Vous avez dit sous-traitant ?

Par Christophe CHAMPOUSSIN • Gérant ANAXIA CONSEIL • 7 octobre 2019 • Newsletter ANAXIA CONSEIL

Cette notion est probablement l’une des plus complexes du RGPD.

L’erreur généralement commise est de considérer que, dès lors que l’on communique des données à une entité, elle est considérée comme un sous-traitant (ST) au sens du RGPD.

Or il existe 3 types de destinataires :

  • Les services internes du responsable de traitement ;

  • Les sous-traitants ;

  • Les tiers.

Les tiers traitent les données pour eux-mêmes alors que les sous-traitants les traitent pour le compte du responsable de traitement (RT).

Exemple de tiers : l’URSSAF à qui l’on communique des données sur les salariés.

L’URSSAF traite bien les données pour son propre compte, pas pour celui de la société qui les lui communique.

Reprenons la définition (4.8) : « La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Il faut cumuler 3 critères que l’on obtient en décomposant :

  1. traite

  2. des données

  3. pour le compte du RT

Si un bailleur social communique des coordonnées (nom prénom adresse téléphone) à une société qui doit intervenir pour réviser toutes les chaudières, il s’agit d’un tiers et pas d’un sous-traitant. Ce prestataire traite les données pour son propre compte, afin de réaliser sa mission qui est l’entretien de chaudière et il a pour cela besoin des coordonnées pour intervenir. Mais le cœur de la mission c’est la chaudière, pas l’adresse du locataire (qui est juste une donnée utile, mais pas l’objet même de la prestation) !

De la même manière, ne sont pas des sous-traitants :

  • Le transporteur à qui je confie des colis, et donc l’adresse des destinataires ;

  • La banque à qui j’envoie chaque mois les données pour le versement des salaires ;

  • La société qui émet des titres restaurant.

Raisonnons par l’absurde. Si la banque est un sous-traitant, alors le RT doit avoir avec elle un contrat conforme à l’article 28. Et ce contrat doit par exemple prévoir des audits, encadrer la sous-traitance en cascade ou encore définir les durées de conservation des données.

La banque est soumise à sa propre réglementation et chaque RT ne va pas décider de ses propres durées de conservation. Concernant la sous-traitance en cascade, vous imaginez une banque vous prévenir à chaque changement de sous-traitant (sous-traitance générale, cf. article 28) ?

De la même manière, et contrairement à une horreur qu’il nous a été donnée d’entendre, les salariés du RT ne sont pas des ST même s’ils traitent des données pour son compte ; il « sont » le RT.

On trouve certaines listes de critères bien faites pour déterminer si tel ou tel est ST ou pas (ou RT pour son propre compte, ou encore responsable conjoint). Citons celle de l’ICO (l’autorité de contrôle britannique).

En bonus à cette newsletter, vous en trouverez la traduction en pièce jointe.

Retour à la liste des articles
Anaxia Conseil

Contactez-nous

Pour toute demande, merci d'utiliser notre page de contact

© Anaxia Conseil 2024 - Mentions Légales - Données Personnelles

Adresse

400 Avenue Roumanille
Village Greenside • BP 309
06906 SOPHIA ANTIPOLIS Cedex

Merci !

Votre demande nous a bien été envoyée

Merci !

Votre demande nous a bien été envoyée

Je poursuis ma visite