Actualités

Prendre un RDV
Ces notes d’actualité ont été réalisées sur la base de la jurisprudence existante et des textes législatifs et règlementaires en vigueur au moment de leur mise en ligne. Elles ne constituent nullement un conseil personnalisé et n’ont pas pour vocation à se substituer à une consultation individualisée. A ce titre elles ne sauraient, en aucun cas, entrainer la responsabilité du cabinet.


Protection des données personnelles : les obligations des sous-traitants ultérieurs

Lundi 13 Août 2018

Le responsable de traitement de données personnelles peut faire appel à un sous-traitant.

Selon l'article 28 § 1 du RGPD, celui-ci doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.

Le sous-traitant initial peut également faire appel à un nouveau sous-traitant (dit "ultérieur" ou de rang 2). Il doit pour cela obtenir l'autorisation écrite du responsable de traitement et il restera responsable de l'ensemble de ses obligations devant le responsable de traitement.

Il convient dès lors d'organiser une véritable transposition des obligations du contrat depuis le sous-traitant initial vers les sous-traitants ultérieurs. Les prescriptions de l'article 28 § 3 du RGPD devront être rapportées au second contrat à savoir principalement : l'objet et la durée du traitement de données à caractère personnel ; la nature et la finalité de ce traitement ; les obligations de sécurité, d'avertissement et d'alerte envers le responsable du traitement.

Il sera possible de simplifier les obligations entre sous-traitants successifs par l'obtention de certifications (prévues par l'article 42 du GRPD) ou l'adhésion à un code de conduite (prévu par l'article 40 du RGPD).

Nous sommes à votre disposition pour mettre en place le dispositif contractuel indispensable à la défense de vos droits en matière de données personnelles.