swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

Le Règlement général sur la protection des données et le sous-traitant suisse

Livio di Tria, le 30 octobre 2020

La ques­tion de l’ap­pli­ca­tion du RGPD aux trai­te­ments de données à carac­tère person­nel confiés à un sous-trai­tant suscitent de nombreuses ques­tions. Dans la Jusletter du 26 octobre 2020, le Professeur Sylvain Métille et Me David Raedler examinent en détail cette épineuse ques­tion, à l’aune notam­ment des « Guidelines 3/​2018 on the terri­to­rial scope of the GDPR (Article 3) » du Comité euro­péen de la protec­tion des données publiées le 12 novembre 2019 et ayant amenées des zones d’ombre.

Préalablement à l’exa­men du champ d’ap­pli­ca­tion terri­to­rial de l’art. 3 RGPD, les auteurs rappellent quels acteurs sont suscep­tibles d’in­ter­ve­nir dans le cadre d’un trai­te­ment de données à carac­tère person­nel (le respon­sable du trai­te­ment, la personne concer­née par le trai­te­ment et, éven­tuel­le­ment, le sous-trai­tant). Les auteurs soulignent le fait que le sous-trai­tant est un acteur possible, mais non néces­saire et que la sous-trai­tance implique certaines exigences formelles pres­crites notam­ment par l’art. 28 RGPD.

Les auteurs procèdent ensuite à une analyse du champ d’ap­pli­ca­tion terri­to­rial du RGPD tel que prévu par l’art. 3 RGPD, en se penchant en premier lieu sur le proces­sus parle­men­taire entou­rant l’adop­tion de cette dispo­si­tion légale. Ils détaillent ensuite les diffé­rentes hypo­thèses visées par le champ d’ap­pli­ca­tion à raison du lieu du RGPD, à savoir l’ap­pli­ca­tion « terri­to­riale » (art. 3 al. 1 RGPD), l’ap­pli­ca­tion « extra­ter­ri­to­riale » (art. 3 al. 2 RGPD) et l’ap­pli­ca­tion « par renvoi au droit euro­péen » (art. 3 al. 3 RGPD).

Les auteurs donnent ensuite une lecture spéci­fique du champ d’ap­pli­ca­tion terri­to­rial du RGPD au sous-trai­tant, en souli­gnant dans quels cas cet acteur pour­rait se voir soumis au RGPD. Ils distinguent à cet égard le sous-trai­tant dispo­sant d’un établis­se­ment dans l’Espace écono­mique euro­péen du sous-trai­tant qui ne dispose pas d’un tel établis­se­ment. Les auteurs arrivent à la conclu­sion que le sous-trai­tant ne devrait pas être soumis au RGPD que dans l’hy­po­thèse selon laquelle le respon­sable du trai­te­ment n’est lui-même pas soumis au RGPD et que son sous-trai­tant ne dispose pas d’un établis­se­ment dans l’Espace écono­mique euro­péen. En outre, les auteurs critiquent le fait que les Guidelines soumettent direc­te­ment le sous-trai­tant au RGPD lorsque son respon­sable du trai­te­ment y est lui soumis de manière extra­ter­ri­to­riale, ce qui ne semble corres­pondre ni à l’es­prit ni à la lettre du RGPD.

Finalement, les auteurs proposent un schéma résu­mant les cas d’ap­pli­ca­tion du RGPD au sous-traitant.

Sur ce thème
  • Dark patterns : wait & see
  • Le sous-traitant, entre hantise et maîtrise
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • Documentation externe et interne aux entreprises en matière de protection de données
Derniers articles
  • Les modèles de prix confidentiels soumis au principe de la transparence ?
  • Transparence à géométrie variable : le malaise vaudois
  • Votre carte d’identité comme carte de fidélité RGPD
  • Les limites du secret d’affaires : Analyse des recommandations du PFPDT par le TAF
Abonnement à notre newsletter
swissprivacy.law