La CNIL publie le 12 janvier 2022 une communication posant les conditions de la réutilisation par un sous-traitant des données traitées pour le compte d’un responsable de traitement.
Elle rappelle que par principe, le sous-traitant ne peut traiter les données que pour se conformer aux instructions du responsable de traitement. En effet, toute utilisation des données pour son propre compte le conduit à sortir du cadre licite de sa condition de sous-traitant pour endosser à son tour le rôle de responsable de traitement. En agissant de la sorte, il s’expose à des sanctions.
Toutefois, il n’est pas rare en pratique de rencontrer des situations dans lesquelles il parait légitime que le sous-traitant souhaite réutiliser les données qu’il traite.
La CNIL pose donc un cadre dans lequel une telle réutilisation est possible.
Les premières conditions, qui constituent le principal apport de cette communication, sont la compatibilité du traitement ultérieur avec le traitement initial et l’obtention d’une autorisation du responsable de traitement initial.
- Pour évaluer la compatibilité du traitement, la CNIL propose un test qui tient compte du lien entre les finalités, du contexte de la collecte, de la nature des données, des conséquences pour les personnes concernées ainsi que de l’existence de garanties appropriés.
- L’autorisation du responsable de traitement ne peut être donnée que si le traitement passe le test de compatibilité.
Sur la forme, elle doit être écrite et préalable à la réutilisation, mais aussi spécifique, c’est-à-dire ne porter que sur un ou des traitement(s) déterminé(s) ayant passé le test de compatibilité.
Le second volet des conditions à la réutilisation des données revient à l’encadrement classique des traitements de données à caractère personnel.
- Les personnes concernées doivent être informées du traitement. La CNIL fait peser la charge de cette information sur le responsable de traitement initial.
- Le sous-traitant, devenu responsable de traitement ultérieur, doit s’assurer de la conformité du traitement à la réglementation.
En somme, cette nouvelle opportunité offerte aux sous-traitants s’intègre totalement au cadre général de la réglementation en misant sur la responsabilité des acteurs et le respect des droits des personnes concernées. Séduisante sur le papier, elle doit désormais se confronter à la réalité des rapports économiques du secteur, où le responsable du traitement n’est pas toujours le plus à même d’imposer sa volonté – et son refus – à ses sous-traitants. Autant de raisons pour les acteurs de se faire accompagner par leur DPO, tant pour la mise en place du dispositif que pour la négociation avec leurs partenaires.
Pour approfondir https://www.cnil.fr/fr/sous-traitants-la-reutilisation-de-donnees-confiees-par-un-responsable-de-traitement
