Article 29 - Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant
Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d'y être obligé par le droit de l'Union ou le droit d'un État membre.En savoir plus...
L'article 29 oblige les sous-traitants et toute personne ayant accès à des données à caractère personnel qui agit sous l'autorité du responsable du traitement ou du sous-traitant à ne traiter ces données que sur instruction du responsable du traitement, à moins que le droit de l'Union ou d'un État membre ne l'exige.Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Considérants pertinents
81. Afin que les exigences du présent règlement soient respectées dans le cadre d'un traitement réalisé par un sous-traitant pour le compte du responsable du traitement, lorsque ce dernier confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu'à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement. L'application par un sous-traitant d'un code de conduite approuvé ou d'un mécanisme de certification approuvé peut servir à démontrer le respect des obligations incombant au responsable du traitement. La réalisation d'un traitement par un sous-traitant devrait être régie par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, liant le sous-traitant au responsable du traitement, définissant l'objet et la durée du traitement, la nature et les finalités du traitement, le type de données à caractère personnel et les catégories de personnes concernées, en tenant compte des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée. Le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission. Après la réalisation du traitement pour le compte du responsable du traitement, le sous-traitant devrait, selon le choix du responsable du traitement, renvoyer ou supprimer les données à caractère personnel, à moins que le droit de l'Union ou le droit d'un État membre auquel le sous-traitant est soumis n'exige la conservation des données à caractère personnel.
Droit souple
Lignes directrices et recommandations
Guides pratiques
Documents anciens
Références
Cet article est cité par...
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
Référentiels
Guides pratiques
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee |
|---|---|---|---|---|---|---|
| Aucune jurisprudence liée à cet article n'a été trouvée dans notre base de données. N'hésitez pas à nous en suggérer ! | ||||||
Actualités
Profitez de nos actualités en lien avec cet article !Non respect d’une injonction prononcée par l’autorité contre une agence immobilière: 6 000 euros d’amende
L’Autorité de protection des données (APD) belge a publié ce 24 avril 2025 une décision de sanction à l’encontre de l’Agence Immobilière pour ne pas avoir respecté une injonction que l’APD lui avait précédemment adressée dans sa décision 172/2022. L’agence immobilière [...]
Une université espagnole sanctionnée pour la visibilité des numéros de DNI de ses professeurs
L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision sanctionnant l’Université de Vigo pour avoir publié les numéros de carte d’identité (DNI) des professeurs sur une plateforme numérique. Comme souvent, cette affaire débute avec une plainte, cette fois de la part d’un pr [...]
Vidéosurveillance : deux entreprises condamnées pour des systèmes mal encadrés
L’autorité espagnole a aujourdh’ui publié deux décisions de sanction à l’encontre d’entreprises ayant installé des systèmes de vidéosurveillance de manière incorrecte, avec des plans trop larges.
* LÁSER METALPRINT 3D, S.L. : La procédure a été initiée suite à une réclamation du 19 juillet 2023 concernant l&rsqu [...]
Réprimandes pour le SPF Finances et Bruxelles Fiscalité pour l’envoi de courriers aux adresses privées de curateurs
La Chambre Contentieuse de l’Autorité de protection des données (APD) a aujourd’hui publié une rendu une décision (69/2025) sanctionnant le Service Public Fédéral Finances (SPF Finances) et le Service Public Régional de Bruxelles Fiscalité (Bruxelles Fiscalité) pour avoir envoyé des courr [...]
Espagne : Sanction de 21 600 euros contre SCHOOL FITNESS pour des manquements relatifs au consentement et au rôle des responsables du traitement
L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de la société SCHOOL FITNESS HOLIDAY & FRANCHISING, S.L. (SCHOOL FITNESS) pour des manquements aux articles 6, 7 et 28. De manière extrêmement cl [...]
Sanction de 500 000 euros à l’encontre de MARINA SALUD, S.A. pour avoir engagé un sous-traitant ultérieur en informer le responsable de traitement
L’autorité espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de l’hôpital MARINA SALUD, S.A., la condamnant à une amende de 500 000 euros pour des manquements en lien avec le sous-traitance. L& [...]
L’autorité espagnole sanctionne la municipalité d’El Puerto de Santa María pour manquement à ses obligations de coopération
L’Agence Espagnole de Protection des Données (AEPD) a, hier, rendu une décision de sanction à l’encontre de la municipalité d’El Puerto de Santa María pour ne pas avoir coopéré avec l’autorité. L’affaire a débuté par une réclamation qui a conduit l’AE [...]
Une association hospitalière consulte le dossier médical d’une employée avant de la licencier, l’APD n’y voit rien à redire
L’APD a aujourd’hui publié une décision de non-lieu dans une affaire opposant une ancienne employée d’une association hospitalière et l’association elle-même. Pour rappeler les faits: lLa plaignante a été licenciée le 3 mars 2020. Elle a appris le 16 avril [...]
Conformité et sécurité des dossiers médicaux : la CNIL lance une consultation publique sur un projet de recommandation
À la suite de contrôles et de mises en demeure de plusieurs établissements de santé, la CNIL a élaboré un projet de recommandation pour la conformité et la sécurité du dossier patient informatisé (DPI). Le document, qui rappelle également les règles applicables, est soumis à consultation publique jusqu [...]
En Espagne, la banque Caixa condamnée à une amende de 3,5 millions d’euros suite à une violation: une mère accédait au compte commun entre son enfant et un tiers
L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de CAIXABANK, S.A. en lien avec une fuite de données personnelles. Cette procédure fait suite à une réclamation portant sur le [...]
<< Retourner au menu