La réutilisation de données par un sous-traitant pour ses propres activités n’est possible que sous conditions.

Vianney DESSENNE
Vianney DESSENNE - Avocat

Source : Article de la CNIL du 12 janvier 2022

Un sous-traitant au sens du RGPD, c’est-à-dire un prestataire en charge de traiter des données personnelles pour le compte d’un responsable de traitement, peut traiter ces données tant qu’il se conforme aux directives reçues du responsable du traitement.

A contrario, il ne peut pas réutiliser ces données pour son propre compte et de sa propre initiative, à moins que la législation le lui autorise.

Toutefois, le responsable du traitement peut donner son accord à son sous-traitant pour réutiliser pour son propre compte les données personnelles traitées, autorisation qui entre dans un cadre strict puisque le responsable du fichier doit déterminer si ce traitement ultérieur est compatible avec la finalité pour laquelle les données ont été initialement collectées, devant ici se livrer à un test de compatibilité permettant de déterminer :

  L’existence éventuelle d’un lien entre les finalités pour lesquelles les données personnelles ont été collectées et les finalités du traitement ultérieur envisagé ;

  Le contexte dans lequel les données personnelles ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;

  La nature des données personnelles, en particulier si le traitement porte sur des données sensibles ou des données personnelles relatives à des condamnations pénales et à des infractions ;

  Les conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;

  L’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

Si l’autorisation envisagée répond à l’ensemble de ces critères, le responsable du traitement peut donner son accord à la réutilisation des données. Dans l’hypothèse contraire, le responsable du traitement est contraint de le refuser, au risque d’exposer sa propre responsabilité

La CNIL précise également qu’une autorisation préalable et générale de réutilisation des données ne peut être accordée.

Sur la forme, l’autorisation du responsable du traitement initial doit être établie par écrit.

Il appartient en outre au responsable du traitement initial d’informer les personnes concernées de la transmission de leurs données à un nouveau responsable de traitement et pour une nouvelle finalité, et de requérir leur accord.

Toutefois, si le sous-traitant est déjà en possession des données de contact des personnes concernées, le responsable de traitement initial peut lui déléguer cette action.

Ainsi, en réutilisant des données personnelles auxquelles il avait accès dans le cadre de sa prestation, le sous-traitant du responsable du traitement initial devient lui-même responsable de traitement, devant répondre de la mise en conformité de son nouveau traitement à l’ensemble des exigences du RGPD. À défaut, il peut donc être sanctionné par la CNIL en tant que responsable de ce traitement.

Partager cet article