La CNIL publie le 12 janvier 2022 une communication posant les conditions de la réutilisation par un sous-traitant des données traitées pour le compte d’un responsable de traitement.
Elle rappelle que par principe, le sous-traitant ne peut traiter les données que pour se conformer aux instructions du responsable de traitement. En effet, toute utilisation des données pour son propre compte le conduit à sortir du cadre licite de sa condition de sous-traitant pour endosser à son tour le rôle de responsable de traitement. En agissant de la sorte, il s’expose à des sanctions.
Toutefois, il n’est pas rare en pratique de rencontrer des situations dans lesquelles il parait légitime que le sous-traitant souhaite réutiliser les données qu’il traite.
La CNIL pose donc un cadre dans lequel une telle réutilisation est possible.
Les premières conditions, qui constituent le principal apport de cette communication, sont la compatibilité du traitement ultérieur avec le traitement initial et l’obtention d’une autorisation du responsable de traitement initial.
Sur la forme, elle doit être écrite et préalable à la réutilisation, mais aussi spécifique, c’est-à-dire ne porter que sur un ou des traitement(s) déterminé(s) ayant passé le test de compatibilité.
Le second volet des conditions à la réutilisation des données revient à l’encadrement classique des traitements de données à caractère personnel.
En somme, cette nouvelle opportunité offerte aux sous-traitants s’intègre totalement au cadre général de la réglementation en misant sur la responsabilité des acteurs et le respect des droits des personnes concernées. Séduisante sur le papier, elle doit désormais se confronter à la réalité des rapports économiques du secteur, où le responsable du traitement n’est pas toujours le plus à même d’imposer sa volonté – et son refus – à ses sous-traitants. Autant de raisons pour les acteurs de se faire accompagner par leur DPO, tant pour la mise en place du dispositif que pour la négociation avec leurs partenaires.
Pour approfondir https://www.cnil.fr/fr/sous-traitants-la-reutilisation-de-donnees-confiees-par-un-responsable-de-traitement
Par Clémence Durand | News, Protection des données|Commentaires fermés