swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Le Règlement général sur la protection des données et le sous-traitant suisse

Livio di Tria, le 30 octobre 2020

La ques­tion de l’ap­pli­ca­tion du RGPD aux trai­te­ments de données à carac­tère person­nel confiés à un sous-trai­tant suscitent de nombreuses ques­tions. Dans la Jusletter du 26 octobre 2020, le Professeur Sylvain Métille et Me David Raedler examinent en détail cette épineuse ques­tion, à l’aune notam­ment des « Guidelines 3/​2018 on the terri­to­rial scope of the GDPR (Article 3) » du Comité euro­péen de la protec­tion des données publiées le 12 novembre 2019 et ayant amenées des zones d’ombre.

Préalablement à l’exa­men du champ d’ap­pli­ca­tion terri­to­rial de l’art. 3 RGPD, les auteurs rappellent quels acteurs sont suscep­tibles d’in­ter­ve­nir dans le cadre d’un trai­te­ment de données à carac­tère person­nel (le respon­sable du trai­te­ment, la personne concer­née par le trai­te­ment et, éven­tuel­le­ment, le sous-trai­tant). Les auteurs soulignent le fait que le sous-trai­tant est un acteur possible, mais non néces­saire et que la sous-trai­tance implique certaines exigences formelles pres­crites notam­ment par l’art. 28 RGPD.

Les auteurs procèdent ensuite à une analyse du champ d’ap­pli­ca­tion terri­to­rial du RGPD tel que prévu par l’art. 3 RGPD, en se penchant en premier lieu sur le proces­sus parle­men­taire entou­rant l’adop­tion de cette dispo­si­tion légale. Ils détaillent ensuite les diffé­rentes hypo­thèses visées par le champ d’ap­pli­ca­tion à raison du lieu du RGPD, à savoir l’ap­pli­ca­tion « terri­to­riale » (art. 3 al. 1 RGPD), l’ap­pli­ca­tion « extra­ter­ri­to­riale » (art. 3 al. 2 RGPD) et l’ap­pli­ca­tion « par renvoi au droit euro­péen » (art. 3 al. 3 RGPD).

Les auteurs donnent ensuite une lecture spéci­fique du champ d’ap­pli­ca­tion terri­to­rial du RGPD au sous-trai­tant, en souli­gnant dans quels cas cet acteur pour­rait se voir soumis au RGPD. Ils distinguent à cet égard le sous-trai­tant dispo­sant d’un établis­se­ment dans l’Espace écono­mique euro­péen du sous-trai­tant qui ne dispose pas d’un tel établis­se­ment. Les auteurs arrivent à la conclu­sion que le sous-trai­tant ne devrait pas être soumis au RGPD que dans l’hy­po­thèse selon laquelle le respon­sable du trai­te­ment n’est lui-même pas soumis au RGPD et que son sous-trai­tant ne dispose pas d’un établis­se­ment dans l’Espace écono­mique euro­péen. En outre, les auteurs critiquent le fait que les Guidelines soumettent direc­te­ment le sous-trai­tant au RGPD lorsque son respon­sable du trai­te­ment y est lui soumis de manière extra­ter­ri­to­riale, ce qui ne semble corres­pondre ni à l’es­prit ni à la lettre du RGPD.

Finalement, les auteurs proposent un schéma résu­mant les cas d’ap­pli­ca­tion du RGPD au sous-traitant.

Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Sécurité des produits et protection des données : les assurer et les associer, ça coule de source
  • Souveraineté numérique et altruisme des données (« Data Altruism ») : proposition UE de « Data Governance Act…
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law