Maîtriser l’Article 28 du RGPD : Guide Pratique pour Responsables de Traitement et Sous-Traitants

Le Règlement Général sur la Protection des Données (RGPD) représente un jalon crucial dans l’évolution de la protection des données personnelles. Adopté en avril 2016 et appliqué dès mai 2018, ce règlement a redéfini la manière dont les données personnelles doivent être gérées au sein de l’Union Européenne. Son objectif principal est de renforcer et d’unifier la protection des données pour les individus au sein de l’UE, tout en offrant une plus grande transparence sur la manière dont les entreprises et les organisations utilisent ces données. Le RGPD vise également à redonner aux citoyens le contrôle de leurs informations personnelles, tout en imposant des règles plus strictes et plus claires pour leur traitement. Nous allons présenter l’Article 28 du RGPD avec notre Guide Pratique.

L’importance du RGPD réside dans sa capacité à s’adapter à l’évolution rapide des technologies numériques et de l’économie de la donnée, en mettant en place un cadre juridique qui protège à la fois les droits des individus et favorise une économie numérique équitable et transparente.

Présentation Générale de l’Article 28 : Portée et Finalité

L’Article 28 du RGPD occupe une place centrale dans ce règlement. Il concerne spécifiquement les relations entre les « responsables du traitement » et les « sous-traitants ». En effet, dans le monde connecté d’aujourd’hui, les organisations externalisent fréquemment certaines opérations de traitement des données, ce qui soulève des questions cruciales en matière de sécurité et de confidentialité des données.

Cet article établit des exigences claires que les responsables du traitement doivent respecter lorsqu’ils sélectionnent et collaborent avec des sous-traitants. Il impose notamment que les contrats de traitement des données soient clairs, détaillés et qu’ils respectent les normes élevées de protection des données définies par le RGPD.

La finalité de l’Article 28 est de garantir que toutes les parties impliquées dans le traitement des données personnelles adhèrent à un niveau élevé de protection des données. Cela comprend des mesures de sécurité appropriées, une transparence totale sur l’utilisation des données, et une responsabilité accrue pour toutes les parties impliquées. En fin de compte, l’Article 28 vise à créer un environnement de confiance où les données personnelles sont traitées de manière sécurisée et responsable, renforçant ainsi la confiance des consommateurs et la conformité des entreprises.

L’Article 28 du RGPD, intitulé « Sous-traitant », est formulé comme suit :

1. Le responsable du traitement ne fait appel qu’à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
2. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique en vertu du droit de l’Union ou des États membres, liant le sous-traitant au responsable du traitement, définissant l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement.
3. [Suit le texte détaillant les spécifications du contrat et les obligations supplémentaires des sous-traitants.]

Cette disposition est décomposée en plusieurs parties clés, à savoir :

• L’obligation de sélectionner des sous-traitants offrant des garanties adéquates.
• La nécessité d’un contrat ou acte juridique liant le sous-traitant au responsable du traitement.
• Des détails sur les éléments que doit contenir ce contrat.

Explications des Termes Clés

1. Traitement des Données : Cela fait référence à toute opération ou ensemble d’opérations effectuées sur des données personnelles. Cela inclut la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.
2. Sous-Traitant : Une entité (personne, entreprise ou organisation) qui traite des données personnelles pour le compte du responsable du traitement. Les sous-traitants ont des obligations spécifiques en vertu du RGPD, notamment en matière de sécurité des données et de notification des violations.
3. Responsable du Traitement : La personne ou l’entité qui détermine les finalités et les moyens du traitement des données personnelles. Ils sont responsables de la conformité avec le RGPD, y compris la sélection de sous-traitants appropriés et la gestion des contrats de traitement des données.

Cette analyse met en lumière les éléments clés de l’Article 28, soulignant son importance dans la régulation des relations entre responsables de traitement et sous-traitants dans le cadre du RGPD. La compréhension approfondie de cet article est cruciale pour assurer la conformité et maintenir des normes élevées de protection des données.

Article 28 du RGPD Guide Pratique : Obligations des Responsables de Traitement

Les responsables de traitement des données jouent un rôle crucial dans la mise en œuvre et le respect du RGPD. Leur rôle s’étend au-delà de la simple gestion des données personnelles pour inclure la sélection et la supervision des sous-traitants, ainsi que la conformité aux obligations contractuelles et légales.

Sélection et Utilisation des Sous-Traitants

1. Critères de Sélection : Les responsables de traitement doivent choisir des sous-traitants qui offrent des garanties suffisantes en termes de connaissances, de fiabilité et de ressources pour mettre en œuvre des mesures techniques et organisationnelles répondant aux exigences du RGPD. Cela comprend la capacité du sous-traitant à assurer la sécurité des données, à respecter les droits des personnes concernées, et à aider le responsable de traitement à remplir ses obligations réglementaires.
2. Audit et Évaluation : Avant d’engager un sous-traitant, et de façon périodique par la suite, les responsables de traitement doivent procéder à des audits ou des évaluations pour s’assurer que les sous-traitants respectent leurs obligations en matière de protection des données. Cela peut inclure la vérification des politiques de confidentialité, des mesures de sécurité, et des antécédents en matière de conformité au RGPD.
3. Documentation et Suivi : Les accords avec les sous-traitants doivent être documentés avec précision. Les responsables de traitement doivent conserver des enregistrements des activités de traitement effectuées par les sous-traitants, y compris des détails sur les types de données traitées et les mesures de sécurité mises en place.

