Un organisme de représentation professionnelle qui met à disposition des entités indépendantes qu’il représente une plateforme en ligne de publication d’annonces immobilières et d’hébergement des documents annexés à ces annonces via un site web – en tant qu’activité accessoire et non réglementée de cette profession – doit être considéré comme sous‑traitant de ces entités, considérées comme responsable du traitement, dès lors que ces dernières conservent dans ce cadre une entière liberté de choix quant aux moyens mis en œuvre pour exercer cette activité et publier des annonces immobilières, et dans la mesure où elles déterminent seules les finalités et les moyens du traitement.

En outre, lorsque les entités responsables du traitement confient à l’organisme sous‑traitant la charge de publier leurs annonces immobilières et d’héberger les documents annexés à ces annonces sur un site web dont l’organisme sous‑traitant se déclare éditeur, et lorsque l’hébergement, l’exploitation, la maintenance et l’évolution de ce site, qui impliquent le traitement des données personnelles contenues dans les documents annexés aux annonces, ont été confiés par l’organisme sous‑traitant à une autre société, cette dernière intervient dès lors en qualité de sous‑traitant de second rang recruté par l’organisme sous‑traitant.

Dès lors que, d’une part, aucun acte juridique ne formalise ni les relations entre les responsables du traitement de publication d’annonces immobilières et l’organisme sous‑traitant, ni les relations entre l’organisme sous‑traitant et la société intervenant en tant que sous‑traitant de second rang, et que, d’autre part, aucune autorisation écrite préalable des responsables de traitement ne prévoit le recrutement, par l’organisme sous‑traitant, de la société intervenant en tant que sous‑traitant de second rang, ces faits constituent un manquement à l’article 28 du RGPD.

Si, aux termes de l’article 32 du RGPD, les obligations en matière de sécurité des traitements de données à caractère personnel s’adressent tant au responsable de traitement qu’au sous‑traitant, la répartition des responsabilités entre ces deux acteurs résulte également du contrat de sous‑traitance qu’ils doivent conclure au titre de l’article 28 du RGPD. En ce sens, l’article 28‑3‑f impose que ce contrat prévoit que le sous‑traitant « aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous‑traitant ». La CNIL déduit de la combinaison de ces dispositions qu’il revient au sous‑traitant de proposer au responsable de traitement les solutions techniques et organisationnelles adéquates, notamment en ce qui concerne la sécurité des traitements, et ce, indépendamment des obligations qui pèsent en propre sur le responsable du traitement.

L'article 58, paragraphe 2, sous f) et j), du RGPD doit être interprété en ce sens que, à moins qu'il existe une décision d'adéquation valablement adoptée par la Commission européenne, l'autorité de contrôle compétente est tenue de suspendre ou d'interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l'ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l'Union, en particulier par les articles 45 et 46 de ce règlement et par la Charte des droits fondamentaux, ne peut pas être assurée par d'autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l'Union d'avoir lui‑même suspendu le transfert ou d'avoir mis fin à celui‑ci.

Les articles 6, paragraphes 2 et 5 de la directive 2002/58/CE du 12 juillet 2002 (directive vie privée et communications électroniques) doivent être interprétés en ce sens qu'ils autorisent un fournisseur de réseaux publics de communications et de services de communications électroniques accessibles au public à transmettre des données relatives au trafic au cessionnaire de ses créances portant sur la fourniture de services de télécommunications en vue du recouvrement de celles-ci, et ce cessionnaire à traiter lesdites données à condition que, en premier lieu, celui‑ci agisse sous l'autorité du fournisseur de services pour ce qui concerne le traitement de ces mêmes données et, en second lieu, ledit cessionnaire se limite à traiter les données relatives au trafic qui sont nécessaires aux fins du recouvrement des créances cédées.

Indépendamment de la qualification du contrat de cession, le cessionnaire est censé agir sous l'autorité du fournisseur de services, au sens de l'article 6, paragraphe 5, de la directive 2002/58, lorsque, pour le traitement des données relatives au trafic, il agit sur la seule instruction et sous le contrôle dudit fournisseur. En particulier, le contrat conclu entre eux doit comporter des dispositions de nature à garantir le traitement licite, par le cessionnaire, des données relatives au trafic et à permettre au fournisseur de services de s’assurer, à tout moment, du respect de ces dispositions par ledit cessionnaire.