Un sous-traitant ne peut faire une réutilisation de données personnelles qu’il a collectées pour son propre compte que si cette utilisation est conforme à la finalité initiale du traitement et qu’il a obtenu l’autorisation écrite du responsable du traitement.
De plus, le sous-traitant ne peut divulguer ou communiquer ces données à des tiers sans l’autorisation écrite du responsable du traitement. Le sous-traitant doit également respecter les obligations de confidentialité et de sécurité des données imposées par le RGPD et par toutes les autres dispositions légales et réglementaires applicables en matière de protection des données personnelles.
Le règlement général sur la protection des données (RGPD) définit un sous-traitant comme une personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement. Le sous-traitant ne peut utiliser les données pour son propre compte que si cela est compatible avec le traitement initial et que le responsable de traitement lui en a donné l’autorisation écrite. Cette autorisation peut être donnée dans le cadre d’un contrat entre le responsable de traitement et le sous-traitant, qui doit spécifier les conditions et les modalités de la réutilisation des données personnelles.
Consulter le page de la CNIL
Sous-traitants : une autorisation du client est nécessaire pour la réutilisation de données personnelles
Un sous-traitant ne peut réutiliser des données personnelles qu’avec l’autorisation écrite du responsable du traitement initial, et si cette réutilisation est compatible avec les instructions données pour le traitement initial. Si ces conditions sont respectées, le sous-traitant devient responsable de ce nouveau traitement.
Si le sous-traitant anonymise mes données, peut-il les utiliser ?
Un sous-traitant peut utiliser des données personnelles que vous lui confiez si ces données sont anonymisées. En effet, les données anonymisées ne sont pas considérées comme des données personnelles selon le RGPD. Cependant, il est important de vérifier que les données ont bien été anonymisées de manière efficace et qu’il est impossible de les ré-identifier. Si cela n’est pas le cas, il faudra obtenir l’autorisation du responsable du traitement pour que le sous-traitant puisse utiliser les données personnelles.
Responsables de traitement : les conditions pour donner une autorisation
Le responsable du traitement doit donc procéder à un « test de compatibilité » avant d’accorder son autorisation à un sous-traitant pour réutiliser les données personnelles qu’il lui a confiées. Cette démarche permet de s’assurer que la réutilisation des données est compatible avec la finalité pour laquelle elles ont été initialement collectées, et de limiter les risques pour les personnes concernées.
Le responsable du traitement doit également vérifier que les garanties appropriées sont mises en place pour protéger les données personnelles, par exemple en les chiffrant ou en les pseudonymisant.
Si le responsable du traitement estime que la réutilisation des données par le sous-traitant est compatible avec la finalité initiale et qu’il a pris les mesures adéquates pour protéger les données, il peut alors accorder son autorisation écrite au sous-traitant pour réutiliser les données pour son propre compte. Le sous-traitant devient alors responsable du traitement ultérieur des données et doit respecter les obligations prévues par le RGPD.
Le partage des obligations du RGPD
Le responsable du traitement initial doit veiller à ce que le sous-traitant respecte les obligations prévues par le règlement général sur la protection des données (RGPD).
Pour ce faire, il doit notamment :
- Vérifier que le sous-traitant dispose des moyens techniques et organisationnels adaptés pour protéger les données contre toute atteinte illicite ;
- Signer avec le sous-traitant un contrat ou un autre acte juridique établissant des obligations pour le sous-traitant, en particulier en matière de protection des données ;
- S’assurer que le sous-traitant respecte les obligations du RGPD, notamment en matière de confidentialité, de sécurité et de respect des droits des personnes concernées ;
- Imposer des sanctions au sous-traitant en cas de non-respect de ces obligations.
Le responsable de traitement initial reste responsable de la conformité des traitements mis en œuvre par le sous-traitant. En cas de contrôle, il devra pouvoir justifier la mise en place de ces mesures et la réalisation effective du traitement ultérieur.
