septembre 26, 2022

Le Quotidien des lacs

Retrouvez ici toutes les dernières actualités et reportages sur la FRANCE. Manchettes, politique et culture en français sur Le Quotidien des lacs

La France publie des directives à l’intention des sous-traitants sur la « réutilisation des données personnelles pour améliorer ou développer des services ou des produits » | Cooley LLP

Le 12 janvier 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL) a émis conseils (disponible uniquement en français) qui fixe les conditions de réutilisation par les sous-traitants des données personnelles confiées par les responsables de traitement pour leurs propres besoins. La CNIL évoque notamment un cas de figure où un sous-traitant souhaite réutiliser les données personnelles « pour améliorer ses services ou produits ou pour développer de nouveaux services et produits ».

# 1 : Quelles conditions doivent être remplies ?

Les conditions sont particulièrement lourdes pour le contrôleur initial qui doit :

  • Réaliser un test de compatibilité au cas par cas évaluer si la finalité du traitement ultérieur est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, dans la mesure où le consentement n’était pas la base juridique utilisée pour la finalité initiale. A cet égard, la CNIL rappelle les conditions énumérées à l’article 6 (4) du RGPD pour réaliser un tel test de compatibilité (c’est-à-dire établir un lien entre la finalité initiale du traitement et la finalité du traitement ultérieur).
  • Fournir une autorisation écrite préalable, qui doit être spécifique aux activités de traitement envisagées par le sous-traitant. La CNIL précise explicitement qu’une autorisation préalable et générale n’est pas autorisée.
  • Informer les personnes concernées que leurs données personnelles feront l’objet d’un traitement ultérieur et notent les finalités de ces activités de traitement ultérieur, à moins que les parties ne conviennent que le sous-traitant fournira un tel avis.

En réutilisant les données personnelles, le sous-traitant se transforme alors en responsable du traitement et doit se conformer à toutes les exigences du RGPD applicables aux responsables du traitement, telles que l’identification d’une base juridique pour l’activité de traitement, la réalisation d’une analyse d’impact sur la protection des données, l’envoi de notifications sur les violations de données personnelles, etc.

READ  Klopp dit aux fans de Liverpool de se rendre à Paris pour la finale de la Ligue des champions sans avoir de billet

# 2 : Quels sont les risques de non-conformité ?

En cas de non-respect de ces conditions, les risques incombent en premier lieu au sous-traitant qui s’est mué en responsable de traitement.

L’article 28.3 (a) du RGPD exige que les sous-traitants agissent conformément aux instructions du responsable du traitement initial. Lorsqu’un sous-traitant commence à déterminer les finalités et les moyens de l’activité de traitement, l’article 28, paragraphe 10, du RGPD prévoit que le sous-traitant sera un responsable du traitement à l’égard de ce traitement.

Par conséquent, si les conditions d’un traitement ultérieur licite par l’ancien sous-traitant ne sont pas remplies, le sous-traitant serait considéré comme en infraction avec les exigences du RGPD applicables aux responsables du traitement et pourrait faire l’objet de mesures d’exécution, y compris des amendes.

# 3 : Comment les sous-traitants peuvent-ils atténuer les risques ?

Certains sous-traitants estiment qu’il sera extrêmement difficile d’obtenir une autorisation du responsable du traitement initial, qui est généralement leur client, compte tenu des contraintes des responsables du traitement initiaux (sauf dans un contexte intragroupe). Par conséquent, la réutilisation des données personnelles par les sous-traitants à leurs propres fins sans respecter ces conditions est risquée. Pour un sous-traitant disposant d’une marge de négociation, une formulation appropriée dans l’accord de traitement des données avec le responsable du traitement pourrait contribuer à atténuer les risques.

[View source.]