Loin d’être évidente, la question de l’application du Règlement général sur la protection des données (RGPD) aux traitements de données à caractère personnel confiés à un sous-traitant a mené à de nouvelles discussions suite à la publication par le Comité Européen de la Protection des Données (CEPD de la version finale des Lignes directrices 3/2018 sur le champ d’application territorial du RGPD (Article 3). En réalité, ces lignes directrices ont apporté de nouvelles zones d’ombre.

Dans l’article intitulé «Le RGPD et le sous-traitant suisse: quelle application du Règlement général de protection des données à un sous-traitant établi hors de l’Espace économique européen?» que j’ai eu le plaisir de rédiger avec David Raedler et qui a été publié dans la Jusletter du 26 octobre 2020, nous avons examiné les différents rôles intervenant dans un traitement de données à caractère personnel ainsi que les dispositions relatives au champ d’application territorial du RGPD, puis plus spécifiquement le cas du sous-traitant. Nous arrivons à la conclusion que la règle ajoutée à la dernière minute par le CEPD et qui prévoit une soumission directe du sous-traitant au RGPD lorsque son responsable du traitement est soumis de manière extraterritoriale ne correspond ni à la lettre, ni à l’esprit du RGPD, mais plutôt à une volonté des autorités de contrôle d’étendre leur emprise, sans fondement ni justification légale.

Partage