Article 28

Sous-traitant

  • Lorsqu’un traitement doit √™tre effectu√© pour le compte d’un responsable du traitement, celui-ci fait uniquement appel √† des sous-traitants qui pr√©sentent des garanties suffisantes quant √† la mise en Ňďuvre de mesures techniques et organisationnelles appropri√©es de mani√®re √† ce que le traitement r√©ponde aux exigences du pr√©sent r√®glement et garantisse la protection des droits de la personne concern√©e.
  • Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation √©crite pr√©alable, sp√©cifique ou g√©n√©rale, du responsable du traitement. Dans le cas d’une autorisation √©crite g√©n√©rale, le sous-traitant informe le responsable du traitement de tout changement pr√©vu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilit√© d’√©mettre des objections √† l’encontre de ces changements.
  • Le traitement par un sous-traitant est r√©gi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un √Čtat membre, qui lie le sous-traitant √† l’√©gard du responsable du traitement, d√©finit l’objet et la dur√©e du traitement, la nature et la finalit√© du traitement, le type de donn√©es √† caract√®re personnel et les cat√©gories de personnes concern√©es, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique pr√©voit, notamment, que le sous-traitant:
    • a) ne traite les donn√©es √† caract√®re personnel que sur instruction document√©e du responsable du traitement, y compris en ce qui concerne les transferts de donn√©es √† caract√®re personnel vers un pays tiers ou √† une organisation internationale, √† moins qu’il ne soit tenu d’y proc√©der en vertu du droit de l’Union ou du droit de l’√Čtat membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concern√© interdit une telle information pour des motifs importants d’int√©r√™t public;
    • b) veille √† ce que les personnes autoris√©es √† traiter les donn√©es √† caract√®re personnel s’engagent √† respecter la confidentialit√© ou soient soumises √† une obligation l√©gale appropri√©e de confidentialit√©;
    • c) prend toutes les mesures requises en vertu de l’article¬†32;
    • d) respecte les conditions vis√©es aux paragraphes¬†2 et 4 pour recruter un autre sous-traitant;
    • e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropri√©es, dans toute la mesure du possible, √† s’acquitter de son obligation de donner suite aux demandes dont les personnes concern√©es le saisissent en vue d’exercer leurs droits pr√©vus au chapitre III;
    • f) aide le responsable du traitement √† garantir le respect des obligations pr√©vues aux articles¬†32 √† 36, compte tenu de la nature du traitement et des informations √† la disposition du sous-traitant;
    • g) selon le choix du responsable du traitement, supprime toutes les donn√©es √† caract√®re personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et d√©truit les copies existantes, √† moins que le droit de l’Union ou le droit de l’√Čtat membre n’exige la conservation des donn√©es √† caract√®re personnel; et
    • h) met √† la disposition du responsable du traitement toutes les informations n√©cessaires pour d√©montrer le respect des obligations pr√©vues au pr√©sent article et pour permettre la r√©alisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandat√©, et contribuer √† ces audits.
      En ce qui concerne le point¬†h) du premier alin√©a, le sous-traitant informe imm√©diatement le responsable du traitement si, selon lui, une instruction constitue une violation du pr√©sent r√®glement ou d’autres dispositions du droit de l’Union ou du droit des √Čtats membres relatives √† la protection des donn√©es.
  • Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activit√©s de traitement sp√©cifiques pour le compte du responsable du traitement, les m√™mes obligations en mati√®re de protection de donn√©es que celles fix√©es dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conform√©ment au paragraphe¬†3, sont impos√©es √† cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un √Čtat membre, en particulier pour ce qui est de pr√©senter des garanties suffisantes quant √† la mise en Ňďuvre de mesures techniques et organisationnelles appropri√©es de mani√®re √† ce que le traitement r√©ponde aux exigences du pr√©sent r√®glement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en mati√®re de protection des donn√©es, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’ex√©cution par l’autre sous-traitant de ses obligations.
  • L’application, par un sous-traitant, d’un code de conduite approuv√© comme le pr√©voit l’article¬†40 ou d’un m√©canisme de certification approuv√© comme le pr√©voit l’article¬†42 peut servir d’√©l√©ment pour d√©montrer l’existence des garanties suffisantes conform√©ment aux paragraphes¬†1 et 4 du pr√©sent article.
  • Sans pr√©judice d’un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l’autre acte juridique vis√© aux paragraphes¬†3 et 4 du pr√©sent article peut √™tre fond√©, en tout ou en partie, sur les clauses contractuelles types vis√©es aux paragraphes¬†7 et 8 du pr√©sent article, y compris lorsqu’elles font partie d’une certification d√©livr√©e au responsable du traitement ou au sous-traitant en vertu des articles¬†42 et 43.
  • La Commission peut √©tablir des clauses contractuelles types pour les questions vis√©es aux paragraphes¬†3 et 4 du pr√©sent article et conform√©ment √† la proc√©dure d’examen vis√©e √† l’article¬†93, paragraphe¬†2.
  • Une autorit√© de contr√īle peut adopter des clauses contractuelles types pour les questions vis√©es aux paragraphes¬†3 et 4 du pr√©sent article et conform√©ment au m√©canisme de contr√īle de la coh√©rence vis√© √† l’article¬†63.
  • Le contrat ou l’autre acte juridique vis√© aux paragraphes¬†3 et 4 se pr√©sente sous une forme √©crite, y compris en format √©lectronique.
  • Sans pr√©judice des articles¬†82, 83 et 84, si, en violation du pr√©sent r√®glement, un sous-traitant d√©termine les finalit√©s et les moyens du traitement, il est consid√©r√© comme un responsable du traitement pour ce qui concerne ce traitement.