L’article 12 du RGPD indique que « le responsable du traitement facilite l’exercice des droits conférés à la personne concernée ». Le RGPD indique que le sous-traitant n’est concerné par l’exercice de leurs droits que via le contrat le liant au responsable du traitement (art.28.3.e « le sous-traitant aide le responsable du traitement (…) à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III« ).

Nous pourrions en comprendre que le sous-traitant doit assister le responsable du traitement dans ses obligations liées aux droits des personnes, mais l’AEPD, l’Autorité Espagnole de Protection des Données, est récemment allée plus loin.

Revenons d’abord sur la notion de responsable du traitement, de sous-traitant et sur l’exercice des droits. Puis nous verrons comment doit être opérée l’exercice des droits auprès d’un sous-traitant. Enfin, nous constaterons qu’il s’agit là d’une exigence émergente du RGPD.

Les rôles de responsable du traitement et de sous-traitant

Nous avons déjà abordé ces deux rôles par le passé. Revenons sur l’essentiel : le responsable du traitement (« controller ») décide des finalités et des moyens du traitement (dont le fait d’utiliser les services d’un sous-traitant). Le sous-traitant (« processor ») procède à tout ou partie du traitement pour le compte du responsable du traitement.

L’exercice des droits auprès du sous-traitant

L’exercice des droits, nous l’avons vu en introduction, est régi par l’article 12 du RGPD. Il indique que c’est au responsable du traitement de répondre aux demandes des personnes concernées.

Pourtant l’AEPD, Autorité Espagnole de Protection des Données, vient de statuer qu’un sous-traitant avait un rôle bien plus important que ce que nous pouvions envisager, en se basant sur l’article 28.3.e du RGPD déjà cité. Jusque là, si une personne concernée venait à effectuer une demande d’exercice des droits auprès du sous-traitant, il semblait justifié que ce dernier la renvoie vers le responsable du traitement.

L’AEPD indique que, dorénavant, le sous-traitant doit satisfaire directement la demande de la personne concernée, en se rapprochant lui-même du responsable du traitement pour obtenir des instructions relative au traitement constitué par la demande d’exercice des droits (RGPD art.28.3.a), et ainsi répondre de lui-même à la personne concernée.

Une nouvelle mission du sous-traitant

Ainsi, tout sous-traitant lié contractuellement à un responsable du traitement via un contrat conforme aux exigences du RGPD (article 28 en particulier) doit comprendre ce dernier comme lui imposant la mission de répondre aux exercices des droits des personnes, et ce de manière directe si la personne lui en fait la demande.

Une nouvelle violation du RGPD

Par voie de conséquence, un sous-traitant qui refuserait de répondre à une personne concernée serait considéré comme en violation de son contrat, et donc du RGPD.

C’est la mésaventure qu’a connu Amazon Web Services (AWS) le 15 juin 2021 à travers la décision TD/00044/2021 de l’AEPD.

Plus d’infos, en anglais sur gdprhub.eu.