Que faire en cas de sous-traitance ?

  • Que faire en cas de sous-traitance ?

    L’article 28, al. 3, du RGPD maintient l’obligation de souscrire un contrat liant le sous-traitant au responsable du traitement, tout en précisant ses contours et en fixant des exigences strictes et plus importantes. Ainsi, le contrat liant le cabinet au sous-traitant doit comporter :

    • l’objet ;

    • la durée ;

    • la nature ;

    • la finalité ;

    • le type de données à caractère personnel ;

    • les catégories de personnes concernées ;

    • les droits et obligations du responsable de traitement ;

    • les mesures de sécurité mises en œuvre concernant le traitement de données à caractère personnel qui sera réalisé.

    L’acte juridique en question doit également définir les obligations du sous-traitant relatives à :

    • la possibilité de ne traiter les données que sur instruction documentée du responsable du traitement, même en ce qui concerne les flux transfrontières ;

    • la confidentialité des données ;

    • l’exercice des droits des personnes concernées ;

    • l’aide qu’il doit fournir au responsable de traitement par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, pour s’acquitter de l’obligation de donner suite aux demandes des personnes concernées ; l’aide fournie au responsable de traitement pour garantir le respect de ses obligations compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ;

    • la suppression des données concernées à l’issue du traitement, ou leur renvoi au responsable de traitement ou leur conservation s’il en est tenu par une disposition nationale ou européenne ;

    • la mise à disposition du responsable du traitement de toutes les informations nécessaires pour démontrer le respect de ces obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits ;

    • l’éventuel recrutement par le sous-traitant d’un sous-traitant ultérieur, d’un nouveau sous-traitant, et l’obtention de l’autorisation préalable écrite du responsable de traitement relative à ce recrutement qui doit être formalisé par un contrat mentionnant l’ensemble des obligations ci-dessus énumérées.

    Les clauses contractuelles liant sous-traitants et responsables de traitement vont donc devoir être beaucoup plus précises tant sur les modalités de traitement que sur la gestion de leurs relations et l’échange d’informations entre eux.

    En vertu de l’article 28, al.1, du RGPD, le responsable de traitement a l’obligation de ne recourir qu’à « des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée ».

    L’avocat, lorsqu’il agit en qualité de responsable du traitement, a l’obligation, aux termes de l’article 28 du RGPD, de s’assurer que son prestataire informatique, en qualité de sous-traitant, a mis en place des mesures techniques et organisationnelles adaptées lui permettant de respecter la sécurité et la confidentialité des données. La conclusion d’un contrat est obligatoire entre l’avocat et ses sous-traitants et doit réserver une faculté d’audit pour permettre de vérifier la mise en œuvre conforme des mesures précitées.

    Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

     

 

En poursuivant votre navigation sur ce site, vous acceptez nos conditions générales d’utilisation et l’utilisation de Cookies pour vous proposer une navigation optimale.

Vous pouvez changer d’avis et modifier vos choix à tout moment.

Notre politique de protection de vos données personnelles est conforme au nouveau Règlement Général sur la Protection des Données (RGPD)

 

Site en mode préproduction