- Les ADV devraient suivre strictement le libellé de l’article 28 du RGPD afin d’éviter les divergences involontaires et les risques d’interprétation.
- Les OAD doivent détailler concrètement et en permanence le traitement, la durée et les mesures de sécurité, y compris les exigences minimales et les progrès technologiques.
- Les règles relatives aux sous-traitants doivent garantir la transparence, un véritable droit de veto, des droits directs et des droits d’audit pour le responsable du traitement.
Conformément au RGPD, le responsable du traitement et le sous-traitant doivent conclure un accord au sens de l’article 28, paragraphe 3, du RGPD (accord de traitement des données de commande), ADV). L’article 28, paragraphe 6, du RGPD prévoit qu’ADV peut, le cas échéant, s’appuyer sur Clauses contractuelles types (Clauses contractuelles standard, SSC).
Sur cette base, l’autorité danoise de contrôle de la protection des données a soumis un projet de SSC au Comité européen de la protection des données (CEPD). Il s’agit probablement du modèle de document disponible sur le site web de l’autorité. document type disponible agir.
Les observations suivantes de l’EDSA sont particulièrement intéressantes ; bien qu’elles se rapportent également au SCC proposé, elles sont également pertinentes pour les ADV dans des cas particuliers et pourraient être utilisées comme argument dans les négociations contractuelles des ADV. Dans la pratique, de telles négociations sont de plus en plus fréquentes et de plus en plus exigeantes.
- En règle générale, il est judicieux de s’appuyer sur le libellé de l’article 28 du RGPD pour la formulation de l’ADV, afin d’éviter de donner l’impression que des divergences sont envisagées.
- DuréeLes ADV ne doivent pas pouvoir être résiliés séparément de l’accord de service sous-jacent tant que le traitement des données se poursuit. Dans la pratique, les ADV commencent au plus tard au moment du premier traitement de données et se terminent au plus tôt à leur terme.
- Mesures de sécurité des données:
- Les mesures de sécurité des données à prendre par le sous-traitant doivent à chaque fois – c’est-à-dire pendant toute la durée du traitement de la commande – tenir compte des progrès techniques.
- L’ADV devrait définir les mesures minimales dans une annexe. Dans la pratique, c’est encore souvent le cas, conformément à une ancienne réglementation de la loi allemande sur la protection des données ; mais le RGPD ne le prescrit pas obligatoirement.
- Subdélégués:
- Les ADV devraient énumérer dans une annexe tous les sous-traitants préalablement approuvés, afin que le responsable reste concrètement informé des changements. Dans la pratique, cela n’est souvent pas fait, en tout cas pas lorsque toutes les sociétés du groupe du sous-traitant sont approuvées en tant que sous-traitants.
- Pour les nouveaux sous-traitants, le responsable doit avoir un véritable choix, ce qui suppose notamment un délai raisonnable pour son droit de veto.
- Le CEPD se félicite expressément de l’obligation faite au sous-traitant de prévoir, dans les contrats de sous-traitance, des droits directs du responsable du traitement à l’égard du sous-traitant, qui peuvent s’appliquer par exemple en cas d’insolvabilité du sous-traitant.
- Le responsable doit avoir un droit d’audit directement auprès du sous-traitant.
- SoutienLes ADV devraient régler concrètement les obligations d’assistance du sous-traitant. Par exemple, ils devraient préciser si le sous-traitant se contente de transmettre les demandes des personnes concernées (et si oui, avec quel délai) ou s’il les traite conformément aux instructions du responsable du traitement, s’il est autorisé ou non à interagir directement avec les personnes concernées, etc.
- Concrétisation du traitementL’OAD doit concrétiser le traitement en indiquant l’objet et la durée, la nature et la finalité du traitement, le type de données personnelles concernées et les catégories de personnes concernées. Selon l’EDSA, cette indication doit se faire “de la manière la plus détaillée possible”, pour chacun des traitements couverts par l’OAD.