En présence d’une sous-traitance de données personnelles (exemple : retargeting publicitaire, collecte de données par des sous-traitants etc.) la signature d’une convention de sous-traitance de données personnelles est impérative (voir modèle infra), les parties sont soumises à une responsabilité conjointe en cas de non respect du RGDP. Dans sa pratique, la CNIL a eu l’opportunité de rappeler les points suivants.      

Contrôler la collecte du consentement des personnes 

L’article 7, paragraphe 1, du RGPD relatif aux conditions applicables au consentement prévoit que : ” dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant “.

Le responsable du traitement doit mettre en place des mesures lui permettant de s’assurer que les données à caractère personnel qu’il traite sont uniquement celles pour lesquelles un consentement valable de la personne a été recueilli. A ce titre, il doit mettre en œuvre un mécanisme d’audit de ses partenaires.

Les différents accords conclus avec les partenaires en application de l’article 26 du RGPD (notamment les Conditions générales d’utilisation de services et les Accords de protection des données) même s’ils prévoient que cette obligation revient au sous-traitant sont insuffisants. 

En cas de responsabilité conjointe, l’article 26 du RGPD oblige les responsables de traitement conjoints à s’assurer, par le biais d’un accord, qu’ils respectent mutuellement le RGPD et notamment qu’ils organisent entre eux la meilleure façon de répondre aux droits des personnes concernées, en fonction de la nature du traitement et de leur responsabilité respective vis-à-vis de ce traitement.

Aux points 167 et 168 de ses lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, le comité européen de la protection des données (CEPD) considère qu’en cas de responsabilité conjointe, ” les deux responsables du traitement sont toujours tenus de veiller à disposer tous deux d’une base juridique pour le traitement ” et qu’ils ” peuvent disposer d’un certain degré de flexibilité dans la répartition et l’attribution des obligations entre eux, pour autant qu’ils garantissent le plein respect des exigences du RGPD en ce qui concerne le traitement spécifique “.

L’affaire Criteo 

Dans l’affaire Criteo, la CNIL a rappelé qu’en premier lieu, s’agissant des rôles et obligations respectives de la société et de ses sites partenaires, dans le cadre d’un traitement ayant pour finalité l’affichage de publicité personnalisée, la société traite les données à caractère personnel des internautes visitant les sites de ses partenaires qui sont préalablement collectées par l’intermédiaire du cookie Criteo.

La société et les sites de ses partenaires à partir desquels est déposé le cookie Criteo dans le terminal des internautes sont responsables conjoints des opérations de dépôt du cookie Criteo et de la collecte de données des internautes opérée grâce à ce cookie.

En ce qui concerne le cadre juridique applicable à ces différentes opérations de traitement, la formation restreinte rappelle que si le dépôt du cookie Criteo dans le terminal de l’internaute se rendant sur le site web d’un partenaire et qui permet à la société d’attribuer un identifiant unique à cet internaute est soumis aux dispositions de l’article 5, paragraphe 3, de la directive 2002/58/EC du Parlement européen et du Conseil du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques (ci-après la ” directive ” ePrivacy ” “), transposées en droit français à l’article 82 de la loi Informatique et Libertés, le traitement subséquent à des fins publicitaires, qui est opéré à partir des données à caractère personnel collectées par l’intermédiaire de ce cookie, est soumis aux dispositions du RGPD.

En ce qui concerne la base juridique applicable à ces différentes opérations de traitement, la formation restreinte rappelle d’abord qu’au titre de la directive ” ePrivacy “, les opérations de lecture ou d’écriture d’information dans le terminal d’un utilisateur ne peuvent être mises en œuvre sans le consentement préalable de ce dernier.

Selon une position constante de la CNIL, l’articulation des règles de la directive ” ePrivacy ” et du RGPD permet à l’éditeur du site à partir duquel est déposé le cookie de recueillir le consentement nécessaire au dépôt du cookie en même temps que celui nécessaire au traitement subséquent mis en œuvre à partir des données collectées par ce cookie.

Or, la société s’est organisée d’une telle façon avec ses partenaires que les conditions générales d’utilisation des services Criteo, auxquelles les partenaires de la société ont adhéré, précisent qu’il revient bien au partenaire de recueillir le consentement de la personne concernée pour le traitement subséquent opéré à partir des données collectées par ce cookie.

Le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revienne aux partenaires n’exonère pas la société de son obligation, en application de l’article 7 du RGPD, d’être en mesure de démontrer que la personne concernée a donné son consentement.

Double régime de responsabilité

Ce double régime de responsabilité permet de garantir qu’à toutes les étapes du traitement des données collectées au titre de la navigation d’un utilisateur sur l’un des sites partenaires de la société, chaque responsable de traitement conjoint respecte les obligations qui lui incombent : pour les partenaires, celles relatives au dépôt et la lecture du cookie Criteo dans le terminal de l’utilisateur et, pour la société, celles relatives aux traitements subséquents opérés à partir des données collectées par le biais de ce cookie.

Il convient en effet que les personnes concernées bénéficient effectivement de la protection offerte par les textes en vigueur à laquelle elles ont droit tout au long de leur navigation et, notamment, que leurs données ne sont traitées par la société que si elles y ont préalablement et valablement consenti.

En outre, le cœur d’activité de la société consiste à transformer des données brutes de navigation en informations valorisables qu’elle exploite. Dès lors que la société joue un rôle central dans l’écosystème publicitaire, elle doit d’autant plus être en mesure de s’assurer que le traitement en cause respecte la règlementation en vigueur.

Par ailleurs, dans le cadre du contrôle sur place, la CNIL a constaté que les sites des partenaires visités ne comportaient aucun mécanisme permettant un recueil de consentement au dépôt de cookie, tel qu’un bouton ou une case à cocher. Plusieurs évènements liés à la navigation de ces deux sites ont été enregistrés dans la base de données de la société, tels que la visite des pages des produits vendus par les partenaires de la société.

L’absence de recueil d’un consentement valable a été constatée par la délégation sur près d’un site visité sur deux. 

La preuve du consentement 

La CNIL considère qu’une clause contractuelle ne permet pas, à elle seule, de garantir l’existence d’un consentement valide et qu’il convient à tout le moins qu’elle soit complétée pour préciser que l’organisme qui recueille le consentement doit mettre à disposition de l’autre partie la preuve du consentement, pour que chaque responsable de traitement souhaitant s’en prévaloir puisse en faire effectivement état.

Prévoir des audits 

Au delà du contrat de sous-traitance, le responsable de traitement doit prévoir des campagnes d’audits auprès de ses partenaires. 

Les bons réflexes à adopter 

Le donneur d’ordre et le prestataire de service définissent chacun leur rôle sur la base de la réglementation applicable en menant l’analyse ensemble, afin de pouvoir ensuite s’accorder sur leurs obligations respectives.

Conformément au RGPD, le sous-traitant ne peut traiter (utiliser) les données personnelles auxquelles il a accès que sur instruction documentée du responsable du traitement. Le sous-traitant peut donc licitement traiter les données tant qu’il agit pour se conformer de la meilleure façon et la plus sûre possible aux instructions du responsable du traitement. En revanche, il ne peut pas réutiliser ces données pour son propre compte, de sa propre initiative, sauf si un texte national ou européen le lui impose.

Le sous-traitant qui réutiliserait les données de sa propre initiative serait qualifié de responsable de ce traitement et passible de sanctions pour ne pas avoir agi dans le respect des instructions du responsable du traitement initial.

Le contrat de sous-traitance doit permettre aux parties :

d’organiser leurs rapports et leurs obligations respectives au regard de la protection des données personnelles ;  

d’intégrer l’ensemble des mentions listées à l’article 28.3 du RGPD, en les adaptant à leur situation, et mettre en œuvre les obligations ainsi définies.

Les clauses suivantes constituent des points de vigilance particuliers.

Définir et encadrer le traitement

Le contrat doit définir clairement l’objet, la durée, la nature et la finalité du traitement, ainsi que les catégories de données à caractère personnel et les catégories de personnes concernées. C’est cette définition qui fixe le cadre du traitement pour le sous-traitant. En pratique, l’objet du traitement correspondra le plus souvent à l’activité du sous-traitant (par exemple, des prestations de routage d’emails, d’hébergement de données, de maintenance ou de support).

Toute opération de traitement non prévue dans le contrat devrait, en principe, faire l’objet d’une renégociation préalable entre les parties ou au moins d’instructions écrites du responsable de traitement.

Préciser les conditions dans lesquelles le sous-traitant peut lui-même recourir à un sous-traitant

Le sous-traitant ne peut recruter un autre sous-traitant que sur autorisation écrite du responsable de traitement (article 28 du RGPD).

Cette autorisation peut être donnée au sous-traitant au cas par cas, pour chaque nouveau sous-traitant, ou avoir une portée générale. La CNIL recommande de préciser dans le contrat laquelle de ces deux modalités d’autorisation est choisie par les parties.

Si l’autorisation a une portée générale, le sous-traitant doit informer le responsable de traitement de la liste de ses sous-traitants ultérieurs, ainsi que de tout ajout ou remplacement dans cette liste, afin de lui permettre d’y objecter s’il le souhaite. Dans ce cas, la CNIL recommande de contractualiser les modalités d’information du donneur d’ordre et, éventuellement, les critères du choix de ces sous-traitants.

Le sous-traitant doit tenir à jour, dans son registre, une liste des sous-traitants auxquels il recourt.

Documenter l’activité de sous-traitance 

Le responsable de traitement doit s’assurer que son sous-traitant respecte le RGPD. Pour ce faire, le contrat doit impérativement comporter une clause selon laquelle le sous-traitant tient à disposition du donneur d’ordre toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et permettre la réalisation d’audit par le responsable de traitement (ou un autre auditeur qu’il a mandaté).

Outre la conclusion d’un contrat de sous-traitance, le sous-traitant doit également :

veiller à ce que les instructions délivrées par le responsable de traitement soient formalisées de manière écrite et procéder à leur recensement afin d’être en mesure de démontrer qu’il agit sur instruction du responsable de traitement ;

tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement (article 30.2 du RGPD) ;

tenir à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits.

Proposer des outils respectueux des données personnelles 

Le sous-traitant doit offrir des garanties suffisantes pour répondre aux exigences du RGPD (article 28.1 du RGPD). Il doit proposer des solutions et outils respectueux des données personnelles.

Il a également un rôle d’assistance et de conseil à l’égard du responsable de traitement. Il doit alerter le responsable de traitement s’il estime qu’une instruction qu’il reçoit constitue une violation de la réglementation applicable en matière de données personnelles.

Pour sa part, le responsable de traitement doit veiller à recourir à des services qui incluent des fonctionnalités et outils techniques qui lui permettront d’assurer sa conformité.

Les conseils de la CNIL

Les fonctionnalités suivantes peuvent aider le responsable de traitement à assurer sa conformité :

une interface de recueil du consentement, dans l’hypothèse où le traitement de données personnelles mis en œuvre par le responsable de traitement requiert le consentement de l’utilisateur final ;

un lien de désinscription automatique, lorsque le traitement de données personnelles est fondé sur le consentement de l’utilisateur, afin de lui permettre de retirer ce consentement à tout moment ;

une interface et un modèle d’information des personnes ;

un système de purge automatique des données dont la durée de conservation est arrivée à son terme.

Aider le responsable de traitement à répondre aux demandes d’exercices des droits des personnes 

Le sous-traitant doit aider le donneur d’ordre dans le traitement des demandes d’exercice des droits qu’il reçoit (accès, rectification, effacement, limitation, portabilité) conformément à l’article 28.3.e) du RGPD. Cette assistance est d’autant plus essentielle que le sous-traitant est parfois le plus à même d’assurer la mise en œuvre technique des suites apportées aux demandes d’exercice des droits.

Il est donc important d’organiser, dès la conclusion du contrat de sous-traitance, les modalités de cette assistance et de veiller à ce que la solution fournie par le sous-traitant intègre des fonctionnalités permettant de répondre à ces demandes facilement et rapidement. 

Les conseils de la CNIL

Il est possible de mettre en place une interface d’exercice des droits des personnes, avec un système de suivi et de répartition automatique des demandes d’exercice des droits en fonction de leur objet.

Cette organisation est d’autant plus recommandée qu’une suite doit être donnée par le responsable de traitement aux demandes des personnes exerçant leurs droits dans les meilleurs délais, et en tout état de cause dans un délai d’un mois à compter de la réception de la demande.

Garantir la sécurité des données collectées 

Le responsable de traitement doit faire appel à un sous-traitant qui présente des garanties suffisantes en termes de sécurité. Le sous-traitant doit, quant à lui, assurer un niveau de sécurité suffisant au regard de la nature des données collectées pour le responsable de traitement (article 32 du RGPD).

En pratique, le sous-traitant joue un rôle fondamental dans la mesure où, bien souvent :

il assurera la mise en œuvre effective des traitements de données personnelles ;

il détient le savoir-faire et la maîtrise technique de la solution commercialisée.

En cas de violation de données, le sous-traitant doit également aider le responsable de traitement, à remplir ses obligations de notification à la CNIL et de communication à la personne concernée le cas échéant.

Il est recommandé :

d’exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information ;

d’assurer et de documenter l’effectivité des garanties offertes par le sous-traitant en matière de protection des données.

