Blog Données personnelles
La CNIL précise selon quelles conditions un sous-traitant peut réutiliser des données pour son propre compte
Il peut être tentant pour un sous-traitant de réutiliser pour ses propres besoins les données personnelles confiées par un responsable du traitement. Si cette réutilisation peut présenter un intérêt certain en termes de compétitivité et d’amélioration des produits ou services, la CNIL rappelle qu’elle reste solidement encadrée par les dispositions du RGPD en matière de sous-traitance.
Au sens du RGPD, le sous-traitant doit uniquement suivre les instructions du responsable du traitement. Il n’est par défaut pas autorisé à réutiliser ces informations pour ses propres finalités.
Si le responsable du traitement peut, par écrit, autoriser spécifiquement un traitement ultérieur, le sous-traitant qui y procéderait de son propre chef deviendrait seul responsable du traitement et serait passible de sanctions pour ne pas avoir agi dans le respect des instructions du responsable du traitement initial.
Lorsque la base légale du traitement initial n’est pas le consentement des personnes concernées ou une obligation légale, le responsable du traitement est tenu de vérifier la « compatibilité » entre chaque traitement ultérieur pour lequel une autorisation est demandée par son sous-traitant et la finalité pour laquelle les données ont été collectées.
Il devra alors tenir compte des critères suivants :
- l’existence de « liens entre les finalités » ayant fondé la collecte initiale et les finalités ultérieures que le sous-traitant souhaite mettre en œuvre ;
- le « contexte de la collecte » et de la relation entre le responsable du traitement et les personnes concernées ;
- la « nature des données », notamment si ces dernières sont sensibles au sens du RGPD ;
- les « conséquences prévisibles du traitement ultérieur » pour les personnes concernées ;
- la mise en place de « mesures appropriées » telles que l’anonymisation ou la pseudonymisation.
Si le responsable du traitement n’estime pas les finalités compatibles, il a l’obligation de refuser tout traitement ultérieur à son sous-traitant.
Dans le cas contraire et s’il décide de faire droit à la demande de son sous-traitant, il doit en informer les personnes concernées, tâche qu’il peut déléguer à son sous-traitant si celui-ci dispose de la faculté de les contacter lui-même. D’autre part, toute autorisation générale et préalable concédée par le responsable du traitement à son sous-traitant serait contraire à la règlementation applicable à la protection des données.
Le sous-traitant devient quant à lui responsable du traitement qu’il met désormais en œuvre pour son propre compte et porte dès lors l’entière responsabilité de la conformité de ce dernier au RGPD.