La ques­tion de l’ap­pli­ca­tion du RGPD aux trai­te­ments de données à carac­tère person­nel confiés à un sous-trai­tant suscitent de nombreuses ques­tions. Dans la Jusletter du 26 octobre 2020, le Professeur Sylvain Métille et Me David Raedler examinent en détail cette épineuse ques­tion, à l’aune notam­ment des « Guidelines 3/​2018 on the terri­to­rial scope of the GDPR (Article 3) » du Comité euro­péen de la protec­tion des données publiées le 12 novembre 2019 et ayant amenées des zones d’ombre.

Préalablement à l’exa­men du champ d’ap­pli­ca­tion terri­to­rial de l’art. 3 RGPD, les auteurs rappellent quels acteurs sont suscep­tibles d’in­ter­ve­nir dans le cadre d’un trai­te­ment de données à carac­tère person­nel (le respon­sable du trai­te­ment, la personne concer­née par le trai­te­ment et, éven­tuel­le­ment, le sous-trai­tant). Les auteurs soulignent le fait que le sous-trai­tant est un acteur possible, mais non néces­saire et que la sous-trai­tance implique certaines exigences formelles pres­crites notam­ment par l’art. 28 RGPD.

Les auteurs procèdent ensuite à une analyse du champ d’ap­pli­ca­tion terri­to­rial du RGPD tel que prévu par l’art. 3 RGPD, en se penchant en premier lieu sur le proces­sus parle­men­taire entou­rant l’adop­tion de cette dispo­si­tion légale. Ils détaillent ensuite les diffé­rentes hypo­thèses visées par le champ d’ap­pli­ca­tion à raison du lieu du RGPD, à savoir l’ap­pli­ca­tion « terri­to­riale » (art. 3 al. 1 RGPD), l’ap­pli­ca­tion « extra­ter­ri­to­riale » (art. 3 al. 2 RGPD) et l’ap­pli­ca­tion « par renvoi au droit euro­péen » (art. 3 al. 3 RGPD).

Les auteurs donnent ensuite une lecture spéci­fique du champ d’ap­pli­ca­tion terri­to­rial du RGPD au sous-trai­tant, en souli­gnant dans quels cas cet acteur pour­rait se voir soumis au RGPD. Ils distinguent à cet égard le sous-trai­tant dispo­sant d’un établis­se­ment dans l’Espace écono­mique euro­péen du sous-trai­tant qui ne dispose pas d’un tel établis­se­ment. Les auteurs arrivent à la conclu­sion que le sous-trai­tant ne devrait pas être soumis au RGPD que dans l’hy­po­thèse selon laquelle le respon­sable du trai­te­ment n’est lui-même pas soumis au RGPD et que son sous-trai­tant ne dispose pas d’un établis­se­ment dans l’Espace écono­mique euro­péen. En outre, les auteurs critiquent le fait que les Guidelines soumettent direc­te­ment le sous-trai­tant au RGPD lorsque son respon­sable du trai­te­ment y est lui soumis de manière extra­ter­ri­to­riale, ce qui ne semble corres­pondre ni à l’es­prit ni à la lettre du RGPD.

Finalement, les auteurs proposent un schéma résu­mant les cas d’ap­pli­ca­tion du RGPD au sous-traitant.