Article 28 RGPD du RGPD : Sous-traitant

Sommaire :

Comprendre l’article 28

Cet article évoque le rôle de sous traitant.

Un sous-traitant est une entité ou une personne qui traite des données personnelles pour le compte d’une autre organisation ou personne, appelée responsable de traitement (par exemple, un hébergeur est un sous-traitant). 

 Il est indiqué que lors de la désignation du sous-traitant, le responsable de traitement doit s’assurer que celui-ci est en mesure de procéder à un traitement (c’est-à-dire une opération réalisée sur les données collectées) conformément aux exigences du RGPD.

 La relation entre un responsable de traitement et un sous-traitant doit être régie par un acte juridique (comme un contrat). C’est une obligation essentielle et à l’origine de nombreuses condamnations qui peuvent parfois être très lourdes. 

Ce contrat doit mentionner l’objet, la durée, la nature et la finalité (l’objectif) du traitement, le type de données et les catégories de personnes concernées et les obligations des parties. Par ce contrat, le sous-traitant s’engage à ne traiter que des données mentionnées, à avertir avant le traitement le responsable de traitement en cas d’obligation légale de transfert de données, à veiller au respect de la confidentialité des données et à la sécurité du traitement (article 32), aide le responsable de traitement (dans le suivi des demandes des personnes concernées par exemple et dans les notifications des violations des données) et qu’il atteste de son respect du RGPD, en fournissant des preuves si besoin.

Dans la logique de prouver sa conformité, le sous-traitant peut mettre en place un code de conduite ou un mécanisme de certification

 Le sous-traitant ne peut recruter un autre sous-traitant sans l’autorisation du responsable de traitement, sous réserve d’objections. Lors du recrutement d’un sous-traitant par le sous-traitant, celui-ci s’engage à respecter les obligations et engagements du sous-traitant recruteur par contrat. 

Si le sous-traitant intervient dans la détermination des moyens et des finalités du traitement, il sera considéré par le règlement et les autorités comme un responsable de traitement conjoint (article 26).

Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ? 

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

Article 28 du RGPD

1. «Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

2. Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;

b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c) prend toutes les mesures requises en vertu de l’article 32;

d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;

e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;

f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;

g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel; et

h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

4. Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

5. L’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.

6. Sans préjudice d’un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu’elles font partie d’une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.

7. La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d’examen visée à l’article 93, paragraphe 2.

8. Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l’article 63.

9. Le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.

10. Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement. »

 

Jurisprudence

Plusieurs décisions se réfèrent à cet article fondamental : 

Sanction : 1 500 000€ d’amende pour Dedalus Biologie

Dedalus Biologie, 15 avril 2022. Parmi les divers constats faits par la CNIL, il a également été mentionné que la société n’encadrait pas par acte juridique les relations avec ses sous-traitants, contrairement à ce que prévoit l’article 28 du RGPD. Délibération SAN-2022-009 du 15 avril 2022 – Légifrance 

Sanction : 180 000€ d’amende pour Slimpay

Slimpay, 28 décembre 2021. Dans cette affaire, la CNIL fait le même constat que mentionné au dessus : l’absence d’actes juridiques, de contrats encadrant la relation responsable de traitement / sous-traitant.Délibération SAN-2021-020 du 28 décembre 2021 – Légifrance

Sanction : 400 000€ d’amende pour Monsanto Company

MONSANTO COMPANY, 26 juillet 2021. La CNIL reproche à la société l’absence d’actes juridiques encadrant la relation entre le sous-traitant et le responsable de traitement. Délibération SAN-2021-012 du 26 juillet 2021 – Légifrance

 

Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €