Droit en Poche - RGPD : la protection des données à caractère personnel - 5e - 58

des instructions qui lui sont données par le responsable du traitement,
non seulement par rapport aux dispositions du Règlement
mais également par rapport à l'ensemble des règles applicables en
matière de protection des données.
Il doit, en outre, aider :
- le responsable du traitement à répondre aux demandes d'exercice
des droits des personnes concernées ;
- « à garantir le respect des obligations prévues aux articles 32
à 36 [relatives à la sécurité des données, à la notification des
violations de données, à l'analyse d'impact et à la consultation
préalable de l'autorité de contrôle] compte tenu de la nature
du traitement et des informations à la disposition du sous-traitant
».
La contractualisation des relations
L'article 28 du Règlement fixe une liste non exhaustive de mentions
devant figurer dans le contrat entre le sous-traitant et son client. Ce
document doit définir « l'objet et la durée du traitement, la nature
et la finalité du traitement, le type de données à caractère personnel
et les catégories de personnes concernées, et les obligations et
les droits du responsable du traitement » (art. 28, 3). Le contrat
doit d'une part prévoir que le sous-traitant ne traite des données
que sur instructions documentées du responsable du traitement,
et d'autre part, fixer le sort des données à l'issue de la prestation
(destruction ou restitution au responsable du traitement), une
clause d'audit, etc. Une proposition de clause figure en annexe du
guide du sous-traitant publié par la CNIL en septembre 2017. La
Commission européenne a également publié, le 4 juin 2021, un
projet d'acte délégué portant des clauses contractuelles types entre
responsables du traitement et sous-traitant (Décision d'exécution
(UE) 2021/915). À noter que certaines autorités de contrôle ont
également adopté des clauses au titre de l'article 28 comme l'autorité
du Danemark ; celles-ci peuvent être utilisées dans la juridiction
de l'autorité concernée.
Focus sur la réutilisation des données
par un sous-traitant
A priori, un sous-traitant doit agir au nom et pour le compte d'un responsable
du traitement et exclusivement sur instructions de ce dernier,
ce qui s'avère incompatible avec la possibilité de réutiliser les données
qu'il traite dans ce contexte pour son compte. La CNIL a cependant précisé
qu'un responsable de traitement peut autoriser son sous-traitant à
réutiliser ces données pour son propre compte sous réserve du respect
de certaines conditions, en particulier que l'autorisation soit écrite, spécifique
et qu'un test de « compatibilité » des finalités soit effectué.
La relation entre un sous-traitant et un responsable du traitement
ne doit cependant pas être conçue comme unilatérale, le
responsable du traitement a également des obligations vis-à-vis
de son prestataire afin de lui permettre d'assurer sa mission. Il
56
Droit en Poche - RGPD : la protection des données à caractère personnel - 5e

Table des matières de la publication Droit en Poche - RGPD : la protection des données à caractère personnel - 5e
