CNIL26 avril 2022CNIL, FR, 11 mai 2023, Sanction, Société X, n° SAN-2023-006, publié, point 33 Voir aussi: CE, 10 ème chambre, 26 avril 2022, Optical Center, n° 449284, Inédit; CNIL, FR, 24 novembre 2022, Sanction, Société X, n° SAN-2022-021, publié(source)
Suivi des instructions contractuelles par le sous-traitant – Contrôle par le responsable de traitement
Si le responsable de traitement peut décider de recourir à un prestataire spécialisé, en particulier en lui confiant une mission de sous-traitance des données à caractère personnel, au sens du RGPD, il reste tenu de veiller, par des diligences raisonnables, à ce que le respect de la protection des données à caractère personnel soit effectivement assuré. Le caractère suffisant de ces diligences dépend notamment des compétences et des moyens du responsable de traitement. La responsabilité du responsable de traitement peut être retenue du fait de l’absence de mise en œuvre par celui‑ci d’un contrôle régulier sur les mesures techniques et organisationnelles prises par un sous-traitant.