Responsabilités Contractuelles et Légales

1. Contrats : Les accords entre les responsables de traitement et les sous-traitants doivent être formalisés dans un contrat ou un autre acte juridique. Ce contrat doit clairement définir les obligations du sous-traitant, les modalités de traitement des données, les mesures de sécurité à mettre en œuvre, et les droits et obligations du responsable de traitement.
2. Clauses Obligatoires : Le contrat doit inclure des clauses spécifiques imposées par le RGPD, telles que la nécessité pour les sous-traitants de :
   • Traiter les données personnelles uniquement sur instructions documentées du responsable de traitement.
   • Garantir la confidentialité des données traitées.
   • Mettre en place des mesures de sécurité appropriées.
   • Contribuer à assurer le respect des droits des personnes concernées.
3. Responsabilité et Conformité : Les responsables de traitement doivent non seulement veiller à la conformité de leurs propres pratiques, mais aussi s’assurer que leurs sous-traitants respectent les mêmes normes élevées. En cas de non-conformité, les responsables de traitement peuvent être tenus responsables et faire face à des sanctions.

Exigences pour les Sous-Traitants

Les sous-traitants jouent un rôle crucial dans la chaîne de traitement des données personnelles. Le RGPD impose des exigences strictes pour garantir que les sous-traitants traitent les données de manière sécurisée et conforme.

Mesures de Sécurité des Données

1. Mise en Place de Mesures Techniques et Organisationnelles : Les sous-traitants doivent adopter des mesures de sécurité appropriées pour protéger les données personnelles contre les accès non autorisés, la perte ou la destruction accidentelle. Cela peut inclure le chiffrement des données, la sécurisation des réseaux, et la mise en place de systèmes de gestion des accès.
2. Réponse aux Incidents de Sécurité : Les sous-traitants doivent être préparés à détecter, signaler et répondre aux incidents de sécurité des données. Cela implique d’avoir des procédures claires pour répondre aux violations de données et informer le responsable du traitement sans délai.
3. Évaluations Régulières : Il est important que les sous-traitants mènent des évaluations régulières de leurs mesures de sécurité pour s’assurer qu’elles restent efficaces et conformes aux dernières normes et menaces.

Documentation et Conformité RGPD

1. Accords de Traitement des Données : Les sous-traitants doivent conclure un accord formel avec les responsables de traitement, détaillant les conditions de traitement des données, les obligations et les responsabilités de chaque partie. Ce contrat doit refléter les exigences du RGPD.
2. Registre des Activités de Traitement : Les sous-traitants sont tenus de tenir un registre des activités de traitement qu’ils effectuent au nom des responsables de traitement. Ce registre doit inclure des informations telles que les catégories de données traitées, les transferts de données, et les mesures de sécurité mises en place.
3. Formation et Sensibilisation : Les sous-traitants doivent s’assurer que leur personnel est formé et conscient des exigences du RGPD. Cela comprend la formation sur les principes de la protection des données, les droits des personnes concernées, et les procédures à suivre en cas de demande d’accès ou de violation de données.
4. Assistance au Responsable de Traitement : Les sous-traitants doivent aider les responsables de traitement dans la réalisation d’évaluations d’impact sur la protection des données et dans la consultation préalable avec les autorités de contrôle, si nécessaire.

Les sous-traitants doivent adopter une approche rigoureuse et systématique pour garantir la sécurité des données et se conformer aux exigences du RGPD. Cette approche est essentielle non seulement pour la conformité légale, mais aussi pour maintenir la confiance des clients et des utilisateurs dans le traitement de leurs données personnelles.

Contrats de Traitement de Données

Les contrats de traitement de données sont un élément fondamental pour assurer la conformité au RGPD. Ces contrats définissent les termes et conditions sous lesquels les données personnelles sont traitées par les sous-traitants pour le compte des responsables de traitement. Ils jouent un rôle clé dans la protection des données personnelles et la définition des responsabilités.

Éléments Essentiels d’un Contrat de Traitement

1. Objet et Durée du Traitement : Le contrat doit clairement définir l’objet du traitement, sa nature, sa finalité, ainsi que la durée pendant laquelle les données seront traitées.
2. Types de Données et Catégories de Personnes Concernées : Il est essentiel de spécifier les catégories de données à caractère personnel traitées et les groupes de personnes concernées (par exemple, clients, employés).
3. Obligations et Droits du Responsable de Traitement : Le contrat doit détailler les obligations spécifiques du responsable de traitement, y compris les instructions de traitement des données, les mesures de sécurité à respecter, et la manière de répondre aux demandes des personnes concernées.
4. Sous-Traitance : Le contrat doit stipuler si le sous-traitant a le droit d’engager d’autres sous-traitants et, le cas échéant, les conditions de cette sous-traitance.
5. Mesures de Sécurité : Les mesures techniques et organisationnelles mises en place pour protéger les données personnelles doivent être décrites.
6. Notification de Violation de Données : Le contrat doit préciser les procédures en cas de violation de données personnelles, y compris les délais de notification et les types d’informations à fournir.
7. Droits des Personnes Concernées : Le contrat doit expliquer comment les demandes des personnes concernées (comme les demandes d’accès, de rectification ou d’effacement) seront gérées.
8. Fin du Contrat : Les modalités de fin de contrat, y compris la suppression ou le retour des données personnelles, doivent être clairement établies.

Article 28 du RGPD Guide Pratique Exemples et Bonnes Pratiques

• Clarté et Précision : Utiliser un langage clair et précis pour éviter les ambiguïtés, en s’assurant que les deux parties comprennent leurs obligations.
• Révision et Mise à Jour : Les contrats doivent être revus régulièrement pour s’assurer qu’ils reflètent les changements dans les pratiques de traitement des données et les exigences légales.
• Conformité Démontrable : Le contrat doit permettre de démontrer la conformité au RGPD, en incluant des clauses sur l’audit et le contrôle du respect des obligations.
• Exemple de Clause : « Le sous-traitant s’engage à traiter les données personnelles uniquement sur instructions documentées du responsable de traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou une organisation internationale, sauf si la législation de l’Union ou des États membres à laquelle le sous-traitant est soumis exige un autre traitement ; dans ce cas, le sous-traitant informe le responsable de traitement de cette obligation légale avant le traitement, sauf si cette législation interdit une telle information pour des motifs importants d’intérêt public. »

Les contrats de traitement de données sont essentiels pour garantir la conformité au RGPD et doivent être rédigés avec soin pour assurer une protection efficace des données personnelles.

Gestion des Risques et de la Conformité

La gestion des risques et la conformité sont des aspects critiques de la mise en œuvre du RGPD. Elles nécessitent une approche systématique pour identifier, évaluer et atténuer les risques liés à la protection des données, tout en assurant le respect constant des exigences réglementaires.

Évaluation d’Impact Relative à la Protection des Données (DPIA)

1. Quand Réaliser une DPIA : Une DPIA est particulièrement nécessaire lorsque de nouvelles technologies de traitement des données sont introduites, ou lorsque le traitement présente des risques élevés pour les droits et libertés des personnes concernées. Cela inclut des opérations de traitement à grande échelle, le profilage, et le traitement de données sensibles.
2. Contenu d’une DPIA : Une DPIA doit inclure une description systématique des opérations de traitement envisagées, l’évaluation de la nécessité et de la proportionnalité du traitement, une évaluation des risques pour les droits et libertés des personnes concernées, et les mesures envisagées pour atténuer ces risques.
3. Consultation et Revue : La DPIA doit être réalisée avant le traitement des données. Il est recommandé de consulter les parties prenantes, y compris les représentants des personnes concernées et le délégué à la protection des données (DPO). La DPIA doit être revue et mise à jour régulièrement, en particulier lorsqu’il y a des changements significatifs dans le traitement des données.

Article 28 du RGPD Guide Pratique Surveillance et Audit Régulier

1. Programme de Conformité : Les organisations doivent mettre en place un programme de conformité pour surveiller en continu l’adéquation, l’efficacité et la mise en œuvre des mesures de protection des données. Cela inclut des politiques internes, des formations, et des contrôles de conformité.
2. Audits Internes et Externes : Les audits réguliers, qu’ils soient internes ou effectués par des tiers, sont essentiels pour vérifier la conformité avec le RGPD. Ils doivent évaluer tant les aspects techniques que les procédures organisationnelles de traitement des données.
3. Rapports et Documentation : Il est important de documenter toutes les activités de conformité, y compris les résultats des audits et les mesures prises pour remédier aux lacunes identifiées. Ces documents peuvent être essentiels en cas d’inspection par les autorités de protection des données.
4. Réactivité aux Évolutions Réglementaires : Les organisations doivent rester informées des évolutions du cadre réglementaire et jurisprudentiel en matière de protection des données pour adapter en conséquence leurs pratiques de conformité.

La gestion des risques et la conformité dans le cadre du RGPD requièrent une évaluation proactive des risques, une mise en œuvre rigoureuse des mesures de protection des données, et un suivi régulier pour assurer une conformité continue et efficace.

Article 28 – Sous-traitant

1. Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
2. Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.
3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;

b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c) prend toutes les mesures requises en vertu de l’article 32;

d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;

e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;

f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;

g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel; et

h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

4. Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.
5. L’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.
6. Sans préjudice d’un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu’elles font partie d’une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.
7. La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d’examen visée à l’article 93, paragraphe 2.
8. Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l’article 63.
9. Le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.
10. Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.