Réponse
Une autre personne (une personne physique ou morale ou tout autre organisme) peut traiter les données à caractère personnel pour votre compte pour autant que cela soit réalisé dans le cadre d’un contrat ou d’un autre acte juridique. Il est important que le sous-traitant que vous nommez fournisse suffisamment de garanties pour mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer que le traitement répondra aux normes du règlement général sur la protection des données (RGPD) et pour garantir la protection des droits des personnes.
Par la suite, le sous-traitant nommé ne peut pas désigner un autre sous-traitant sans votre autorisation écrite préalable, spécifique ou générale. Le contrat ou l’acte juridique conclu entre votre entreprise/organisation et le sous-traitant devrait intégrer les éléments suivants:
- le traitement ne peut avoir lieu que sur instruction documentée du responsable du traitement;
- le sous-traitant s’assure que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité;
- le sous-traitant doit offrir un niveau de sécurité minimal défini par le responsable du traitement;
- le sous-traitant doit aider à assurer la conformité avec le RGPD.
Exemples
Une entreprise de construction fait appel à un sous-traitant pour des travaux de construction spécifiques et lui fournit les coordonnées des clients où les travaux doivent être effectués. Le sous-traitant utilise ensuite les données pour envoyer du matériel promotionnel aux clients. Dans ce cas, le sous-traitant ne saurait être simplement qualifié de «sous-traitant des données» au titre du RGPD car il traite non seulement les données à caractère personnel pour le compte de l’entreprise de construction, mais également à ses propres fins. Le sous-traitant agit donc en tant que «responsable du traitement des données».
Vous êtes une société de vente au détail et décidez de sauvegarder une version de la base de données de vos clients sur un serveur dans le nuage. À cette fin, vous concluez un contrat avec un fournisseur de service dans le nuage connu pour ses normes en matière de protection des données et qui dispose également d’un système certifié de chiffrement des données. Le fournisseur de service dans le nuage est votre sous-traitant car en conservant les données à caractère personnel de vos clients sur ses serveurs, il traitera les données à caractère personnel en votre nom.
Références
Examples
A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.
You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.