LAWYER

La CNIL précise les conditions de réutilisation des données par les sous-traitants

 
January 24, 2022

Le 12 janvier 2022, la Commission nationale de l'informatique et des libertés (« CNIL ») a publié des lignes directrices sur la réutilisation par des sous-traitants de données confiées par un responsable de traitement (les « lignes directrices »).

Cette problématique de réutilisation des données par les sous-traitants, notamment en vue de l'amélioration de leurs produits, est un point clé de négociation en matière de protection des données personnelles. 

D’un côté, le RGPD restreint par principe l'utilisation par les sous-traitants des données personnelles traitées pour le compte des responsables du traitement. En effet, un sous-traitant ne peut que suivre les instructions du responsable de traitement et a l’interdiction d’utiliser les données pour son propre compte. Les sous-traitants qui outrepassent cette restriction et utilisent les données à leurs propres fins encourent le risque de violer tant le RGPD que leurs engagements contractuels. 

De l’autre, les sous-traitants soutiennent que la réutilisation des données pour l'amélioration des produits (ex : pour entrainer un algorithme), profite en définitive aux responsables de traitement, qui s’attendent légitimement à bénéficier de produits et services de pointe. Les lignes directrices apportent donc un éclaircissement attendu. Elles confirment que les sous-traitants peuvent réutiliser les données personnelles obtenues auprès des responsables du traitement pour leur propre compte, mais uniquement si : 

  • La finalité du traitement ultérieur est compatible avec la finalité pour laquelle les données ont été initialement collectées 

Les responsables de traitement sont tenus d'effectuer, au cas par cas, un test de compatibilité afin de déterminer si le traitement dit « ultérieur » est compatible avec la finalité pour laquelle les données ont été initialement collectées (lorsque la base juridique du traitement n'est ni le consentement ni le droit communautaire ou national1). 

Lors de la réalisation du test de compatibilité, les responsables de traitement doivent tenir compte de l'existence d'un lien entre les finalités pour lesquelles les données personnelles ont été collectées et les finalités du traitement ultérieur envisagé, du contexte dans lequel les données personnelles ont été collectées, de la nature des données personnelles (en particulier si le traitement porte sur des catégories particulières de données  ou des données personnelles relatives à des condamnations pénales et à des infractions), des conséquences possibles du traitement ultérieur pour les personnes concernées et de l'existence de garanties appropriées (ex. chiffrement ou pseudonymisation). 2

La CNIL cite à ce titre deux exemples : lorsqu'un sous-traitant souhaite réutiliser des données personnelles pour améliorer ses prestations de cloud computing, cette réutilisation pourrait être considérée comme compatible avec le traitement initial, sous réserve de garanties appropriées (par exemple, l'anonymisation des données personnelles qui ne sont pas nécessaires au traitement ultérieur). En revanche, la réutilisation des données par le sous-traitant à des fins de prospection commerciale ou de marketing ne satisferait a priori pas les critères de compatibilité.

  • Le responsable du traitement a donné son accord par écrit à la réutilisation

Si le test de compatibilité est satisfait, les responsables du traitement peuvent décider d'accorder ou non l'autorisation de réutiliser les données à caractère personnel pour un traitement ultérieur.

L'autorisation de réutilisation accordée par le responsable du traitement doit être spécifique. Une autorisation générale préalable à toute réutilisation par un sous-traitant ne sera pas valable. 

  • Les personnes concernées ont été dûment informées

    Le responsable du traitement est chargé d'informer les personnes concernées (i) du traitement ultérieur et de sa finalité et (ii) de leur droit de s'opposer à ce traitement ultérieur, le cas échéant. 

Toutefois, lorsque le sous-traitant peut contacter directement les personnes concernées, le responsable du traitement peut déléguer son obligation d'informer les personnes concernées au sous-traitant.

Principaux points d’attention

Lorsqu’un sous-traitant réutilise des données personnelles à des fins propres, il devient alors responsable de traitement (soumis de facto à l'ensemble des obligations RGPD qui incombent aux responsables de traitement). En pratique, les responsables de traitement et les sous-traitants devront considérer la révision de leurs contrats afin de s'assurer qu’ils :

  • Contiennent une autorisation écrite spécifique pour la réutilisation des données personnelles, en stipulant clairement la finalité du traitement ultérieur.
  • Font référence au résultat du test de compatibilité.
  • Définissent le rôle des parties en matière d’information des personnes. 

La politique de protection des données personnelles ou la note d’information relative à la protection des données personnelles du responsable du traitement devra également être mise à jour afin de faire apparaître de manière claire la réutilisation des données par le sous-traitant et le droit d'opposition correspondant. 


Notes de bas de page :

1) Article 6.4 du RGPD
2) Article 6.4 du RGPD

Lire en anglais

Related Professionals

Search By:

Related Services

Subscribe to Dechert Updates

Related News & Insights

Resources relating to La CNIL précise les conditions de réutilisation des données par les sous-traitants