Le Comité européen à la protection des données (« CEPD ») a publié un avis (22/2024) sur les obligations liées à la gestion des sous-traitants et sous-traitants ultérieurs dans le cadre du Règlement général sur la protection des données (« RGPD »).
Cet avis clarifie plusieurs points clés, notamment :
- Identification des sous-traitants : Les responsables du traitement doivent disposer en permanence des informations sur l’identité de tous les sous-traitants et sous-traitants ultérieurs, pour remplir leurs obligations en vertu de l’article 28 du RGPD.
- Garanties suffisantes : Les responsables de traitement doivent s'assurer que les sous-traitants offrent des garanties suffisantes pour protéger les droits des personnes concernées. Le niveau de vérification requis dépend de la nature et des risques liés aux traitements.
- Responsabilité des sous-traitants ultérieurs : Bien que les sous-traitants initiaux sélectionnent les sous-traitants ultérieurs, la décision finale et la responsabilité d'engagement reviennent au responsable du traitement, qui doit pouvoir démontrer la conformité des garanties fournies.
- Examen des contrats : Les responsables ne sont pas obligés de vérifier systématiquement les contrats des sous-traitants ultérieurs, mais doivent évaluer au cas par cas si cela est nécessaire pour garantir leur conformité au RGPD.
- Transferts de données hors EEE : Lors de transferts internationaux, les sous-traitants doivent documenter les motifs et garanties (analyse d’impact, mesures supplémentaires). Les responsables de traitement doivent vérifier cette documentation.
Quel impact ?
Cet avis met en lumière la nécessité d’une vigilance accrue dans la gestion contractuelle et opérationnelle des sous-traitants pour se conformer pleinement au RGPD.
Notre cabinet est à votre disposition pour répondre à toute question et vous accompagner dans vos projets et démarches.
