Lorsqu’un responsable du traitement (personne qui détermine les finalités et moyens d’un traitement de données personnelles) confie tout ou partie d’un traitement à un sous-traitant (personne qui utilise les données pour le compte du responsable du traitement et sous ses instructions), il se pose souvent la question de savoir si le sous-traitant peut ré-utiliser pour son propre compte les données personnelles qui lui ont été confiées.
Cette question se pose notamment pour le sous-traitant, dans le cadre du développement de nouveaux services ou de l’amélioration de son service existant.
La CNIL a récemment répondu à cette épineuse question. Dune vous explique tout !
Principe d’interdiction de réutilisation sauf autorisation
Le sous-traitant peut utiliser les données personnelles uniquement dans le cadre des instructions documentées du responsable du traitement. S’il traite les données confiées pour son propre compte et en dehors de ces instructions, le sous-traitant pourrait être sanctionné parce qu’il n’a pas respecté les obligations du RGPD relatives aux sous-traitants.
Le responsable du traitement peut néanmoins, dans certaines conditions, autoriser le sous-traitant à réutiliser les données pour son propre compte.
Conditions pour autoriser le sous-traitant à réutiliser les données
Avant d’autoriser le sous-traitant à réutiliser les données, le responsable du traitement doit vérifier que le traitement envisagé par le sous-traitant est compatible avec les finalités pour lesquelles les données ont été initialement traitées, c’est-à-dire réaliser un test de comptabilité.
Le responsable du traitement doit par exemple vérifier les garanties mises en place par le sous-traitant, tenir compte de la nature des données personnelles traitées, du contexte du traitement, s’il existe un lien entre les finalités initiales du traitement et les finalités ultérieures et les conséquences possibles pour les personnes concernées par ce nouveau traitement.
Nous recommandons au responsable du traitement de documenter, par écrit, ce test de compatibilité.
Si le test de compatibilité est réussi, le responsable du traitement peut alors fournir une autorisation au sous-traitant qui doit être écrite et préciser le traitement pour lequel l’autorisation est donnée. Le responsable du traitement ne peut fournir une autorisation préalable et générale.
Attention, si les données avaient été collectées avec le consentement de la personne, elles ne pourront être réutilisées par le sous-traitant qu’avec le consentement de la personne.
Obligations du RGPD applicables au nouveau traitement
Le responsable du traitement devra, selon la CNIL, informer les personnes concernées que le sous-traitant pourra réutiliser leurs données pour son propre compte. Cette information peut, par exemple, être intégrée dans la politique de confidentialité du responsable du traitement.
Plus encore, le sous-traitant va devenir un responsable du traitement ultérieur des données.
Il devra alors s’assurer de respecter les obligations du RGPD qui incombent à tout responsable du traitement et notamment : mettre à jour son registre des activités de traitement, vérifier la licéité du traitement, définir des durées de conservation ou respecter les droits des personnes concernées.
