NON, les salariés ne sont pas des sous-traitants
Par Christophe CHAMPOUSSIN • Gérant ANAXIA CONSEIL • 9 mai 2019 • LinkedIn
La liste des « petites bêtises » que l’on entend à propos du RGPD ne semble pas prête d’être épuisée.
La plus classique ? « Le DPO est obligatoire à partir de 250 salariés » … et donc aucune obligation en-dessous de ce seuil.
Or l’obligation de désignation d’un DPO ne relève d’aucun seuil ; cf. le 1 de l’article 37 du RGPD.
La dernière que nous ayons entendue : « Les salariés sont des sous-traitants au sens du RGPD » !!!
Je suppose que l’auteur de cette affirmation se base sur la définition de sous-traitant (4.8) :
« La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
On pourrait en effet dire, d’un point de vue « sémantique », qu’un salarié « traite des données » pour son employeur, mais pas d’un point de vue RGPD.
En effet, les salariés d’une entité X, responsable de traitement, sont « inclus » dans cette notion de responsable de traitement. On dit (moi le premier) qu’un responsable de traitement est « la société X, représentée par son représentant légal » (sauf en cas de délégation et en mettant de côté la notion de responsabilité conjointe).
Mais tout salarié de l’entité X « fait partie, est constitutif » de cette entité d’un point de vue du RGPD.
Et l’on ne peut pas, pour un même traitement, être responsable de traitement ET sous-traitant.
Donc non les salariés ne sont pas des sous-traitants ! CQFD