Réutilisation des données par un sous-traitant : sur autorisation
En principe, un sous-traitant ne peut pas réutiliser les données personnelles collectées par un client pour son propre compte. A défaut, il encourt des sanctions financières.
Il peut toutefois valablement réutiliser ces données pour son propre compte dans certaines situations.
Pour cela, un « test de compatibilité » doit être mené : en clair, il s’agit de vérifier si le traitement que le sous-traitant compte opérer est compatible avec la finalité pour laquelle les données ont été initialement collectées. Notez qu’une autorisation préalable et générale de réutilisation des données est illégale.
Si le test n’est pas concluant, le client doit refuser de donner son autorisation à la réutilisation des données. A l’inverse, s’il le test est satisfait, il sera libre de donner ou non son accord, par l’intermédiaire d’un écrit.
Une fois l’accord obtenu, le client doit informer personnellement ou par l’intermédiaire du sous-traitant, les personnes dont les données sont réutilisées, celles-ci ayant la possibilité de s’y opposer.
Pour finir, retenez qu’en réutilisant les données de son client, le sous-traitant devient lui-même un « responsable de traitement », au regard de la Réglementation Générale sur la Protection des Données (RGPD). Il est donc astreint à son respect.
Source : Actualité de la Cnil du 12 janvier 2022
Réutilisation des données personnelles par un sous-traitant : mode d’emploi © Copyright WebLex – 2022