Convention de traitement de données

L’article 28, section 3 du GDPR énumère les mentions qui doivent figurer dans un accord de traitement des données pour être pleinement conforme :

• Le sous-traitant accepte de traiter les données personnelles uniquement sur instructions écrites du responsable du traitement.
• Toute personne entrant en contact avec les données est assermentée à la confidentialité.
• Toutes les mesures techniques et organisationnelles appropriées sont utilisées pour protéger la sécurité des données.
• Le sous-traitant ne sous-traite pas à un autre sous-traitant, sauf instruction écrite du responsable du traitement, auquel cas un autre APD devra être signé avec le sous-traitant ultérieur (conformément aux sections 2 et 4 de l’article 28).
• Le sous-traitant aidera le responsable du traitement à respecter ses obligations au titre du GDPR, notamment en ce qui concerne les droits des personnes concernées.
• Le sous-traitant aidera le responsable du traitement à maintenir la conformité au GDPR en ce qui concerne l’article 32 (sécurité du traitement) et l’article 36 (consultation de l’autorité de protection des données avant d’entreprendre un traitement à haut risque).
• Le sous-traitant accepte de supprimer toutes les données à caractère personnel à la fin des services ou de retourner les données au responsable du traitement.
• Le sous-traitant doit permettre au responsable du traitement d’effectuer un audit et fournira toute information nécessaire pour prouver la conformité.

• Responsable de traitement (Et le co-responsable de traitement, en cas de traitement conjoint )
• Le sous-traitant (au sens du RGPD)