Un prestataire peut-il utiliser les données personnelles de ses clients pour son propre compte ?

Sous-traitants : comment réutiliser les données de vos clients pour son propre compte ?

Responsables de traitement : comment sécuriser cette réutilisation ou comment la refuser ?

En matière de protection des données personnelles, le sous-traitant est celui qui traite des données pour le compte du responsable de traitement, sous son autorité et sur ses instructions.

En principe, le sous-traitant ne peut pas réutiliser pour son propre compte les données personnelles qui lui sont transmises par le responsable de traitement.

Pourtant, et sous certaines conditions, cette réutilisation n’est pas impossible.

Cela a été récemment précisé par la CNIL alors que le CEPD a publié des lignes directrices sur les notions de responsables de traitement et de sous-traitant en juillet 2021.

Quelles sont les conditions ?

1) Test de compatibilité

La première condition réside dans la réalisation d’un test de compatibilité lorsque le traitement initial ne repose pas sur le consentement de la personne concernée ou une obligation légale du droit national ou de l’Union.

Le but étant de vérifier que le traitement envisagé par le sous-traitant n’entraine ni des contradictions avec la finalité première du traitement ni un risque pour la protection des données et les droits des personnes.

Nombre de sous-traitants souhaitent utiliser les données à des fins marketing et de prospection, il est alors essentiel de mettre en place un contrôle préalable et des précautions adaptées.

Ce test repose sur plusieurs critères, dont :

le lien entre les finalités prévues lors de la collecte des données et celles envisagées ;
le contexte de la collecte et la relation entre le responsable de traitement et les personnes concernées ;
la nature des données personnelles, sachant que les données qualifiées de sensibles au sens du RPGD requièrent une attention particulière ;
les conséquences probables du traitement ultérieur pour les personnes concernées ;
la mise en place de garanties appropriées, notamment le chiffrement ou la pseudonymisation.

Cette liste non-exhaustive de critères n’est donnée qu’à titre indicatif par la CNIL.

En fonction du traitement originaire et du traitement futur, il pourra être indispensable de prévoir des critères supplémentaires, adaptés au projet. A l’issue du test, en cas de résultat insuffisant, le responsable du traitement ne doit pas donner son accord. En cas de résultat satisfaisant, le responsable du traitement demeure libre de donner son accord ou bien de refuser le traitement ultérieur des données.

2) L’autorisation

La seconde condition réside dans la forme de l’autorisation délivrée par le responsable de traitement à l’issu du test de compatibilité.

L’autorisation doit être délivrée ultérieurement à la réalisation du test de compatibilité et la mise en œuvre du nouveau traitement.
L’autorisation doit être délivrée spécifiquement aux traitements soumis au test de compatibilité.
L’autorisation doit être délivrée par écrit, y compris sous format électronique.

Quelles sont les conséquences ?

En pratique, la réutilisation des données par le sous-traitant trouve de nombreuses applications. Cela pourrait être le cas d’un sous-traitant proposant une plateforme de visioconférence qui souhaite utiliser les données pour son compte afin d’améliorer ses outils en conséquence et de proposer de nouvelles fonctionnalités (ergonomie, chat, partage de fichiers, fil d’actualité…). Cela profitera d’ailleurs au responsable de traitement.

Les précisions apportées par la CNIL permettent alors de définir un cadre à ce besoin tout en respectant la philosophie de responsabilisation des acteurs.

Cela implique, pour le responsable du traitement initial, d’informer les personnes concernées, en particulier afin de préserver leurs droits. Le sous-traitant, devenu responsable du traitement ultérieur, doit s’assurer de la conformité de ce nouveau traitement à la règlementation.

Dès lors, nous recommandons de prendre en compte ce mécanisme dans le contrat régissant la relation entre le responsable de traitement et le sous-traitant pour y intégrer notamment :

– les critères qui seront utilisés pour le test de comptabilité ainsi que les modalités du test, la coopération entre les cocontractants,

– le formalisme pour l’autorisation et pour le refus, tout en protégeant la liberté du responsable de traitement de donner son accord ou son refus,

– les conséquences du refus de cette autorisation.

Claudia Weber, avocat fondateur et Diane de Langeron, élève avocat | ITLAW Avocats

Besoin d’aide pour rédiger ces nouvelles clauses dans vos DPA ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des données personnelles, de projets informatiques complexes, de contrats, d’innovation et de propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes.

Nous contacter

Sous-traitants : comment réutiliser les données de vos clients pour son propre compte ?

Responsables de traitement : comment sécuriser cette réutilisation ou comment la refuser ?

Quelles sont les conditions ?

Quelles sont les conséquences ?

Dès lors, nous recommandons de prendre en compte ce mécanisme dans le contrat régissant la relation entre le responsable de traitement et le sous-traitant pour y intégrer notamment :

Besoin d’aide pour rédiger ces nouvelles clauses dans vos DPA ?

Posts récents

Le Cyber Resilience Act : Défis et opportunités de la cybersécurité à l’ère des IoT – “Paroles d’Experts” Décideurs 2024

Entrée en vigueur du DMA : TIK TOK peut-il y échapper ?

Un tiers à un contrat peut-il obtenir réparation pour un manquement contractuel ?