L’article 28 du RGPD prévoit que le sous-traitant traite les données sur instruction et pour le compte du responsable de traitement. Dans une actualité publiée le 12 janvier 2022, la Commission nationale de l’informatique et des libertés (CNIL) considère qu’un sous-traitant ne peut pas traiter les données d’un responsable de traitement à ses propres fins, sauf si certaines conditions spécifiques sont réunies.

L’article 4.8 du RGPD définit le sous-traitant comme "la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement". Cette définition limite la possibilité accordée au sous-traitant de réutiliser les données du responsable du traitement à ses propres fins. Ceci est confirmé plus en détail sous l’article 28 qui impose une obligation légale au responsable du traitement et au sous-traitant de signer un contrat qui fixe les conditions du traitement applicables au sous-traitant.

Dans la pratique, cependant, les choses peuvent être différentes. Dans la majorité des cas, les sous-traitants sont des prestataires de services (vendeurs, fournisseurs, etc.) qui souhaitent utiliser les données de leurs clients (c’est-à-dire les responsables du traitement) à leurs propres fins. C’est notamment le cas des fournisseurs de services informatiques et de cloud computing qui reçoivent des millions de gigabits de données clients qui ont une grande valeur pour eux. En effet, les données clients leur permettent de mieux comprendre comment leurs produits et services sont utilisés, d’améliorer et de développer ces produits et services, et plus généralement, de réaliser divers types d’analyses de données.

Cependant, ces utilisations des données clients n’entrent généralement pas dans le cadre des activités de traitement qu’un sous-traitant effectue pour le compte du responsable du traitement. En règle générale, le responsable du traitement n’instruit à son sous-traitant de traiter les données aux fins d’améliorer les produits et services du sous-traitant, ou à des fins d’analyse de données. Par conséquent, le sous-traitant doit être considéré comme un responsable du traitement distinct chaque fois que l’utilisation des données du responsable du traitement dépasse les instructions données par ce dernier.

Selon la CNIL, une telle réutilisation des données transmises par le responsable du traitement n’est pas autorisée, sauf si elle est compatible avec la ou les finalités initiales pour lesquelles les données ont été collectées par le responsable du traitement. La CNIL se réfère à l’article 6.4 du RGPD qui dispose que

"lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre (...), le responsable du traitement [vérifie] si le traitement à une autre finalité est compatible avec la finalité pour laquelle les données ont initialement collectées".

Sur base de cet article, la CNIL considère qu’un sous-traitant n’est pas autorisé à réutiliser les données du responsable de traitement à ses propres fins, de sa propre initiative, sauf si une loi nationale ou européenne l’y oblige. Cela peut être le cas, par exemple, des fournisseurs de services de communication électronique qui ont une obligation légale de stocker les données de connexion et de les mettre à la disposition des autorités judiciaires pendant une durée limitée. Le traitement peut également se fonder sur le consentement de la personne concernée, mais dans ce cas, le consentement sera spécifiquement limité au traitement effectué par le responsable du traitement et n’inclura pas de traitement ultérieur par le sous-traitant. En l’absence d’un fondement juridique valable pour le traitement des données, le sous-traitant peut voir sa responsabilité engagée au motif qu’il n’a pas agi conformément aux instructions du responsable du traitement (art 28 GDPR).

Néanmoins, la CNIL prévoit plusieurs exceptions.

Tout d’abord, le sous-traitant doit obtenir l’autorisation écrite préalable du responsable du traitement (sauf s’il peut s’appuyer sur une loi nationale ou européenne existante). Cette autorisation sera généralement insérée dans l’accord-cadre de prestation de services ou l’avenant sur le traitement des données personnelles qui est signé entre les parties.

Deuxièmement, le responsable du traitement doit effectuer un "test de compatibilité" avant d’accorder son autorisation, afin d’évaluer si le traitement ultérieur mis en œuvre par le sous-traitant est compatible avec la ou les finalités initiales pour lesquelles les données ont été collectées. Ce test de compatibilité doit être réalisé conformément à l’article 6.4 du RGPD qui impose au responsable du traitement de vérifier s’il existe un "lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé". Le responsable du traitement doit également vérifier le contexte dans lequel les données ont été collectées, la nature des données qui sont traitées et les conséquences possibles du traitement ultérieur envisagé pour les personnes concernées. Enfin, le responsable du traitement doit prendre en compte l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

Si le test n’est pas satisfait, la CNIL indique que le responsable du traitement doit refuser de donner son autorisation à la réutilisation des données. En d’autres termes, le responsable du traitement ne peut pas donner une autorisation préalable et générale à ses sous-traitants, mais doit au contraire réaliser un test de compatibilité au cas par cas.

