Article 28 du RGPD
L’article 28 du RGPD : les sous-traitants
Le règlement général sur la protection des données (RGPD) est un règlement de l’Union européenne (UE) qui régit la collecte, le traitement et l’utilisation des données personnelles. Le RGPD est entré en vigueur le 25 mai 2018 et s’applique à toutes les organisations qui traitent des données personnelles de personnes situées dans l’UE, qu’elles soient situées dans l’UE ou non.
L’article 28 du RGPD traite des sous-traitants. Un sous-traitant est une entité qui traite des données personnelles pour le compte d’un responsable du traitement. Le responsable du traitement est responsable du respect du RGPD pour toutes les données personnelles qu’il traite, y compris celles qui sont traitées par le sous-traitant.
Qu’est-ce qu’un sous-traitant ?
Un sous-traitant est une entité qui traite des données personnelles pour le compte d’un responsable du traitement. Le responsable du traitement est responsable du respect du RGPD pour toutes les données personnelles qu’il traite, y compris celles qui sont traitées par le sous-traitant.
Par exemple, une entreprise qui vend des produits en ligne peut être responsable du traitement des données personnelles de ses clients, telles que leur nom, leur adresse et leur adresse e-mail. L’entreprise peut faire appel à un sous-traitant pour héberger son site Web, traiter les paiements ou envoyer des e-mails aux clients. Dans ce cas, le sous-traitant traitera des données personnelles pour le compte de l’entreprise et l’entreprise sera responsable du respect du RGPD pour ces données personnelles.
Les obligations du sous-traitant
L’article 28 du RGPD impose au responsable du traitement de conclure un contrat écrit avec le sous-traitant. Ce contrat doit définir les obligations du sous-traitant en matière de protection des données personnelles. Le contrat doit notamment prévoir les éléments suivants :
- Les finalités du traitement des données personnelles ;
- La nature des données personnelles à traiter ;
- La durée du traitement ;
- Les mesures de sécurité prises par le sous-traitant pour protéger les données personnelles ;
- Les droits du responsable du traitement et des personnes concernées ;
- Les modalités de notification des violations de données à caractère personnel.
Le responsable du traitement doit également veiller à ce que le sous-traitant dispose des ressources humaines et techniques nécessaires pour se conformer au RGPD. Le responsable du traitement doit également pouvoir contrôler le sous-traitant afin de s’assurer qu’il respecte ses obligations en matière de protection des données personnelles.
Le contrat doit également préciser que le sous-traitant est tenu de respecter les obligations du RGPD et de se conformer aux politiques et procédures de protection des données personnelles de l’entreprise.
Les conséquences du non-respect du RGPD par le sous-traitant
En cas de non-respect du RGPD par le sous-traitant, le responsable du traitement peut être tenu responsable. Le responsable du traitement peut également être tenu de verser des dommages et intérêts aux personnes concernées.
Exemples de sous-traitants
Les exemples de sous-traitants sont les suivants :
- Hébergeurs de sites Web
- Traiteurs de paiement
- Fournisseurs de services d’e-mail
- Agences de marketing
- Cabinets comptables
- Avocats
- Consultants
Comment choisir un sous-traitant ?
Lors du choix d’un sous-traitant, il est important de prendre en compte les éléments suivants :
- L’expérience du sous-traitant en matière de protection des données personnelles ;
- Les politiques et procédures de sécurité du sous-traitant ;
- La capacité du sous-traitant à se conformer au RGPD ;
- Les références du sous-traitant ;
- Le coût des services du sous-traitant.
En bref
L’article 28 du RGPD est important car il permet de garantir que les données personnelles sont protégées lorsqu’elles sont traitées par un sous-traitant. Le responsable du traitement doit prendre toutes les mesures nécessaires pour s’assurer que le sous-traitant respecte ses obligations en matière de protection des données personnelles.
Le choix d’un sous-traitant est une décision importante. Il est important de prendre en compte tous les éléments ci-dessus afin de s’assurer que le sous-traitant choisi respectera le RGPD et protégera les données personnelles de votre entreprise.
En cas de non-respect du RGPD par le sous-traitant, l’entreprise peut être tenue responsable. L’entreprise peut également être tenue de verser des dommages et intérêts aux personnes concernées.
Cet exemple illustre l’importance de choisir un sous-traitant qui respecte le RGPD et qui dispose des ressources humaines et techniques nécessaires pour protéger les données personnelles.