'hésitez pas à consulter notre Politique de confidentialité pour toute information complémentaire.