Expert du droit > RGPD > Article 29 du RGPD : Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant

Article 29 du RGPD : Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant

Comprendre l’article 29

L’article 29 s’inscrit dans la lignée de l’article 28 du RGPD, et précise les limites du sous-traitant.

L’article 29 dispose que le sous-traitant ne peut traiter que des données indiquées par le responsable de traitement (exception cependant si le droit de l’Union ou d’un État membre indique le contraire).

Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ?

Ceci est une alerte Toute société ayant des bases de données se doit de respecter les règles du RGPD, quelle que soit la taille de l'entreprise.

Trouver un DPO

Vous êtes à la recherche d'un "Data protection officer" ?

Cliquez ici

Article 29 du RGPD

« Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre. »

Jurisprudence

Sanction : 1 500 000€ d’amende pour Dedalus Biologie

On retrouve une décision citée préalablement : la condamnation de la société Dedalus Biologie en date du 15 avril 2022. La société fut condamnée à une amende de 1 500 000€. La CNIL indique que le sous-traitant n’a pas su respecter les instructions énoncées par le responsable de traitement, en extrayant un volume de données supérieur à celui déterminé et indiqué par le responsable de traitement.

Inscrivez-vous à notre newsletter RGPD

👉 Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

La procédure ordinaire

Cette procédure peut conduire à des condamnations sous astreinte et des amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

La procédure simplifiée

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €

> Voir toutes les questions / réponses sur le divorce