NON, les salariés ne sont pas des sous-traitants

Par Christophe CHAMPOUSSIN • Gérant ANAXIA CONSEIL • 9 mai 2019 • LinkedIn

La liste des « petites bêtises » que l’on entend à propos du RGPD ne semble pas prête d’être épuisée.

La plus classique ? « Le DPO est obligatoire à partir de 250 salariés » … et donc aucune obligation en-dessous de ce seuil.
Or l’obligation de désignation d’un DPO ne relève d’aucun seuil ; cf. le 1 de l’article 37 du RGPD.

La dernière que nous ayons entendue : « Les salariés sont des sous-traitants au sens du RGPD » !!!

 Je suppose que l’auteur de cette affirmation se base sur la définition de sous-traitant (4.8) :

« La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

 On pourrait en effet dire, d’un point de vue « sémantique », qu’un salarié « traite des données » pour son employeur, mais pas d’un point de vue RGPD.

En effet, les salariés d’une entité X, responsable de traitement, sont « inclus » dans cette notion de responsable de traitement. On dit (moi le premier) qu’un responsable de traitement est « la société X, représentée par son représentant légal » (sauf en cas de délégation et en mettant de côté la notion de responsabilité conjointe).

Mais tout salarié de l’entité X « fait partie, est constitutif » de cette entité d’un point de vue du RGPD.

Et l’on ne peut pas, pour un même traitement, être responsable de traitement ET sous-traitant.

Donc non les salariés ne sont pas des sous-traitants ! CQFD