Alors que la notion de sous-traitant n’était pas définie dans la convention 108, elle figure désormais en bonne place dans le RGPD.
L’article 4 de ce texte prévoit que le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
Selon le G29 tout comme la définition du responsable du traitement, celle du sous-traitant envisage un large éventail d’acteurs pour tenir ce rôle («… une personne physique ou morale, une autorité publique, un service ou tout autre organisme …»).
L’existence d’un sous-traitant dépend du responsable du traitement, qui peut décider :
- soit de traiter les données au sein de son organisation, par exemple en habilitant des collaborateurs à traiter les données sous son autorité directe
- soit de déléguer tout ou partie des activités de traitement à une organisation extérieure, comme l’indique l’exposé des motifs de la proposition modifiée de la Commission, par «une personne juridiquement distincte du responsable mais agissant pour son compte»
Par conséquent, les deux conditions fondamentales pour agir en qualité de sous-traitant sont :
- d’une part, d’être une entité juridique distincte du responsable du traitement
- d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier.
L’activité de traitement peut se limiter à une tâche ou un contexte bien précis, ou être plus générale et étendue.
En outre, le rôle de sous-traitant ne découle pas de la nature de l’entité traitant des données mais de ses activités concrètes dans un cadre précis.
En d’autres termes, la même entité peut agir à la fois en qualité de responsable du traitement pour certaines opérations de traitement et en tant que sous-traitant pour d’autres opérations, et la qualification de responsable ou de sous-traitant doit être évaluée au regard d’un ensemble spécifique de données ou d’opérations.
L’aspect le plus important est l’exigence que le sous-traitant agisse «…pour le compte du responsable de traitement…». «Agir pour le compte de» signifie servir les intérêts d’un tiers et renvoie à la notion juridique de délégation.
Dans le cas de la législation relative à la protection des données, un sous-traitant est amené à exécuter les instructions données par le responsable du traitement, au moins en ce qui concerne la finalité du traitement et les éléments essentiels des moyens.
Dans cette perspective, la licéité de l’activité de traitement de données du sous-traitant est déterminée par le mandat donné par le responsable du traitement. Un sous-traitant qui outrepasse son mandat et acquiert un rôle important dans la détermination des finalités ou des moyens essentiels du traitement est davantage un (co)responsable qu’un sous-traitant.
A cet égard, l’article 35 de la loi informatique et libertés prévoit que « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »
Ainsi, est-il fait obligation pour le responsable du traitement de définir contractuellement la mission confiée au sous-traitant.
No comment yet, add your voice below!