L’article 28 encadre la relation entre un responsable du traitement et un sous-traitant. Il impose que tout traitement confié à un sous-traitant soit formalisé par un contrat, précisant les instructions, les obligations de sécurité et les garanties à respecter.
Et concrètement, ça veut dire quoi ?
Lorsqu’un organisme fait appel à un prestataire pour traiter des données personnelles à sa place (par exemple un hébergeur ou une agence web), elle doit s’assurer que ce prestataire respecte lui aussi le RGPD. Tout doit être cadré par écrit : pas de traitement libre ou improvisé. C’est une façon de garantir que les données restent protégées à chaque étape, même entre partenaires.
Le saviez-vous ? Alowa Cloud vous accompagne dans la rédaction de vos clauses de sous-traitance RGPD.