Article 28 – Sous-traitant

Article 28 - Sous-traitant

1. Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

2. Le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.

3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public;
b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
c) prend toutes les mesures requises en vertu de l'article 32;
d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;
e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;
f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;
g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l'Union ou le droit de l'État membre n'exige la conservation des données à caractère personnel; et
h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données.

4. Lorsqu'un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d'un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations.

5. L'application, par un sous-traitant, d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.

6. Sans préjudice d'un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu'elles font partie d'une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.

7. La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d'examen visée à l'article 93, paragraphe 2.

8. Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l'article 63.

9. Le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.

10. Sans préjudice des articles 82, 83 et84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

En savoir plus...

Un traitement complexe nécessite souvent l'externalisation de certaines activités auprès de prestataires de services spécialisés avec lesquels les données à caractère personnel sont ensuite partagées (« sous-traitants »). L'article 28 du RGPD aborde ce scénario et établit le cadre juridique pour une telle coopération, garantissant ainsi la protection des droits des personnes concernées ainsi que la conformité générale au RGPD. Il pose notamment un certain nombre d'obligations en matière contractuelle, afin d'encadrer la coopération dans le responsable de traitement et le sous-traitant.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Engager un sous-traitant]
81. Afin que les exigences du présent règlement soient respectées dans le cadre d'un traitement réalisé par un sous-traitant pour le compte du responsable du traitement, lorsque ce dernier confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu'à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement. L'application par un sous-traitant d'un code de conduite approuvé ou d'un mécanisme de certification approuvé peut servir à démontrer le respect des obligations incombant au responsable du traitement. La réalisation d'un traitement par un sous-traitant devrait être régie par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, liant le sous-traitant au responsable du traitement, définissant l'objet et la durée du traitement, la nature et les finalités du traitement, le type de données à caractère personnel et les catégories de personnes concernées, en tenant compte des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée. Le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission. Après la réalisation du traitement pour le compte du responsable du traitement, le sous-traitant devrait, selon le choix du responsable du traitement, renvoyer ou supprimer les données à caractère personnel, à moins que le droit de l'Union ou le droit d'un État membre auquel le sous-traitant est soumis n'exige la conservation des données à caractère personnel.

Droit souple

Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !

Références

Cet article cite...

> Article 32 - Sécurité du traitement

> Article 33 - Notification à l'autorité de contrôle d'une violation de données à caractère personnel

> Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel

> Article 35 - Analyse d'impact relative à la protection des donnée

> Article 36 - Consultation préalable

> Article 40 - Codes de conduite

> Article 42 - Certification

> Article 43 - Organismes de certification

> Article 63 - Mécanisme de contrôle de la cohérence

> Article 82 - Droit à réparation et responsabilité

> Article 83 - Conditions générales pour imposer des amendes administratives

> Article 84 - Sanctions

> Article 93 - Comité

Cet article est cité par...

> Article 57 - Missions

> Article 58 - Pouvoirs

> Article 64 - Avis du comité

> Article 83 - Conditions générales pour imposer des amendes administratives

En savoir plus...

Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations

> CNIL - Recommandations - Vidéosurveillance dans les Ehpad

29 février 2024

> CNIL - Recommandations - Applications mobiles

21 juillet 2023

> CNIL - Recommandations - API

07 juillet 2023

> CNIL - Recommandations - Télésurveillance examens en ligne

8 juin 2023

> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)

7 juillet 2021

> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)

13 avril 2021

> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)

9 mars 2021

> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)

15 décembre 2020

> CNIL - Lignes directrices - Cookies et autres traceurs

17 septembre 2020

> CNIL - Recommandations - Cookies et autres traceurs

17 septembre 2020

> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)

29 janvier 2020

Référentiels

> CNIL - Référentiel - Systèmes d'alertes professionnelles

06 juillet 2023

> CNIL - Référentiel - Officines de pharmacie

18 juillet 2022

> CNIL - Référentiel - Gestion commerciale

03 février 2022

> CNIL - Référentiel - Gestion des impayés

03 février 2022

> CNIL - Référentiel - Protection de l'enfance

20 janvier 2022

> CNIL - Référentiel - Gestion locative

6 mai 2021)

> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté

11 mars 2021

> CNIL - Référentiel - Gestion RH

21 novembre 2019

Guides pratiques

> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales

04 juillet 2022

> CNIL - Guide pratique - Guide pratique du développeur

13 décembre 2021 (sur le github de la CNIL)

