Parce qu’il vise à protéger les données personnelles des citoyens, le RGPD consacre une logique de responsabilité de tous les acteurs impliqués dans leur traitement. Les sous-traitants ne font pas exception ! Aussi, la réutilisation des données confiées par le responsable de traitement obéit à certaines conditions.
Qu’est-ce qu’un sous-traitant ?
Le sous-traitant, au sens du RGPD, est celui qui traite des données pour le compte d’un autre organisme (le responsable de traitement). Il peut s’agir d’une personne physique ou morale (entreprise ou organisme public), qui intervient dans le cadre d’un service ou d’une prestation.
En tant que responsable de traitement, vous êtes concerné par la sous-traitance si vous décidez de confier votre traitement des données à des prestataires externes. Par exemple, des hébergeurs ou des prestataires de services numériques. À noter que les sous-traitants sont tenus d’accompagner et conseiller les responsables de traitement dans la mise en conformité de leurs traitements de données.
La réutilisation des données
Un sous-traitant ne peut pas réutiliser des données personnelles à son initiative, à une exception : si un texte de loi (national ou européen) l’oblige à le faire. Dans les autres cas, le traitement des données étant soumis à une instruction documentée du responsable de traitement, il est impossible pour un sous-traitant d’agir pour son propre compte. Concrètement, le sous-traitant agit toujours pour le compte du responsable de traitement, auquel il est lié par un contrat. Ce contrat doit préciser le cadre d’utilisation des données. Sortir de ce cadre expose le sous-traitant à devenir responsable de traitement lui-même… et à être passible de sanctions pour avoir dérogé aux instructions ! Cependant, un responsable de traitement peut tout à fait autoriser son sous-traitant à réutiliser des données, mais sous certaines conditions.
Quelles conditions pour autoriser un sous-traitant à réutiliser des données ?
- Déterminer si le traitement est compatible avec la finalité
La collecte de données répond toujours à une finalité précise. Quand le sous-traitant réutilise des données collectées, il s’agit alors d’un traitement « ultérieur ». Lorsque ce traitement ne s’appuie pas sur le consentement des personnes concernées, sur le droit de l’Union européenne ou celui d’un de ses États membres, le responsable de traitement doit s’assurer que cette réutilisation est bien compatible avec les finalités de la collecte initiale. Il doit pour cela examiner le lien entre ces finalités, le contexte de la collecte, la nature des données ou encore les conséquences possibles du traitement.
- Délivrer une autorisation écrite
Le responsable de traitement doit impérativement autoriser un sous-traitant à réutiliser des données par écrit, y compris en format électronique. Et ce, afin que le traitement soit strictement encadré juridiquement.
Réutilisation des données et responsabilité du sous-traitant
En réutilisant les données, le sous-traitant devient responsable du traitement ultérieur. En l’occurrence, il devient responsable de sa mise en conformité avec le RGPD. Eh oui ! Gare aux sanctions, donc, si le traitement ne répond pas aux exigences légales. Par ailleurs, les dispositions du RGPD doivent être respectées. Ainsi, si cela n’a pas été fait au préalable par le responsable de traitement initial, il doit fournir aux personnes concernées les informations sur cette collecte indirecte. La durée de conservation des données initiales doit en outre être respectée. Le sous-traitant doit aussi permettre l’exercice des droits des personnes. Bien évidemment mettre en place les mesures de sécurité ad hoc pour assurer la sécurité des données qu’il possède.
La réutilisation des données par les sous-traitants doit donc être effectuée dans certaines conditions bien précises ainsi que dans le cadre de la loi. Vigilance et respect du RFPD sont de mise !