Par exemple, les parties peuvent mettre en œuvre les moyens suivants (en les encadrant contractuellement si nécessaire) : audits de sécurité, visite des installations, certifications de l’organisme, certification des compétences du DPO.

Il est également recommandé au responsable de traitement et au sous-traitant d’imposer à leurs employés une obligation contractuelle de confidentialité et de s’assurer que ceux-ci sont sensibilisés aux grands principes de la protection des données.

Il est nécessaire, enfin, de limiter les accès aux seules personnes habilitées en raison de leurs fonctions, et en distinguant les différentes opérations qui peuvent être effectuées sur les données (consultation, modification, suppression, export, etc.).

Modèle de Convention de sous-traitance de données personnelles 

I. Objet

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

II. Description du traitement faisant l’objet de la sous-traitance

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) […].

La nature des opérations réalisées sur les données est […].

La ou les finalité(s) du traitement sont […].

Les données à caractère personnel traitées sont […].

Les catégories de personnes concernées sont […].

Pour l’exécution du service objet du présent contrat, le responsable de traitement met à la disposition du sous-traitant les informations nécessaires suivantes […].

III. Durée du contrat

Le présent contrat entre en vigueur à compter du […] pour une durée de […].

IV. Obligations du sous-traitant vis-à-vis du responsable de traitement

Le sous-traitant s’engage à :

traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance

traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe du présent contrat. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public

garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat

veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité

reçoivent la formation nécessaire en matière de protection des données à caractère personnel

prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut

Sous-traitance

Choisir l’une des deux options :

Option A (autorisation générale)

Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai minium de […] à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu.

Option B (autorisation spécifique)

Le sous-traitant est autorisé à faire appel à l’entité […] (ci-après, le « sous-traitant ultérieur ») pour mener les activités de traitement suivantes : […]

En cas de recrutement d’autres sous-traitants ultérieurs, le sous-traitant doit recueillir l’autorisation écrite, préalable et spécifique du responsable de traitement.

Quelle que soit l’option (autorisation générale ou spécifique)

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

Droit d’information des personnes concernées

Choisir l’une des deux options :

Option A

Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

Option B

Le sous-traitant, au moment de la collecte des données, doit fournir aux personnes concernées par les opérations de traitement l’information relative aux traitements de données qu’il réalise. La formulation et le format de l’information doit être convenue avec le responsable de traitement avant la collecte de données.

 Exercice des droits des personnes

Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Choisir l’une des deux options :

Option A

Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à […] (indiquer un contact au sein du responsable de traitement).

Option B

Le sous-traitant doit répondre, au nom et pour le compte du responsable de traitement et dans les délais prévus par le règlement européen sur la protection des données aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la sous-traitance prévue par le présent contrat.

Notification des violations de données à caractère personnel

Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de […] heures après en avoir pris connaissance et par le moyen suivant […]. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

Option possible

Après accord du responsable de traitement, le sous-traitant notifie à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable de traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

La notification contient au moins :

la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;

le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

la description des conséquences probables de la violation de données à caractère personnel ;

la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

Après accord du responsable de traitement, le sous-traitant communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.

La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :

la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;

le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

la description des conséquences probables de la violation de données à caractère personnel ;

la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations

Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.

Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.

Mesures de sécurité

Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :

[Décrire les mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque, y compris, entre autres

la pseudonymisation et le chiffrement des données à caractère personnel

les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

une procédure visant à tester, à ’analyser et à ’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ]

Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité prévues par [code de conduite, certification].

[ Dans la mesure où l’article 32 du règlement européen sur la protection des données prévoit que la mise en œuvre des mesures de sécurité incombe au responsable du traitement et au sous-traitant, il est recommandé de déterminer précisément les responsabilités de chacune des parties au regard des mesures à mettre en œuvre ]

Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à :

Au choix des parties :

détruire toutes les données à caractère personnel ou

à renvoyer toutes les données à caractère personnel au responsable de traitement ou

à renvoyer les données à caractère personnel au sous-traitant désigné par le responsable de traitement

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.

Délégué à la protection des données

Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données

Registre des catégories d’activités de traitement

Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :

le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données;

les catégories de traitements effectués pour le compte du responsable du traitement;

le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées;

dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :

la pseudonymisation et le chiffrement des données à caractère personnel;

des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Documentation

Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

V. Obligations du responsable de traitement vis-à-vis du sous-traitant

Le responsable de traitement s’engage à :

fournir au sous-traitant les données visées au II des présentes clauses

documenter par écrit toute instruction concernant le traitement des données par le sous-traitant

veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant

superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant.