menu MENU
arrow_back Retour à tous les articles
Changer de pays (Actuellement : Belgique) language
Contactez notre membre local en Belgique mail_outline
Visitez le site web de Ulys account_balance

arrow_backArticle précédent
Article 29
Article suivantarrow_forward

Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant

Textes
Officiels Guidelines Jurisprudence Analyse du
droit européen Analyse du
droit national
Afficher les articles et mots clés liés à l’article 29 du Règlement keyboard_arrow_down Cacher les articles et mots clés liés à l’article 29 keyboard_arrow_up

Mots clés liés à l'article 29

Il n'y a pas de considérant du Règlement lié à l'article 29.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 29.

Le GDPR

L’article 29 du nouveau Règlement prévoit désormais que le sous-traitant et toute personne agissant sous l’autorité d’un responsable du traitement ou d’un sous-traitant et qui a accès aux données, ne pourra également traiter les données que sur instructions du seul responsable du traitement, à moins que le droit de l’Union ou d’un Etat membre ne le prévoit autrement.

La Directive

L’article 16 de la Directive instaurait le principe fondamental de confidentialité en matière de protection des données personnelles : toute activité de traitement portant sur des données à caractère personnel ne peut être effectuée que sur instruction du responsable du traitement.

Cette exigence vaut à l’égard de toute personnelle qui accède aux données à caractère personnel, que cet accès soit effectué par une personne agissant sous l’autorité du responsable du traitement ou celle du sous-traitant, ainsi qu’à l’égard du sous-traitant lui-même.

Belgique

Le principe de confidentialité contenu à l’article 16 de la Directive a été transposé en droit belge à l’article 16, § 3 de la loi du 8 décembre 1992.

Difficultés probables ?

Cette disposition pose difficulté si aucun lien direct n’existe entre la personne et le responsable du traitement–celui-ci n’étant pas organisé contractuellement ou autrement- si la personne en cause –un employé par exemple- travaille sous l’autorité d’un sous-traitant ou d’un sous-traitant secondaire. Sans doute faudra-t-il l’interpréter en ce sens qu’il s’agit alors des instructions reçues du sous-traitant lui-même que ce dernier reporte éventuellement sur son sous-traitant secondaire. Rappelons que ce dernier est responsable des agissements de ses sous-traitants indirects et que logiquement, chacun est responsable des personnes travaillant sous son autorité.

Elle semble en outre faire largement double emploi avec l’article 32, 4) du Règlement qui réitère son contenu comme une déclinaison du devoir de sécurité.

 

arrow_back Article précédentArticle 29Article suivant arrow_forward
arrow_back Article précédentArticle 29 Article suivant arrow_forward

Sommaire

Union Européenne

Union Européenne

Comité européen de la protection des données (EDPB)

Guidelines on the concepts of controller and processor in the GDPR - 7/2020 (2 September 2020) (anglais)

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The concepts of controller, joint controller and processor are functional concepts in that they aim to allocate responsibilities according to the actual roles of the parties and autonomous concepts in the sense that they should be interpreted mainly according to EU data protection law.

Controller

In principle, there is no limitation as to the type of entity that may assume the role of a controller but in practice it is usually the organisation as such, and not an individual within the organisation (such as the CEO, an employee or a member of the board), that acts as a controller. A controller is a body that decides certain key elements of the processing. Controllership may be defined by law or may stem from an analysis of the factual elements or circumstances of the case. Certain processing activities can be seen as naturally attached to the role of an entity (an employer to employees, a publisher to subscribers or an association to its members). In many cases, the terms of a contract can help identify the controller, although they are not decisive in all circumstances. A controller determines the purposes and means of the processing, i.e. the why and how of the processing. The controller must decide on both purposes and means. However, some more practical aspects of implementation (“non-essential means”) can be left to the processor. It is not necessary that the controller actually has accessto the data that is being processed to be qualified as a controller.

Joint controllers

The qualification as joint controllers may arise where more than one actor is involved in the processing. The GDPR introduces specific rules for joint controllers and sets a framework to govern their relationship. The overarching criterion for joint controllership to exist is the joint participation of two or more entities in the determination of the purposes and means of a processing operation. Joint participation can take the form of a common decision taken by two or more entities or result from converging decisions by two or more entities, where the decisions complement each other and are necessary for the processing to take place in such a manner that they have a tangible impact on the determination of the purposes and means of the processing. An important criterion is that the processing would not be possible without both parties’ participation in the sense that the processing by each party is inseparable, i.e. inextricably linked. The joint participation needs to include the determination of purposes on the one hand and the determination of means on the other hand.

Processor

A processor is a natural or legal person, public authority, agency or another body, which processes personal data on behalf of the controller. Two basic conditions for qualifying as processor exist: that it is a separate entity in relation to the controller and that it processes personal data on the controller’s behalf. The processor must not process the data otherwise than according to the controller’s instructions. The controller’s instructions may still leave a certain degree of discretion about how to best serve the controller’s interests, allowing the processor to choose the most suitable technical and organisational means. A processor infringes the GDPR, however, if it goes beyond the controller’s instructions and starts to determine its own purposes and means of the processing. The processor will then be considered a controller in respect of that processing and may be subject to sanctions for going beyond the controller’s instructions.

Relationship between controller and processor

A controller must only use processors providing sufficient guarantees to implement appropriate technical and organisational measures so that the processing meets the requirements of the GDPR. Elements to be taken into account could be the processor’s expert knowledge (e.g. technical expertise with regard to security measures and data breaches); the processor’s reliability; the processor’s resources and the processor’s adherence to an approved code of conduct or certification mechanism. Any processing of personal data by a processor must be governed by a contract or other legal act which shall be in writing, including in electronic form, and be binding. The controller and the processor may choose to negotiate their own contract including all the compulsory elements or to rely, in whole or in part, on standard contractual clauses. The GDPR lists the elements that have to be set out in the processing agreement. The processing agreement should not, however, merely restate the provisions of the GDPR; rather, it should include more specific, concrete information as to how the requirements will be met and which level of security is required for the personal data processing that is the object of the processing agreement.

Relationship among joint controllers

Joint controllers shall in a transparent manner determine and agree on their respective responsibilities for compliance with the obligations under the GDPR. The determination of their respective responsibilities must in particular regard the exercise of data subjects’ rights and the duties to provide information. In addition to this, the distribution of responsibilities should cover other controller obligations such as regarding the general data protection principles, legal basis, security measures, data breach notification obligation, data protection impact assessments, the use of processors, third country transfers and contacts with data subjects and supervisory authorities. Each joint controller has the duty to ensure that they have a legal basis for the processing and that the data are not further processed in a manner that is incompatible with the purposes for which they were originally collected by the controller sharing the data. The legal form of the arrangement among joint controllers is not specified by the GDPR. For the sake of legal certainty, and in order to provide for transparency and accountability, the EDPB recommends that such arrangement be made in the form of a binding document such as a contract or other legal binding act under EU or Member State law to which the controllers are subject. The arrangement shall duly reflect the respective roles and relationships of the joint controllers vis-à- vis the data subjects and the essence of the arrangement shall be made available to the data subject. Irrespective of the terms of the arrangement, data subjects may exercise their rights in respect of and against each of the joint controllers. Supervisory authorities are not bound by the terms of the arrangement whether on the issue of the qualification of the parties as joint controllers or the designated contact point.

Link

Retour au sommaire
arrow_back Article précédent Article 29 Article suivant arrow_forward

Sommaire

France

Retour au sommaire

France

Jurisprudence française

CE Fr., n°354629 (12 mars 2014)

1. La Société Foncia Groupe a mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL),a fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle-même, pour effet de rendre celles-ci responsables des traitements.

2. En vertu des dispositions de l'article 44 de la loi n° 78-17 du 6 janvier 1978 et de l'article 61 du décret n° 2005-1309 du 20 octobre 2005, lorsque des membres ou agents de la Commission nationale de l'informatique et des libertés (CNIL) opèrent un contrôle dans des locaux servant à la mise en œuvre d'un traitement de données à caractère personnel, le procureur territorialement compétent doit en être informé, au plus tard vingt-quatre heures avant le contrôle.

3. En l'espèce, si l'information a été communiquée au procureur territorialement compétent à 15 heures pour un contrôle qui a débuté le lendemain à 9 heures 15, soit dans un délai inférieur de cinq heures quarante-cinq minutes au délai de vingt-quatre heures prescrit, cette circonstance, dont il n'est pas établi ni même soutenu qu'en raison de la brièveté de ces délais, elle aurait fait obstacle à l'exercice par le procureur de ses pouvoirs, et par suite privé la société requérante d'une des garanties légales dont elle pouvait se prévaloir, n'est pas de nature à affecter la légalité de la décision de sanction prononcée par la CNIL.

Arrêt rendu

Retour au sommaire
arrow_back Article précédent Article 29 Article suivant arrow_forward
Règlement
1e 2e

Art. 29

Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d'y être obligé par le droit de l'Union ou le droit d'un État membre.
Proposition 1 close

1. Lorsque le traitement est effectué pour son compte, le responsable du traitement choisit un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, en ce qui concerne notamment les mesures de sécurité technique et d'organisation régissant le traitement à effectuer, et veille au respect de ces mesures.

 2. La réalisation de traitements en sous-traitance est régie par un contrat ou un autre acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant:

a) n'agit que sur instruction du responsable du traitement, en particulier lorsque le transfert des données à caractère personnel utilisées est interdit;

b) n'emploie que du personnel qui a pris des engagements de confidentialité ou qui est soumis à une obligation légale de confidentialité;

c) prend toutes les mesures nécessaires en vertu de l’article 30;

d) n'engage un autre sous-traitant que moyennant l'autorisation préalable du responsable du traitement;

e) dans la mesure du possible compte tenu de la nature du traitement, crée, en accord avec le responsable du traitement, les conditions techniques et organisationnelles nécessaires pour permettre au responsable du traitement de s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;

f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 30 à 34;

g) transmet tous les résultats au responsable du traitement après la fin du traitement et s'abstient de traiter les données à caractère personnel de toute autre manière;

h) met à la disposition du responsable du traitement et de l'autorité de contrôle toutes les informations nécessaires au contrôle du respect des obligations prévues par le présent article.

3. Le responsable du traitement et le sous-traitant conservent une trace documentaire des instructions données par le responsable du traitement et des obligations du sous-traitant énoncées au paragraphe 2.

4. S'il traite des données à caractère personnel d'une manière autre que celle définie dans les instructions du responsable du traitement, le sous-traitant est considéré comme responsable du traitement à l’égard de ce traitement et il est soumis aux dispositions applicables aux responsables conjoints du traitement prévues à l'article 24.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux responsabilités, obligations et missions d'un sous-traitant en conformité avec le paragraphe 1, ainsi que les conditions qui permettent de faciliter le traitement des données à caractère personnel au sein d’un groupe d’entreprises, en particulier aux fins de contrôle et de présentation de rapports.
Proposition 2 close

 1. (…). Le responsable du traitement fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes de mise en œuvre des mesures techniques et organisationnelles appropriées (…), de manière à ce que le traitement soit conforme aux prescriptions du présent règlement (…).

 1 bis. Le sous-traitant ne recrute pas un autre sous-traitant sans l'accord écrit préalable, spécifique ou général, du responsable du traitement. Dans ce cas, le sous-traitant devrait toujours informer le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.

1 ter. (…)

2. La réalisation d'un traitement par un sous-traitant est régie par un contrat ou un acte juridique au titre du droit de l'Union ou du droit national liant le sous-traitant au responsable du traitement, définissant l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, les droits du responsable du traitement (...) et prévoyant notamment que le sous-traitant:

a) ne traite les données à caractère personnel que sur instruction du responsable du traitement (…), à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou de la législation de l'État membre à laquelle le responsable du traitement est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement des données, sauf si la loi interdit une telle information pour des motifs importants d'intérêt public;

b) (…)

c) prend toutes les mesures (…) requises en vertu de l'article 30;

d) respecte les conditions de recrutement d'un autre sous-traitant (…), telles que l'obligation d'une autorisation préalable spécifique du responsable du traitement;

