072 – Les tiers

Il est nécessaire d’identifier le statut de chacun des organismes, entités, services, intervenant dans le traitement des données. La qualification juridique n’étant pas libre, un risque de requalification est possible (si le statut retenu n’est pas le bon).

Les destinataires (organismes, entités, services…) peuvent être :
1) des sous-traitants : il s’agit des organismes auxquels vous allez recourir dans le cadre d’une externalisation de certains services ou qui vont réaliser uniquement certaines opérations dans le cadre d’un traitement. Ils vont agir en votre nom et pour votre compte et uniquement sur vos instructions (prestataires qui exécutent précisément ce que vous leur demandez).
2) les coresponsables : cette catégorie fait référence aux organismes qui vont déterminer avec vous les finalités et moyens du traitement (des partenaires avec qui vous allez partager les données pour en faire, chacun de votre côté, ce que vous voulez).
3) Les destinataires externes à votre organisme font référence à ceux qui obtiennent communication des données personnelles de votre part.
Si la répartition entre les différents statuts est difficile à opérer, nous vous invitons à consulter les lignes directrices sur la notion de responsable du traitement.
Il est recommandé d’effectuer un inventaire des sous-traitants auxquels vous recourez. Cela permet de vérifier si ces sous-traitants respectent le RGPD et si les contrats signés avec eux contiennent des clauses adaptées.
Sous peine de sanction pénale et de nullité de la relation commerciale, un accord écrit est nécessaire avec les sous-traitants et les coresponsables du traitement. Le contrat doit comprendre de nombreuses clauses, et notamment définir l’objet et la durée du traitement effectué par le sous-traitant, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, les obligations et les droits du responsable du traitement.