Il peut être tentant pour un sous-traitant de réutiliser pour ses propres besoins les données personnelles confiées par un responsable du traitement. Si cette réutilisation peut présenter un intérêt certain en termes de compétitivité et d’amélioration des produits ou services, la CNIL rappelle qu’elle reste solidement encadrée par les dispositions du RGPD en matière de sous-traitance.
Au sens du RGPD, le sous-traitant doit uniquement suivre les instructions du responsable du traitement. Il n’est par défaut pas autorisé à réutiliser ces informations pour ses propres finalités.
Si le responsable du traitement peut, par écrit, autoriser spécifiquement un traitement ultérieur, le sous-traitant qui y procéderait de son propre chef deviendrait seul responsable du traitement et serait passible de sanctions pour ne pas avoir agi dans le respect des instructions du responsable du traitement initial.
Lorsque la base légale du traitement initial n’est pas le consentement des personnes concernées ou une obligation légale, le responsable du traitement est tenu de vérifier la « compatibilité » entre chaque traitement ultérieur pour lequel une autorisation est demandée par son sous-traitant et la finalité pour laquelle les données ont été collectées.
Il devra alors tenir compte des critères suivants :
Si le responsable du traitement n’estime pas les finalités compatibles, il a l’obligation de refuser tout traitement ultérieur à son sous-traitant.
Dans le cas contraire et s’il décide de faire droit à la demande de son sous-traitant, il doit en informer les personnes concernées, tâche qu’il peut déléguer à son sous-traitant si celui-ci dispose de la faculté de les contacter lui-même. D’autre part, toute autorisation générale et préalable concédée par le responsable du traitement à son sous-traitant serait contraire à la règlementation applicable à la protection des données.
Le sous-traitant devient quant à lui responsable du traitement qu’il met désormais en œuvre pour son propre compte et porte dès lors l’entière responsabilité de la conformité de ce dernier au RGPD.