Cela peut créer des désaccords entre responsables de traitements et sous-traitants. D’une part, les sous-traitants (notamment les prestataires de services informatiques américains) sont susceptibles de s’opposer à ces vérifications au motif qu’ils n’entrent pas dans le champ d’application de l’article 28 du GDPR. D’autre part, certains responsables de traitements peuvent être sous la contrainte de ne pas accorder aux sous-traitants l’autorisation d’utiliser les données à leurs propres fins, de peur d’être sanctionnés par la CNIL ou de recevoir des plaintes des personnes concernées. Les parties sont également susceptibles d’être en désaccord sur ce qui constitue un "lien" entre le traitement initial par le responsable du traitement et le traitement ultérieur par le sous-traitant. Derrière ce test de compatibilité se cache également l’obligation pour les responsables du traitement de prendre en compte les attentes raisonnables des personnes concernées et les risques que tout traitement ultérieur peut avoir pour elles.

Toutefois, si le test de compatibilité est satisfait, le responsable du traitement peut choisir d’autoriser ou non le sous-traitant à utiliser les données aux fins prévues. D’un point de vue juridique, cela indique que le responsable du traitement doit rester maître de ses données et ne doit pas se sentir obligé d’autoriser le sous-traitant à utiliser les données à ses propres fins. Dans la pratique, cependant, les contrats de prestation de service contiennent souvent des clauses permettant au sous-traitant d’utiliser les données du client à ses propres fins qui peuvent être difficiles à négocier.

Une solution serait d’autoriser le sous-traitant à utiliser les données à condition que celles-ci soient anonymisées ou pseudonymisées. En effet, il apparaît souvent que les sous-traitants n’ont pas besoin de l’identité complète des utilisateurs et que ce qui les intéresse vraiment, c’est de mieux comprendre l’utilisation faite de leurs services. Dans ce cas, autoriser le sous-traitant à utiliser des données anonymisées ou agrégées ne relèverait pas du champ d’application du GDPR. Cependant, l’absence d’un régime juridique clair sur les données anonymes rend presque impossible pour les responsables du traitement de vérifier que leurs sous-traitants utilisent effectivement uniquement des données anonymes.

Troisièmement, le responsable du traitement initial doit informer les personnes concernées des utilisations de leurs données par le sous-traitant à des fins ultérieures. Par exemple, un responsable du traitement devra informer ses salariés que le fournisseur de solutions informatiques de l’entreprise a l’intention d’utiliser leurs données à ses propres fins. Cela soulève quelques questions pratiques. À quel moment un responsable du traitement doit-il informer les personnes concernées qu’un sous-traitant pourrait utiliser leurs données à d’autres fins ? Si ces finalités n’étaient pas connues au moment où le responsable du traitement a fourni sa politique de confidentialité aux personnes concernées, alors le responsable du traitement doit fournir une nouvelle information aux personnes concernées (article 13.3 du RGPD), même si la politique de confidentialité du responsable du traitement informe déjà les personnes concernées sur le partage de leurs données avec des destinataires tiers (article 13.1.e). En outre, les personnes concernées ont le droit de s’opposer au traitement par le sous-traitant sur la base de l’article 21.1 et peuvent également restreindre ce traitement (art. 18). Dans ce cas, il sera très difficile pour un responsable du traitement de passer outre les droits et libertés des personnes concernées si celles-ci s’opposent en fait au traitement ultérieur par le sous-traitant.

Enfin, une fois que le sous-traitant a obtenu l’autorisation du responsable du traitement, il devient alors un responsable du traitement en son nom propre et doit de ce fait se conformer au GDPR, y compris l’obligation d’informer les personnes concernées sur ses propres activités de traitement. Cela aussi peut soulever des difficultés pratiques dans la situation où le sous-traitant n’est pas directement en contact avec les personnes concernées. Dans ce cas, qui doit informer les personnes concernées sur les activités de traitement mis en œuvre par le sous-traitant qui agit dans ce cas en qualité de responsable de traitement ? Le responsable du traitement initial pourrait entreprendre d’informer les personnes concernées pour le compte du sous-traitant, mais cela crée une charge supplémentaire pour le responsable du traitement qu’il n’est peut-être pas disposé à accepter.

L’avis de la CNIL est susceptible d’avoir des conséquences importantes pour tous les sous-traitants qui fournissent des services à leurs clients basés dans l’UE et qui souhaitent utiliser les données de leurs clients à leurs propres fins. Les responsables du traitement et les sous-traitants devront peut-être revoir certaines des clauses de leurs accords sur le traitement des données, en particulier celles qui concernent le partage et la réutilisation des données.

Olivier Proust Avocat au Barreau de Paris Cabinet Fieldfisher [->olivier.proust@fieldfisher.com]