Accord de Traitement des Données
Lorsque TeachMeMoRe confie des données personnelles à un sous-traitant, ce dernier doit offrir des garanties de sécurité suffisantes pour respecter le Règlement Général sur la Protection des Données (RGPD) et protéger les droits des personnes concernées. Le sous-traitant ne peut recourir à un autre sous-traitant sans l'accord écrit du responsable de traitement des données de TeachMeMoRe et doit notifier tout changement à celui-ci selon l’article 28 du RGPD concernant l’accord de traitement des données.
L'article 28 du RGPD définit les obligations entre le responsable du traitement et le sous-traitant pour garantir la protection des données personnelles lors d’un traitement externalisé. En voici les éléments clés :
Article 28 - Responsabilités et Obligations des Sous-traitants dans le Cadre du RGPD
1. Choix de Sous-traitants Garantissant la Sécurité des Données
Le responsable du traitement doit uniquement faire appel à des sous-traitants qui offrent des garanties suffisantes pour assurer des mesures techniques et organisationnelles adaptées, afin de respecter le RGPD et protéger les droits des personnes concernées.
2. Sous-traitance en Cascade ou Secondaire : Autorisation Nécessaire
Un sous-traitant ne peut recruter un autre sous-traitant sans obtenir une autorisation écrite préalable, spécifique ou générale, du responsable du traitement. En cas d'autorisation générale, le sous-traitant doit informer le responsable de tout changement dans la sous-traitance pour que ce dernier puisse émettre des objections.
3. Contrat Obligatoire Entre le Responsable et le Sous-traitant
La relation entre le responsable du traitement et le sous-traitant doit être encadrée par un contrat ou un acte juridique conforme au droit de l'Union ou de l'État membre, stipulant :
- L’objet, la durée, la nature et la finalité du traitement.
- Le type de données personnelles et les catégories de personnes concernées.
- Les obligations et les droits des deux parties.
Ce contrat impose les obligations suivantes au sous-traitant :
- Instructions du Responsable : Le sous-traitant traite les données uniquement selon les instructions documentées du responsable, y compris pour les transferts de données à l’international, sauf si le droit de l'Union ou de l'État membre l'exige.
- Confidentialité : Le sous-traitant veille à ce que les personnes autorisées à traiter les données soient tenues à la confidentialité.
- Sécurité des Données : Le sous-traitant prend toutes les mesures nécessaires, conformément à l’article 32, pour garantir la sécurité des données.
- Conditions de Sous-traitance : Respect des conditions établies pour l'engagement d'autres sous-traitants, en conformité avec les paragraphes 2 et 4.
- Assistance dans l’Exercice des Droits des Personnes Concernées : Aide à répondre aux demandes des personnes souhaitant exercer leurs droits.
- Aide au Respect des Obligations RGPD : Soutien pour respecter les articles 32 à 36 du RGPD.
- Suppression ou Restitution des Données : Suppression ou restitution des données à la fin de la prestation.
- Audit et Mise à Disposition des Informations : Fourniture d’informations nécessaires pour prouver le respect des obligations.
4. Sous-traitance Secondaire et Responsabilité
Lorsqu'un sous-traitant engage un autre sous-traitant, celui-ci est soumis aux mêmes obligations de protection des données que le sous-traitant initial. Si le sous-traitant secondaire ne respecte pas ses obligations, le sous-traitant initial reste entièrement responsable devant le responsable du traitement.
5. Codes de Conduite et Certification
L’application d’un code de conduite approuvé (article 40) ou d'une certification (article 42) par le sous-traitant peut démontrer le respect des garanties nécessaires pour protéger les données personnelles.
6. Clauses Contractuelles Types
La Commission européenne et les autorités de contrôle peuvent proposer des clauses contractuelles types pour faciliter la conformité, conformément aux articles 93 et 63 du RGPD. Le contrat ou acte juridique entre les parties doit être rédigé sous forme écrite, y compris en format électronique.
7. Responsabilité Accrue pour Violation des Instructions
Si un sous-traitant détermine les finalités et les moyens du traitement en violation du contrat, il est requalifié en responsable du traitement et doit assumer toutes les responsabilités correspondantes, y compris les éventuelles sanctions prévues dans le RGPD.
TeachMeMoRe demande aux sous-traitants de se conformer aux exigences de l'article 28 du RGPD, visant à renforcer la sécurité et la transparence des relations entre responsables de traitement et sous-traitants. Pour exercer vos droits ou poser des questions concernant notre accord de traitement des données, contactez-nous à contact@teachmemore.fr.