PROTECTION DES DONNEES : AVIS DE L’AUTORITE EUROPEENNE SUR CERTAINES OBLIGATIONS EN CAS DE RECOURS A UN OU PLUSIEURS SOUS-TRAITANTS

A retenir de ce document publié le 7 octobre :

– le responsable de traitement doit disposer à tout moment d’une liste des sous-traitants, mais aussi de tous les sous-traitants ultérieurs

– les sous-traitants doivent communiquer de façon proactive certaines informations au responsable de traitement

– les sous-traitants jouent un rôle dans la sélection des sous-traitants ultérieurs et la vérification de leurs garanties, mais la décision d’y recourir et la responsabilité finale associée incombent au responsable de traitement

– la nécessité pour le responsable du traitement de demander les contrats de sous-traitance pour vérifier leur conformité n’est pas systématique, mais doit être appréciée au cas par cas

– le responsable de traitement est responsable des transferts de données hors EEE réalisés vers des sous-traitants ultérieurs et doit donc surveiller ces transferts en les cartographiant et en vérifiant leur bon encadrement (et notamment, si elle est requise, la bonne réalisation d’une analyse d’impact du transfert)

– le fait que des traitements des données peuvent être mis en œuvre au-delà des instructions du responsable par le sous-traitant (par exemple en cas d’obligation légale ou d’une injonction contraignante d’une entité gouvernementale) est un élément essentiel du contrat et une information clé pour le responsable de traitement

– les instructions du responsable du traitement doivent être suffisamment précises (ce qui n’est par exemple pas le cas si le contrat prévoit que le sous-traitant traitera les données uniquement sur instructions, « à moins qu’il ne soit tenu d’y procéder en vertu d’un droit applicable »).

A noter que le CEPD publie parallèlement des lignes directrices sur le traitement des données à caractère personnel fondé sur un intérêt légitime.

Source : Comité Européen de la Protection des Données