> CNIL - Guide pratique - Guide pratique de l'UNAF

Mars 2021 (sur le site de l'UNAF)

> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales

18 septembre 2019

> CNIL - Guide pratique - Guide pratique de l'ordre des médecins

01 juin 2018

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année :

Autorité :

Thème :

Secteur :

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Fait référence à	Lien
9991064	NTT Data	08/02/2024	2024	Italie	CNIL ou équivalent	Obligations du sous-traitant		Violation de données - Délai de notification - 72 heures à compter de la découverte initiale y compris par un sous-traitant - Prise en compte du nombre d'acteurs impliqués - Absence		(Traduction) 4. [...] À cet égard, en ce qui concerne l’expression « sans retard injustifié », les « Lignes directrices 9/2022 sur la notification des violations de données à caractère personnel conformément au GDPR », recommandent que le responsable du traitement « notifie sans tarder au responsable du traitement, en fournissant par la suite toute information supplémentaire sur la violation dont il a connaissance » ; ceci est « important pour aider le responsable du traitement à respecter l’obligation de notification à l’autorité de contrôle dans les 72 heures; [...] Cela s’applique également lorsque, comme dans le cas présent, un sous-traitant a recours à un sous-traitant ultérieur pour l’exécution d’activités spécifiques de traitement pour le compte d’un responsable de traitement ; l’obligation d’informer le responsable de traitement prévue par l’article 33, paragraphe 2, incombe toujours au sous-traitant initial, qui n’est pas tenu d’évaluer le risque découlant de la violation avant de la signaler au responsable de traitement. [...] Dans le cas présent, NTT Data aurait donc dû informer le responsable de traitement de la violation des données personnelles sans délai, c’est-à-dire dès le 11 et 12 octobre 2018, date à laquelle Truel IT en a eu connaissance.	28, 33	2493779251de822754e7d9cbd06e551dfa7fcd2b		Accéder à la décision traduite par machine ou Accéder à la décision officielle
MED-2021-009	Société X	04/03/2021	2021	France	CNIL ou équivalent	Contractualisation	Technologie	Mise à disposition de plateforme en ligne pour la publication d’annonces immobilières - Sous-traitance et sous-traitance de second rang - Formalisation des relations entre responsable du traitement et sous-traitants		Un organisme de représentation professionnel qui met à disposition des entités indépendantes qu’il représente une plateforme de publication d’annonces immobilières et d’hébergement des documents annexés à ces annonces via un site web - en tant qu’activité accessoire et non réglementée de cette profession - doit être considéré comme sous-traitant de ces entités, considérées comme responsable du traitement, dès lors que ces dernières conservent dans ce cadre une entière liberté de choix quant aux moyens mis en œuvre pour exercer cette activité et publier des annonces immobilières, et dans la mesure où elles déterminent seules les finalités et les moyens du traitement. En outre, lorsque les entités responsables du traitement confient à l’organisme sous-traitant la charge de publier leurs annonces immobilières et d’héberger les documents annexés à ces annonces sur un site web dont l’organisme sous-traitant se déclare éditeur, et lorsque que l’hébergement, l’exploitation, la maintenance et l’évolution de ce site, qui impliquent le traitement des données personnelles contenues dans les documents annexés aux annonces, ont été confiés par l’organisme sous-traitant à une autre société, cette dernière intervient dès lors en qualité de sous-traitant de second rang recruté par l’organisme sous-traitant.	28	2493779251de822754e7d9cbd06e551dfa7fcd2b		Non publié. Source: CNIL, Tables Informatique et Libertés
SAN-2021-002	Société X	08/01/2021	2021	France	CNIL ou équivalent	Contractualisation		Répartition des responsabilités entre responsable de traitement et sous-traitant - Solutions techniques et organisationnelles de sécurité adéquates - Responsabilité du sous-traitant - Existence		Si aux termes de l’article 32 du RGPD, les obligations en matière de sécurité des traitements de données à caractère personnel s’adressent tant au responsable de traitement qu’au sous-traitant, la répartition des responsabilités entre ces deux acteurs résulte également du contrat de sous-traitance qu’ils doivent conclure au titre de l’article 28 du RGPD. En ce sens, l’article 28-3-f impose que ce contrat prévoit que le sous-traitant « aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ». La CNIL déduit de la combinaison de ces dispositions qu’il revient au sous-traitant de proposer au responsable de traitement les solutions techniques et organisationnelles adéquates, notamment en ce qui concerne la sécurité des traitements, et ce, indépendamment des obligations qui pèsent en propre sur le responsable du traitement.	24, 28, 32	2493779251de822754e7d9cbd06e551dfa7fcd2b		Non publié. Source: CNIL, Tables Informatique et Libertés
