GPDP (Italie), 7 avril 2022
L’autorité italienne de contrôle a sanctionné un sous-traitant qui n’avait pas (i) informé le responsable du traitement de l’intervention d’un sous-traitant ultérieur ni (ii) encadré juridiquement ladite relation.
Dans le cadre de ses obligations légales, une société, responsable du traitement, a mis en œuvre une procédure d’alerte interne pour les lanceurs d’alertes, permettant à tout membre de la société de transmettre, par voie postale, par courriel ou par l’intermédiaire d’une application web dédiée, des messages permettant d’apporter des informations portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général.
Pour mettre en œuvre son application web, la société a fait appel à un sous-traitant chargé de l’édition et de l’hébergement.
Dans le cadre d’une série de contrôles relatifs aux applications de lanceurs d’alertes, l’autorité de contrôle a découvert que le sous-traitant avait confié à une autre société le service d’hébergement des systèmes informatiques (i) sans signer de convention et (ii) sans demander l’autorisation auprès du responsable du traitement.
L’autorité de contrôle a d’abord rappelé le contenu de l’article 28 du RGPD selon lequel un sous-traitant ne peut faire appel à un autre sous-traitant sans « l’autorisation écrite, spécifique ou générale préalable du responsable du traitement » et « sans signer avec le sous-traitant ultérieur un contrat comportant les mêmes obligations en matière de protection de données » que celles prévue au contrat principal.
L’autorité de contrôle a donc considéré que le recours à un sous-traitant ultérieur en l’absence d’un contrat encadrant le traitement des données à caractère personnel et sans autorisation spécifique du responsable du traitement est contraire à l’article 28, paragraphes 2 et 4, du RGPD.
En conséquence, le sous-traitant s’est vu infliger une amende de 40.000 €.
Lien vers la décision : ici