e) (…), compte tenu de la nature du traitement, aide le responsable du traitement à donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;

f) (...) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 30 à 34;

g) renvoie ou supprime les données à caractère personnel, selon le choix du responsable du traitement, au terme des services de traitement des données précisés dans le contrat ou dans un autre acte juridique, à moins que le droit de l'Union ou celui de l'État membre auquel le sous-traitant est soumis exige la conservation des données;

h) met à la disposition du responsable du traitement (…) toutes les informations nécessaires pour apporter la preuve du respect des obligations prévues par le présent article, permettre la réalisation d'audits par le responsable du traitement et contribuer à ces audits. Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou des dispositions de l'Union ou des États membres relatives à la protection des données.

2 bis. Lorsqu'un sous-traitant recrute (...) un autre sous-traitant pour exécuter des opérations de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations que celles fixées dans le contrat ou l'autre acte juridique liant le sous-traitant au responsable du traitement, visé au paragraphe 2, s'imposent à cet autre sous-traitant par contrat ou au moyen d'un autre acte juridique au titre du droit de l'Union ou du droit national, en particulier pour ce qui est de présenter des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations.

2 bis bis L'adhésion du sous-traitant à un code de conduite approuvé visé à l'article 38 ou un mécanisme de certification approuvé visé à l'article 39 peuvent être utilisés comme moyen de démontrer l'existence des garanties suffisantes visées aux paragraphes 1 et 2 bis.

2 bis ter. Sans préjudice d'un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique visé aux paragraphes 2 et 2 bis peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 2 ter et 2 quater ou sur des clauses contractuelles types qui font partie d'une certification délivrée au responsable du traitement ou au sous-traitant conformément aux articles 39 et 39 bis.

2 ter. La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 2 et 2 bis, conformément à la procédure d'examen visée à l'article 87, paragraphe 2.

2 quater. Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 2 et 2 bis, conformément au mécanisme de contrôle de la cohérence visé à l'article 57.

3. Le contrat ou autre acte juridique visé aux paragraphes 2 et 2 bis est écrit, y compris en format électronique.

4. (…)

5. (…)
Directive close

Art. 17

(…)

2. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et qu'il doit veiller au respect de ces mesures.

3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que:

- le sous-traitant n'agit que sur la seule instruction du responsable du traitement,

- les obligations visées au paragraphe 1, telles que définies par la législation de l'État membre dans lequel le sous-traitant est établi, incombent également à celui-ci.

4. Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.
Belgique
compare_arrows
visibility Ancienne loi

Aucune disposition spécifique
Ancienne loi close

Art. 16.

(…).

§3. Toute personne agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, sauf en cas d'une obligation imposée par ou en vertu d'une loi, d'un décret ou d'une ordonnance.
Spain close

Article 11.- Communication of data.- Organic Law 15/1999 on the Protection of Personal Data.-

1. Personal data subjected to processing may be communicated to third persons only for purposes directly related to the legitimate functions of the transferor and transferee with the prior consent of the data subject.

2. The consent required under the previous paragraph shall not be required:

a) when the transfer is authorised by a law.

b) when the data have been collected from publicly accessible sources.

c) when the processing corresponds to the free and legitimate acceptance of a legal relationship whose course, performance and monitoring necessarily involve the connection between such processing and files of third parties. In that case, communication shall be legitimate to the extent of the purpose justifying it.

d) when the communication to be effected is destined for the Ombudsman, the Office of Public Prosecutor, judges, courts or the Court of Auditors in the exercise of the functions assigned to them. Not shall consent be required when the communication is destined to regional government authorities with functions analogous to the Ombudsman or the Court of Auditors.

e) when the transfer is between public administrations and concerns the retrospective processing of the data for historical, statistical or scientific purposes.

f) when the transfer of personal data on health is necessary for resolving an emergency which requires access to a file or for conducting epidemiological studies within the meaning of central or regional government health legislation.

3. Consent for the communication of personal data to a third party shall be null and void when the information given to the data subject does not enable him to know the purpose for which the data whose communications is authorised will be used or the type of activity of the person to whom it is intended to communicate them.

4. Consent for the communication of personal data may also be revoked.

5. The person to who personal data are communicated is obliged, by the mere fact of the communication, to abide by the provisions of this Law.

6. If the communication is preceded by a depersonalisation procedure, the provisions of the preceding paragraphs shall not apply.

Article 12.- Access to data on behalf of third parties .- Organic Law 15/1999 on the Protection of Personal Data.-

1. Access to data by a third party shall not be considered communication of data when such access is necessary for the provision of a service to the data controller.

2. Processing on behalf of third parties shall be regulated in a contract which must be in writing or in any other form which allows its performance and content to be assessed, it being expressly laid down that the processor shall process the data only in accordance with the instructions of the controller, shall not apply or use them for a purpose other than that set out in the said contract, and shall not communicate them to other persons even for their preservation.

The contract shall also set out the security measures referred to in Article 9 of this Law, which the processor is obliged to implement.

3. Once the contractual service has been provided, the personal data must be destroyed or returned to the controller, together with any support or documents contain personal data processed.

4. If the processor uses the data for another purpose, communicates them or uses them in a way not in accordance with the terms of the contract, he shall also be considered as the controller and shall be personally responsible for the infringements committed by him.

 

Article 20.- Relations between the Data Controlles and Data Processor.- Royal Decree 1720/2007 Implementing Organic Law 15/1999.-

1. Access to data by a data processor that is necessary for the provision of a service to the data controller shall not be considered comnunication of data, as long as there is compliance with the provisions of Organic Law 15/1999, of 13 December and those contained in this Chapter.

The service provided by the data processor may or may not be remunerated and may be temporary or permanent.

The aforesaid notwithstanding, data communication shall be considered to exist when the purpose of the access is to establish a new relationship between whoever accesses the data and the data subject.

2. When the data controller engages the provision of a service entailing processing of personal data subject to the provisions of this Chapter, he shall ensure that the data processor complies with all the guarantees for compliance with that provided herein.

3. Should the data processor use the data for another purpose, disclose or use them in breach of the stipulations of the contract to which Article 12(2) of Organic Law 15/1999, of 13 December, refers, he shall also be considered the data controller, answering for the breaches he has personally caused.

The aforesaid notwithstanding, the data processor shall not be liable when, following the express indication of the data controller, he discloses the data to a third party designated by the data controller, to whom he has commissioned the provision of a service pursuant to the provisions of this Chapter.

 

Article 21.- Possibility of Subcontracting Services. Royal Decree 1720/2007 Implementing Organic Law 15/1999.-

1. The data processor may not subcontract to a third party any processing commissioned to him by the data controller, unless he has received authorisation to do so. In that case, the contracting shall always be done in the name and on behalf of the data controller.

2. Notwithstanding the previous subsection, subcontracting shall be possible without the need for authorisation whenever the following requirements are met:

a) The contract specifies what services may be subject to subcontracting and, where possible, the company to which they shall be subcontracted.

When the subcontracted company is not identified in the contract, the data processor shall inform the data controller of its identifying data before proceeding with the subcontracting.

b) The processing of the personal data by the subcontractor follows the instructions of the data controller.

c) The data processor and the subcontracted company formalise the contract, under the terms provided in the previous Article.

In that case, the subcontractor shall be deemed the data processor, the provisions of Article 20.3 hereof being applicable to him.

3. If during the provision of the service it is necessary to subcontract a part of it and these circumstances have no provision in the contract, the points set out in the previous subsection shall be submitted to the data controller.

 

Article  22.- Storage of data by the data Processor.- Royal Decree 1720/2007 Implementing Organic Law 15/1999.-

1. Once the contractual provision has been fulfilled, the personal data shall be destroyed or returned to the data controller or his designated data processor, together with any medium or document recording any personal data subject to processing.

The data shall not be destroyed when there is a legal provision requiring their storage, in which case they shall be returned and the data controller shall guarantee their storage.

2. The data processor shall store the data, duly blocked, whilst any liability may arise from the relations with the data controller.
arrow_back Article précédentArticle 29 Article suivant arrow_forward
close

2016 - www.itiplaw.eu.