Avis 2021-082	Avis sur projet de décret "Livret de parcours inclusif (LPI)"	15/07/2021	2021	France	CNIL ou équivalent	Obligations du sous-traitant	Jeunesse et éducation	Traitement visant à améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers - Contrat de sous-traitance - Transfert des données en dehors de l’Union européenne - Interdiction	Afficher Le projet de décret en Conseil d’Etat soumis pour avis le 1er juin 2021 vise à autoriser la mise en œuvre d’un traitement de données à caractère personnel dénommé " Livret de parcours inclusif " (ci-après " LPI "). Cette application, mise en œuvre par le ministère de l’éducation nationale, de la jeunesse et des sports sur le fondement de sa mission d’intérêt public, au sens du règlement général sur la protection des données (RGPD), doit participer au " service public de l’école inclusive ". Elle a pour finalité d’améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, de mieux individualiser les réponses pédagogiques et de garantir aux familles la mise en place d’adaptations pédagogiques dès le repérage de difficultés d’apprentissage. Le LPI devrait ainsi permettre aux personnels concernés, et aux familles qui accepteront de l’utiliser de consulter en temps réel le suivi pédagogique mis en place pour un élève à besoins éducatifs particuliers. D’après le ministère, environ 840.000 élèves, pour la plupart mineurs, sont susceptibles d’être concernés.	Le contrat de sous-traitance conclut entre le ministère et la caisse nationale de solidarité pour l’autonomie prévoit, à l’article 3.5, que " Les parties reconnaissent que l’exécution des prestations selon les modalités envisagées par la CNSA n’implique pas des transferts internationaux de données à caractère personnel " et que " tout transfert de données à caractère personnel en dehors de l’Union Européenne ne pourra avoir lieu qu’après autorisation écrite du ministère (…) et conformément aux dispositions des articles 44, 45 et 46 du RGPD ". Le ministère a à cet égard indiqué qu’il n’était pas prévu de transfert en dehors de l’Union européenne. Compte tenu des données traitées, de la minorité d’un grand nombre de personnes concernées par le traitement, du cadre dans lequel elles sont recueillies et du considérant 38 du RGPD qui indique que " Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ", la Commission considère que le contrat de sous-traitance devrait prévoir l’interdiction de transférer les données en dehors de l’Union européenne.	28, 45	2493779251de822754e7d9cbd06e551dfa7fcd2b	/	Accéder à la décision
SAN-2023-006	Doctissimo	11/05/2023	2023	France	CNIL ou équivalent	Contrôle		Suivi des instructions contractuelles par le sous-traitant - Contrôle par le responsable de traitement - Obligation	Afficher Le 26 juin 2020, la CNIL a été saisie d’une plainte n° […] par l’association PRIVACY INTERNATIONAL concernant l’ensemble des traitements de données à caractère personnel des utilisateurs mis en œuvre par la société DOCTISSIMO sur son site web. Le rapport de l'enquête menée par la CNIL proposait à la formation restreinte de prononcer une amende administrative à l’encontre de la société, ainsi qu’une injonction, assortie d’une astreinte de mettre en conformité le traitement avec les dispositions des articles 5-1-e) et 32 du RGPD et de l’article 82 de la LIL. S'agissant de l'article 5-1-e), il est reproché à Doctissimo d'avoir conservé - par le biais d'un sous-traitant - des données relatives à des "quizz" pendant une durée excessive au regard de la finalité statistique pour laquelle elles sont traitées. Doctissimo tente de pointer son sous-traitant du doigt.	33. Si le responsable de traitement peut décider de recourir à un prestataire spécialisé, en particulier en lui confiant une mission de sous-traitance des données à caractère personnel, au sens du RGPD, il reste tenu de veiller, par des diligences raisonnables, à ce que le respect de la protection des données à caractère personnel soit effectivement assuré. Le caractère suffisant de ces diligences dépend notamment des compétences et des moyens du responsable de traitement. La formation restreinte rappelle que la responsabilité du responsable de traitement peut être retenue du fait de l’absence de mise en œuvre par celui-ci d’un contrôle régulier sur les mesures techniques et organisationnelles prises par son sous-traitant (CE, 10ème chambre, 26 avril 2022, Société Optical Center, n° 449284). La formation restreinte a notamment retenu la responsabilité d’un responsable de traitement pour ne pas avoir exercé un contrôle suffisant sur la prestation réalisée en considérant qu’un simple engagement contractuel de son courtier visant à " respecter le RGPD et les règles applicables en matière de prospection commerciale " n’est pas une mesure suffisante, dans sa délibération SAN-2022-021 du 24 novembre 2022 à l’encontre de la société […].	28	2493779251de822754e7d9cbd06e551dfa7fcd2b	[Contrôle régulier des mesures techniques et organisationnelles prises par le sous-traitant] CE, 10ème chambre, 26 avril 2022, Société Optical Center, n° 449284 (point 5), disponible ici [Contrôle régulier : insuffisance de l'engagement contractuel à respecter le RGPD] CNIL, délibération SAN-2022-021 du 24 novembre 2022, EDF (point 25), disponible ici	Accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

