• 306 lectures
  • 1re Parution: 6 avril 2022

  • 4.97  /5
Guide de lecture.
 

Un prestataire peut-il utiliser les données personnelles de ses clients pour son propre compte ?

Sous-traitants : comment réutiliser les données de vos clients pour son propre compte ?
Responsables de traitement : comment sécuriser cette réutilisation ou comment la refuser ?

En matière de protection des données personnelles, le sous-traitant est celui qui traite des données pour le compte du responsable de traitement, sous son autorité et sur ses instructions.

En principe, le sous-traitant ne peut pas réutiliser pour son propre compte les données personnelles qui lui sont transmises par le responsable de traitement.

Pourtant, et sous certaines conditions, cette ré-utilisation n’est pas impossible.

Cela a été récemment précisé par la CNIL alors que le CEPD a publié des lignes directrices sur les notions de responsables de traitement et de sous-traitant en juillet 2021.

Quelles sont les conditions ?

1) Test de compatibilité.

La première condition réside dans la réalisation d’un test de compatibilité lorsque le traitement initial ne repose pas sur le consentement de la personne concernée ou une obligation légale du droit national ou de l’Union.

Le but étant de vérifier que le traitement envisagé par le sous-traitant n’entraine ni des contradictions avec la finalité première du traitement ni un risque pour la protection des données et les droits des personnes.

Nombre de sous-traitants souhaitent utiliser les données à des fins marketing et de prospection, il est alors essentiel de mettre en place un contrôle préalable et des précautions adaptées.

Ce test repose sur plusieurs critères, dont :
- le lien entre les finalités prévues lors de la collecte des données et celles envisagées ;
- le contexte de la collecte et la relation entre le responsable de traitement et les personnes concernées ;
- la nature des données personnelles, sachant que les données qualifiées de sensibles au sens du RPGD requièrent une attention particulière ;
- les conséquences probables du traitement ultérieur pour les personnes concernées ;
- la mise en place de garanties appropriées, notamment le chiffrement ou la pseudonymisation.

Cette liste non-exhaustive de critères n’est donnée qu’à titre indicatif par la CNIL.

En fonction du traitement originaire et du traitement futur, il pourra être indispensable de prévoir des critères supplémentaires, adaptés au projet. A l’issue du test, en cas de résultat insuffisant, le responsable du traitement ne doit pas donner son accord. En cas de résultat satisfaisant, le responsable du traitement demeure libre de donner son accord ou bien de refuser le traitement ultérieur des données.

2) L’autorisation.

La seconde condition réside dans la forme de l’autorisation délivrée par le responsable de traitement à l’issu du test de compatibilité.

- L’autorisation doit être délivrée ultérieurement à la réalisation du test de compatibilité et la mise en œuvre du nouveau traitement.
- L’autorisation doit être délivrée spécifiquement aux traitements soumis au test de compatibilité.
- L’autorisation doit être délivrée par écrit, y compris sous format électronique.

Quelles sont les conséquences ?

En pratique, la réutilisation des données par le sous-traitant trouve de nombreuses applications. Cela pourrait être le cas d’un sous-traitant proposant une plateforme de visioconférence qui souhaite utiliser les données pour son compte afin d’améliorer ses outils en conséquence et de proposer de nouvelles fonctionnalités (ergonomie, chat, partage de fichiers, fil d’actualité…). Cela profitera d’ailleurs au responsable de traitement.

Les précisions apportées par la CNIL permettent alors de définir un cadre à ce besoin tout en respectant la philosophie de responsabilisation des acteurs.

Cela implique, pour le responsable du traitement initial, d’informer les personnes concernées, en particulier afin de préserver leurs droits. Le sous-traitant, devenu responsable du traitement ultérieur, doit s’assurer de la conformité de ce nouveau traitement à la règlementation.

Dès lors, nous recommandons de prendre en compte ce mécanisme dans le contrat régissant la relation entre le responsable de traitement et le sous-traitant pour y intégrer notamment :
- les critères qui seront utilisés pour le test de comptabilité ainsi que les modalités du test, la coopération entre les cocontractants ;
- le formalisme pour l’autorisation et pour le refus, tout en protégeant la liberté du responsable de traitement de donner son accord ou son refus ;
- les conséquences du refus de cette autorisation.

Claudia Weber, Avocat fondateur et Diane de Langeron, Elève-avocat
ITLAW Avocats - www.itlaw.fr

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

1 vote

A lire aussi dans la même rubrique :

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit, certifié 4e site Pro en France: Avocats, juristes, fiscalistes, notaires, huissiers, magistrats, RH, paralegals, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 148 780 membres, 22913 articles, 126 510 messages sur les forums, 5 000 annonces d'emploi et stage... et 2 000 000 visites du site par mois en moyenne. *


FOCUS SUR >

Le Tote-Bag de la Rédac' du Village pour les étudiants en Droit [Spécial orientation].

A LIRE AUSSI >

[Finalistes Prix de l'innovation] "DJTal, la transformation numérique au service de la DJ" à l'UGAP.




LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs