Comprendre l’article 28 du RGPD
L’article 28 de la Réglementation Générale de la Projection des Données (RGPD) définit les obligations des sous-traitants.
Lorsqu’il désigne un sous-traitant, le responsable du traitement doit s’assurer que celui-ci est en mesure d’effectuer le traitement conformément aux exigences du RGPD. La relation entre un responsable du traitement et un sous-traitant doit être régie par un contrat (ou un autre acte juridique). C’est une obligation essentielle et la source de nombreuses condamnations parfois très lourdes. Ce contrat doit mentionner l’objet, la durée, la nature et le but du traitement, le type de données et les catégories de données collectées.
Le responsable du traitement doit également prendre des mesures pour s’assurer que tout sous-traitant ultérieur désigné par le sous-traitant remplit les mêmes conditions que celles énoncées à l’article 28.
Nous vous offrons des services de mise en conformité RGPD pour protéger la confidentialité de vos données personnelles. Contactez-nous dès aujourd’hui pour garantir la conformité de votre entreprise.
Qu’est-ce qu’un sous-traitant dans le cadre du RGPD ?
Un sous-traitant est toute personne physique ou morale, autorité publique, agence ou autre organisme qui traite des données personnelles pour le compte du responsable du traitement.
Le traitement est défini comme toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit ou non par des moyens automatisés.
Le RGPD s’applique à tout traitement de données à caractère personnel effectué par des responsables du traitement et des sous-traitants dans l’UE, que le traitement ait lieu dans l’UE ou non. Si le sous-traitant est basé en dehors de l’UE, la loi exige que certaines conditions soient remplies pour que le RGPD s’applique.
Quelles sont les obligations des sous-traitants selon le RGPD ?
Transparence et traçabilité
L’une des obligations des sous-traitants dans le cadre du RGPD est de tenir un registre des traitements. Il s’agit d’un registre de toutes les activités qu’ils mènent et qui impliquent le traitement de données à caractère personnel.
Le sous-traitant doit également fournir au responsable du traitement toute information nécessaire pour démontrer qu’il respecte les obligations qui lui incombent en vertu du présent article et permettre et aider les audits, y compris les inspections, réalisés par le responsable du traitement ou un autre auditeur désigné par le responsable du traitement.
Cette obligation de transparence est essentielle afin de pouvoir garantir à tout moment le respect des droits des personnes et de pouvoir réagir rapidement en cas de violation. C’est également un moyen pour les responsables du traitement de vérifier que leurs sous-traitants sont en conformité avec la loi.
Protection des données personnelles
Le sous-traitant doit prendre toutes les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté aux risques présentés par le traitement.
Ces mesures doivent être conçues pour protéger les données à caractère personnel contre la destruction, la perte, l’altération, la diffusion ou l’accès non autorisés, accidentels ou illicites, notamment lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite.
Obligation de conseil
Le sous-traitant doit enfin assister le responsable de traitement et veiller au respect des obligations au titre du RGPD, notamment en ce qui concerne la sécurité des données personnelles, la notification des incidents de données et les évaluations d’impact sur la protection des données.
Le sous-traitant doit également fournir au responsable du traitement toute information nécessaire pour démontrer le respect de ses obligations en vertu du présent article et permettre et aider les audits, y compris les inspections, par le responsable du traitement ou un autre auditeur désigné par le responsable du traitement
Cette obligation est essentielle pour que les responsables de traitement puissent se conformer à leurs obligations au titre du RGPD. En effet, ils n’ont souvent pas l’expertise nécessaire pour le faire et comptent sur les sous-traitants pour leur fournir des conseils adéquats.
Contrat de sous-traitance : les mentions obligatoires dans le cadre du RGPD
Sous-traitants dans l’Union Européenne
Le contrat de sous-traitants contient les clauses obligatoires énoncées à l’article 28 du RGPD.
En particulier, il doit indiquer :
-la durée du contrat ;
-la nature des données traitées ;
-les catégories de personnes concernées ;
-les obligations du sous-traitant.
Le contrat de sous-traitance doit également contenir des clauses spécifiques aux sous-traitants, comme le prévoit l’article 28 du RGPD, comme :
- l’obligation pour le sous-traitant de prendre toutes les mesures de sécurité nécessaires ;
- l’obligation pour le sous-traitant de respecter la confidentialité des données traitées ;
- l’obligation de fournir au responsable du traitement toutes les informations nécessaires pour démontrer qu’il respecte les obligations qui lui incombent.
Il est important de noter que ces clauses ne sont pas exhaustives et que d’autres clauses peuvent être incluses dans le contrat à la discrétion des parties. Toutefois, ces clauses doivent être respectées par tous les sous-traitants établis dans l’Union européenne.
Sous-traitants en dehors de l’Union Européenne
Dans le cadre des sous-traitants établis hors UE, lorsque les données personnelles sont transférées à un sous-traitant établi en dehors de l’UE, le responsable du traitement doit prendre toutes les mesures nécessaires pour s’assurer que le transfert est conforme au RGPD.
Le responsable du traitement doit donc évaluer si le pays en question offre un niveau de protection adéquat des données personnelles. Si tel n’est pas le cas, le responsable du traitement doit prendre l’une des mesures suivantes :
-mettre en œuvre des mesures de protection spécifiques ;
-transférer uniquement des données anonymes ;
-obtenir le consentement explicite des personnes concernées.
La responsabilité des sous-traitants
La responsabilité des sous-traitants peut être engagée dans le cadre du RGPD. lls peuvent notamment être soumis à des amendes administratives pouvant aller jusqu’à 10 000 000 EUR ou 2 % de leur chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Elles peuvent également être tenues responsables des dommages subis par les personnes concernées du fait d’une violation du RGPD. Enfin, les sous-traitants peuvent être tenus conjointement et solidairement responsables avec le responsable du traitement de tout dommage causé par le non-respect par le sous-traitant de ses obligations au titre du RGPD.
En vertu du RGPD, les sous-traitants sont soumis à des obligations spécifiques en matière de protection des données personnelles. En effet, ils doivent prendre toutes les mesures nécessaires pour assurer la sécurité des données personnelles traitées pour le compte des responsables de traitement. En cas de manquement, ils peuvent être soumis à une amende administrative.
