La Cnil a rappelé dans une publication du 12 janvier 2021 les conditions à respecter pour qu’un sous-traitant puisse réutiliser les données de ses clients.
Il est en effet fréquent que, dans le cadre d’une prestation de services, un sous-traitant collecte et traite des quantités importantes de données pour le compte du client, responsable de traitement.
Or, les données ainsi traitées pourraient avoir un intérêt pour le sous-traitant, quel que soit son secteur d’activité.
Une entreprise amenée à traiter des données pourrait ainsi souhaiter évaluer l’efficacité de ses techniques de vente, la performance de ses équipes commerciales ou les réactions des personnes dont elle traite les données.
Si un tel usage peut sembler naturel à un sous-traitant en raison de la disponibilité des données concernées, il est strictement encadré.
La Cnil rappelle ainsi que l’utilisation ultérieure par un sous-traitant pour son propre compte des données collectées est conditionnée au respect de deux critères cumulatifs :
- Le responsable du traitement lui en a donné l’autorisation écrite ;
- Le responsable de traitement s’est assuré que cette réutilisation est compatible avec le traitement initial
Conformément aux dispositions du RGPD, le traitement réalisé par le sous-traitant sur les données doit en effet toujours correspondre aux instructions du client responsable de traitement. Le sous-traitant n’est, sauf dispositions légales spécifiques, pas autorisé à utiliser ces données pour d’autres usages.
Comme souvent en matière de données personnelles, l’accessibilité du matériau source n’emporte pas la légalité de son utilisation.
Le sous-traitant qui souhaite utiliser les données traitées en cette qualité pour son propre compte doit obtenir une autorisation du responsable de traitement. Cet accord matérialise au demeurant le changement de statut du sous-traitant qui devient responsable du traitement des données visées dans l’autorisation.
Pour autant, le responsable de traitement ne peut pas autoriser le traitement des données par le sous-traitant sans s’être assuré que cette réutilisation est compatible avec le traitement initial qu’il a lui-même mis en œuvre.
Le traitement de données ultérieur réalisé par le sous-traitant n’a en effet par définition pas la même finalité que celle pour laquelle les données ont initialement été collectées.
Dès lors, la délivrance de l’autorisation est conditionnée à la vérification par le responsable de traitement de la compatibilité entre le traitement initial et le traitement ultérieur envisagé.
La Cnil rappelle dans son communiqué que cette analyse doit se fonder sur plusieurs critères :
- Existe-t-il un lien entre les finalités pour lesquelles les données personnelles ont été collectées et les finalités du traitement ultérieur envisagé ?
- Quel est le contexte de la collecte initiale ?
- Quelles sont les données et les personnes concernées ?
- Quelles pourraient être les conséquences du traitement ultérieur pour les personnes concernées ?
- Quelles sont les garanties mises en place pour protéger les droits et libertés des personnes ?
En fonction des conclusions de l’analyse réalisée par le responsable de traitement, celui-ci choisira ou non d’autoriser le sous-traitant à traiter les données.
Le sous-traitant est lui-même encouragé à prendre connaissance de cette analyse et à réfléchir à sa pertinence. En cas d’erreur, l’entreprise concernée se trouverait en situation de réaliser un traitement de données sans base légale.
Sa responsabilité pourrait alors être engagée, l’exposant à de nombreuses conséquences, dont une procédure initiée par la Cnil, des sanctions administratives et la communication au public de ce manquement.
L’autorisation ne peut ainsi être délivrée par un responsable de traitement initial qu’au cas par cas, en fonction des caractéristiques du traitement envisagé par le sous-traitant.
La Cnil insiste à ce titre sur l’impossibilité d’intégrer dans le contrat entre le client et son prestataire une autorisation générale de réutilisation ultérieure des données de tous les traitements confiés au sous-traitant.
Une fois ces vérifications établies et les parties étant parvenues à une décision, plusieurs actions resteront nécessaires à la conformité du traitement ultérieure.
D’une part, le responsable du traitement initial doit informer les personnes concernées de la transmission de leurs données et des droits qu’elles peuvent mettre en œuvre (droit d’opposition au traitement ultérieur notamment). Le sous-traitant, sur instruction du responsable de traitement, peut procéder à cette information.
D’autre part, le sous-traitant devenu responsable de traitement est tenu au respect d’un certain nombre de dispositions spécifiques, y compris celles applicables lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée.
En cas de doute sur la réalisation de l’analyse de compatibilité et sur les obligations respectives du sous-traitant et du responsable de traitement, il est recommandé de se faire accompagner par un spécialiste.
