Article 29 - Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant
Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d'y être obligé par le droit de l'Union ou le droit d'un État membre.En savoir plus...
L'article 29 oblige les sous-traitants et toute personne ayant accès à des données à caractère personnel qui agit sous l'autorité du responsable du traitement ou du sous-traitant à ne traiter ces données que sur instruction du responsable du traitement, à moins que le droit de l'Union ou d'un État membre ne l'exige.Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Considérants pertinents
81. Afin que les exigences du présent règlement soient respectées dans le cadre d'un traitement réalisé par un sous-traitant pour le compte du responsable du traitement, lorsque ce dernier confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu'à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement. L'application par un sous-traitant d'un code de conduite approuvé ou d'un mécanisme de certification approuvé peut servir à démontrer le respect des obligations incombant au responsable du traitement. La réalisation d'un traitement par un sous-traitant devrait être régie par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, liant le sous-traitant au responsable du traitement, définissant l'objet et la durée du traitement, la nature et les finalités du traitement, le type de données à caractère personnel et les catégories de personnes concernées, en tenant compte des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée. Le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission. Après la réalisation du traitement pour le compte du responsable du traitement, le sous-traitant devrait, selon le choix du responsable du traitement, renvoyer ou supprimer les données à caractère personnel, à moins que le droit de l'Union ou le droit d'un État membre auquel le sous-traitant est soumis n'exige la conservation des données à caractère personnel.
Droit souple
Lignes directrices et recommandations
Guides pratiques
Documents anciens
Références
Cet article est cité par...
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
Référentiels
Guides pratiques
Jurisprudence
Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Actualités
Profitez de nos actualités en lien avec cet article !Amende prononcée contre une radio polonaise pour l’absence de procédures protégeant les droits des protagonistes des publications
L’autorité polonaise a aujourd’hui publié un communiqué de presse annonçant la condamnation de la radio Szcezin en raison de l’absence de procédures protégeant les droits des personnes concernées par les publications même lorsqu’il ne s’agit pas de personna [...]
La DVI élabore une liste de traitements pour lesquels une AIPD n’est pas nécessaire
Comme nous l’avons déjà informé, l’Inspection nationale des données a élaboré et publié des directives intitulées « Évaluation de l’impact sur la protection des données », qui offrent une approche pragmatique et claire pour l’identification et la gestion des risques, aidant à comprendre quand et comment effe [...]
Violation de données de santé : GETECCU sanctionné par l’AEPD
L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre du « Groupe de travail espagnol sur la maladie de Crohn et la colite ulcéreuse » (GETECCU) suite à une faille de sécurité majeure ayant compromis des données de santé de patients dans le cadre d’un projet de recherche scientifique. L’incident a été détecté le 14 [...]
Utilisation illégale de la biométrie pour l’accès aux stades : La Liga sanctionnée à 10 millions d’euros d’amende par l’AEPD
Vendredi, l’Agence Espagnole de Protection des Données (AEPD) a sanctionné la Liga Nacional de Fútbol Profesional (LNFP) pour l’implantation de systèmes de reconnaissance biométrique visant à contrôler l’accès aux « gradas de animación » des stades de football. L’affaire a débuté après [...]
Violation de la confidentialité des données de santé : la mutuelle Ibermutua sanctionnée par l’AEPD
L’Agence Espagnole de Protection des Données (AEPD) a aujourd’hui publié une décision de sanction contre Ibermutua, Mutua Colaboradora con la Seguridad Social Nº 274 pour une violation du principe de confidentialité et de sécurité des données personnelles. Cette affaire commence avec plusieurs réclamations qui ont é [...]
En Italie, une société de réaménagement de crédit condamnée à 70 000 euros d’amende : son gérant était également … le DPO
Dans sa newsletter du 28 février, l’autorité italienne a évoqué le cas d’une société de réaménagement de crédit, notamment condamnée pour avoir nommé son représentant légal en tant que DPO. Sur la base des éléments recueillis au cours de l’enquête menée par l’autor [...]
Le Lettonie se dote de lignes directrices sur les AIPD
Pour aider les organisations dans ce processus, l’autorité lettonne a aujourd’hui annoncé avoir élaboré des lignes directrices sur les « évaluations d’impact de la protection des données » ou AIPD. Ce guide propose une approche pratique et claire de l’identification et de la gestion des risques, vous aidant à comprendre quand et comment réali [...]
Absence de coopération avec l’autorité et absence de réponse à une demande de droit d’accès : quatre sociétés condamnées
L’autorité espagnole a aujourd’hui publié 4 décisions de sanctions à l’encontre de 4 micro-entreprises pour avoir « fait l’autruche » lorsqu’ils ont reçu une demande de la part d’un particulier ou même de l’AEPD. Les schémas sont très similaires, raiso [...]
L’APD ordonne à la commune d’Anvers de supprimer des données audio de son projet « bruit dans le quartier étudiant »
La Chambre Contentieuse de l’APD a adressé aujourd’hui une réprimande à la Ville d’Anvers pour son projet pilote de mesure intelligente des nuisances sonores dans son quartier étudiant, qui a eu lieu en 2022. Le but de ce projet pilote était de cartographier les nuisances sonores dans le quart [...]
Orange sanctionné d’une amende de 1,2 millions d’euros pour manquement à la protection des données personnelles suite à un « SIM swapping »
L’autorité espagnole a aujourd’hui publié une longue (120 pages) décision de sanction à l’encontre d’Orange Espagne en raison de lacunes sur les mesures de sécurité, mises en lumière par un nouveau cas de SIM swapping. Cette affaire commence par u [...]
<< Retourner au menu