CNIL

20 mars 2025

Conformité et sécurité des dossiers médicaux : la CNIL lance une consultation publique sur un projet de recommandation

À la suite de contrôles et de mises en demeure de plusieurs établissements de santé, la CNIL a élaboré un projet de recommandation pour la conformité et la sécurité du dossier patient informatisé (DPI). Le document, qui rappelle également les règles applicables, est soumis à consultation publique jusqu [...]

AEPD (autorité espagnole)

04 mars 2025

Violation de données de santé : GETECCU sanctionné par l’AEPD

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre du « Groupe de travail espagnol sur la maladie de Crohn et la colite ulcéreuse » (GETECCU) suite à une faille de sécurité majeure ayant compromis des données de santé de patients dans le cadre d’un projet de recherche scientifique. L’incident a été détecté le 14 [...]

AEPD (autorité espagnole)

03 mars 2025

Violation de données à l’occasion d’une migration de site web : une entreprise de commerce en ligne sanctionnée par l’AEPD

L’Agence Espagnole de Protection des Données (AEPD) a publié une décision de sanction à l’encontre de DISEÑOS HERMANAS ORTIZ CAÑÓN, S.L. (HO) pour une violation de la confidentialité et de l’intégrité des données personnelles à la suite d’une faille de sécurité majeure, intervenue [...]

AEPD (autorité espagnole)

04 février 2025

L’AEPD sanctionne Línea Directa à 300 000 euros d’amende pour traitement illégal de données personnelles lors de la consultation de points de permis de conduire

L’autorité espagnole a annoncé avoir sanctionné LÍNEA DIRECTA ASEGURADORA, S.A. pour avoir traité des données sans base légale, en l’occurrence en consultant le nombre de points se trouvant sur un permis afin de proposer un tarif d’assura [...]

ANSPDCP (autorité roumaine)

30 janvier 2025

En Roumanie, l’autorité prononce 5000 euros d’amende contre un club de foot qui n’a pas donné d’instructions écrites à son sous-traitant

Dans une décision partiellement publiée ce soir, l’autorité roumaine annonce avoir conclu, en décembre 2024, une enquête sur le responsable de traitement RED&WHITE 2022 MANAGEMENT S.A et avoir constaté une violation des dispositions de l’article [...]

GPDP (autorité italienne)

02 janvier 2025

Télémarketing : le fournisseur d’électricité et de gaz se voit infliger une amende de 679 000 euros par la Garante

Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné Illumia spa, une société opérant dans la fourniture de services d’électricité et de gaz, à 678 897 euros d’amendes pour avoir traité de manière illicite des données personnelles à des fins promotionnelles. L&rsquo [...]

UODO (autorité polonaise)

13 novembre 2024

Amende de 350 000 PLN pour une société vendant des portes anti-effraction pour … non-respect des règles de protection des données

Aujourd’hui, l’autorité polonaise a annoncé avoir infligé une amende de plus de 350 000 PLN (environ 80 000 euros) à une société vendant, entre autres, des portes anti-effraction, pour non-respect des règles de protection des données à caractère personnel. Cette affaire comm [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu