CNIL : lignes direc­tri­ces sur la réuti­li­sa­ti­on des don­nées par les sous-traitants

Auto­ri­té

Thè­mes

Mes­sa­ges similaires

Français 
Français  Deutsch  English 

L’au­to­ri­té de con­trô­le fran­çai­se, la CNIL, a adop­té le 12 jan­vier 2022 Lignes direc­tri­ces pour l’uti­li­sa­ti­on ulté­ri­eu­re de don­nées per­son­nel­les trai­tées sur man­dat par des sous-trai­tants (“Sous-trai­tants : la réuti­li­sa­ti­on de don­nées con­fiées par un responsable de traitement”).

La CNIL part du prin­ci­pe que les sous-trai­tants doi­vent trai­ter des don­nées per­son­nel­les uni­quement sur ins­truc­tion docu­men­tée du responsable du trai­te­ment mais pas à ses pro­pres fins et de sa pro­pre initia­ti­ve (sous réser­ve d’ob­li­ga­ti­ons léga­les exi­geant un trai­te­ment dif­fé­rent). Dans le cas con­trai­re, le sous-trai­tant devi­ent responsable et encourt les ris­ques de responsa­bi­li­té et de sanc­tion correspondants.

Mais les per­son­nes qui trai­tent les com­man­des ont sou­vent beso­in, et c’est com­pré­hen­si­ble, d’a­voir accès aux don­nées des com­man­des. éga­le­ment à des fins per­son­nel­les d’uti­li­ser, en par­ti­cu­lier dans le domaine des ser­vices infor­ma­ti­ques, une for­me de App­ren­tis­sa­ge auto­ma­tique de l’entre­pri­se. Le responsable du trai­te­ment peut auto­ri­ser une tel­le uti­li­sa­ti­on sous cer­tai­nes con­di­ti­ons et, en même temps, le sous-trai­tant est tri­bu­tai­re de cet­te autorisation.

C’est là que la CNIL inter­vi­ent – le responsable doit pro­cé­der com­me suit :

  • Test de com­pa­ti­bi­li­téDans la mesu­re où la réuti­li­sa­ti­on par le sous-trai­tant pour­su­it une fina­li­té dif­fé­ren­te de cel­le qui a justi­fié la coll­ec­te initia­le (obten­ti­on), le responsable du trai­te­ment doit véri­fier que cet­te nou­vel­le fina­li­té est com­pa­ti­ble avec la fina­li­té initia­le (sauf si la per­son­ne con­cer­née a con­sen­ti au trai­te­ment pour la nou­vel­le fina­li­té ou si, à tit­re excep­ti­on­nel, le trai­te­ment ulté­ri­eur est impo­sé par la loi). La CNIL expli­que les critères de ce test de com­pa­ti­bi­li­té et don­ne l’exemp­le sui­vant (tra­duc­tion par DeepL) :

    Un sous-trai­tant sou­hai­te réuti­li­ser des don­nées afin d’exé­cu­ter ses tâches. Amé­lio­rer les ser­vices de cloud com­pu­ting. Cet­te réuti­li­sa­ti­on pour­rait être con­sidé­rée com­me liée à la trans­for­ma­ti­on initia­le com­pa­ti­ble être con­sidé­rés com­me des “pro­duits”, sous réser­ve de garan­ties appro­priées com­me l’an­ony­mi­sa­ti­on des don­nées, lorsque ces don­nées d’i­den­ti­fi­ca­ti­on ne sont pas néces­saires. En revan­che, leur réuti­li­sa­ti­on à des fins de la publi­ci­té com­mer­cia­le, le “test de com­pa­ti­bi­li­té” est dif­fi­ci­le à réa­li­ser. </blockquote

  • Pas d’au­to­ri­sa­ti­on géné­ri­que pré­alableLe test de com­pa­ti­bi­li­té doit être effec­tué con­crè­te­ment pour un trai­te­ment déter­mi­né. Une auto­ri­sa­ti­on pré­alable et géné­ra­le de réuti­li­sa­ti­on n’est donc pas légale.
  • ÉcritL’au­to­ri­sa­ti­on doit être don­née par écrit (y com­pris sous for­me électronique).
  • Infor­ma­ti­onLe responsable initi­al doit infor­mer les per­son­nes con­cer­nées et indi­quer notam­ment s’il est pos­si­ble de s’op­po­ser au trai­te­ment ulté­ri­eur. Il est tou­te­fois pos­si­ble de délé­guer l’in­for­ma­ti­on au nou­veau responsable (c’est-à-dire au sous-traitant).
  • Léga­li­téLe nou­veau responsable doit s’assurer que son trai­te­ment est con­for­me à la réglementation.
S’abon­ner aux nouvelles :
à pro­pos de nous
Bul­le­tin d’information
Télé­char­ge­ments
Lois
Pro­tec­tion des données
AI
Sécu­ri­té
Pro­tec­tion des secrets
© datenrecht.ch / Wal­der Wyss AG
Décla­ra­ti­on de confidentialité