Notions de responsable du traitement et de sous-traitant au sens du RGPD : éclairages du CEPD.

Le Comité européen de la protection des données (CEPD) a adopté la version finale de ses lignes directrices qui précisent les critères permettant d’identifier les différents acteurs des traitements de données à caractère personnel.


Cette article est issu du Dictionnaire permanent Droit européen des affaires.

Pour tester gratuitement le dictionnaire permanent Droit européen des affaires pendant 2 semaines, cliquez ici.
Pour tester gratuitement Solution Compliance et éthique des affaires pendant 2 semaines, cliquez ici.

Dans les lignes directrices adoptées le 7 juillet 2021, le CEPD revient sur des notions clés du RGPD. Faisant suite à un premier avis datant de 2010, adopté par son prédécesseur, le G29, et à trois arrêts de la CJUE (CJUE, grande ch., 5 juin 2018, aff. C-210/16, Wirtschaftsakademie Schleswig-Holstein ; CJUE, grande ch., 10 juill. 2018, aff. C-25/17, Jehovan todistajat ; CJUE, 29 juill. 2019, aff. C-40/17, Fashion ID), ces lignes directrices ont pour but de faciliter l’identification des différents acteurs impliqués dans un traitement de données personnelles de façon à déterminer les obligations et responsabilités de chacun. En ce sens, le CEPD qualifie les notions envisagées de « fonctionnelles ». Il les considère en outre comme des notions « autonomes » dans le sens où elles doivent être lues à la lumière des textes de l’Union européenne en matière de protection des données à caractère personnel uniquement.

L’identification des divers acteurs

Le CEPD commence par tracer les frontières de la notion de responsable du traitement, avant de s’atteler à celle de responsable conjoint et de sous-traitant.

Identification du responsable du traitement

Il est classiquement défini comme celui qui détermine les finalités et les moyens du traitement. Il s’agit traditionnellement de l’organisation dans laquelle le traitement est effectué. Quand bien même une personne, un service ou un département serait en charge de la mise en œuvre du traitement, l’organisation resterait en principe le responsable du traitement en vertu du RGPD. Néanmoins, le CEPD insiste sur le fait qu’une analyse au cas par cas est nécessaire pour identifier le responsable du traitement. Il indique que, dans la plupart des situations, il peut être facilement et clairement identifié par référence à certaines circonstances juridiques (la loi prévoit une obligation de traiter des données pour certaines personnes qui sont de ce fait considérées comme les responsables du traitement) et/ou factuelles. Dans ce dernier cas, il est possible de se référer par exemple au contrat conclu entre les parties. Même si les qualifications qui y sont opérées ne sont pas contraignantes, le contrat peut contenir des éléments suffisants pour déduire qui exerce un rôle décisionnel en ce qui concerne les finalités et les moyens du traitement.

Le CEPD note toutefois la difficulté à tracer une frontière franche entre le responsable du traitement et le sous-traitant dans la mesure où le sous-traitant peut lui aussi être amené à prendre des décisions relativement au traitement de données qui lui a été délégué. Pour le CEPD, les décisions relatives à la finalité du traitement sont clairement toujours du ressort du responsable du traitement alors que les moyens peuvent relever du sous-traitant. Il propose de faire une distinction entre les moyens essentiels et non essentiels. Les premiers sont étroitement liés à la finalité et à la portée du traitement, tels que le type de données à caractère personnel qui sont traitées, la durée du traitement, les catégories de destinataires et les catégories de personnes concernées. Ils relèvent aussi de la question de savoir si le traitement est licite, nécessaire et proportionné. Ces moyens essentiels sont réservés au responsable du traitement. Les moyens non essentiels concernent, quant à eux, des aspects plus pratiques, tels que le choix d’un type particulier de matériel ou de logiciel, ou les mesures de sécurité adoptées. Ils peuvent relever de l’appréciation du sous-traitant.

Identification du responsable conjoint

Conformément au RGPD, le CEPD rappelle que le critère primordial pour qu’il y ait un contrôle conjoint est la participation conjointe de deux ou plusieurs entités à la détermination des objectifs et des moyens d’un traitement. Selon lui, « la participation peut prendre la forme d’une décision commune prise par deux ou plusieurs entités ou résulter de décisions convergentes de deux ou plusieurs entités, lorsque ces décisions se complètent et qu’elles sont nécessaires à la réalisation du traitement de telle sorte qu’elles ont un impact tangible sur la détermination des finalités et des moyens du traitement. Un critère important est que le traitement ne serait pas possible sans la participation des deux parties en ce sens que le traitement par chaque partie est inséparable, c’est-à-dire inextricablement lié ». Suivant la jurisprudence de la CJUE, le CEPD précise que l’absence d’accès aux données n’est pas un critère opérant. Il souligne enfin que l’utilisation d’un système ou d’une infrastructure de traitement des données commun(e) ne conduit pas dans tous les cas à qualifier les parties concernées de responsables conjoints du traitement. La qualification de sous-traitant peut par exemple dans certains cas être préférée.

Identification du sous-traitant

Une entité est un sous-traitant quand elle remplit deux critères : elle est distincte du responsable du traitement et agit pour le compte de ce dernier. Elle agit sur délégation et doit suivre les instructions du responsable du traitement. Le sous-traitant peut néanmoins disposer d’une marge de manœuvre pour déterminer la manière de servir au mieux les intérêts du responsable du traitement, en choisissant les moyens techniques et organisationnels les plus appropriés. S’il va au-delà des instructions du responsable du traitement et commence à traiter les données pour ses propres finalités, le sous-traitant sera considéré lui-même comme un responsable du traitement mis en œuvre sur la base desdites données et sa responsabilité pourra être recherchée à ce titre.

Les obligations des différents acteurs

Dans la relation entre responsable du traitement et sous-traitant

Le RGPD prévoit que le responsable du traitement doit veiller à ce que le sous-traitant auquel il délègue une partie de sa mission présente des garanties suffisantes. Le CEPD précise quels éléments doivent être pris en compte par le responsable du traitement pour évaluer ces garanties. Il vise l’expertise du sous-traitant, sa fiabilité, ses ressources mais aussi sa réputation sur le marché. L’adhésion à un code de conduite ou à un mécanisme de certification peut également être retenue. Un contrat écrit, dont le contenu est précisé dans les lignes directrices, doit lier le responsable du traitement et le sous-traitant.

Dans la relation entre responsables conjoints

Les parties doivent signer un contrat qui, selon le CEPD, prend la forme d’un contrat d’entreprise contraignant. Ce document doit indiquer « qui fait quoi », notamment en matière d’information de la personne concernée ou en cas d’exercice par celle-ci de ses droits. A cela s’ajoutent des dispositions sur le respect des principes généraux de protection des données, les mesures de sécurité, l’obligation de notification des violations de données, les analyses d’impact sur la protection des données, le recours à des sous-traitants, le transfert de données vers des pays tiers à l’Union européenne, etc. Le CEPD considère enfin que chaque responsable conjoint doit traiter les données sur le fondement d’une base licite et veiller à ce que les données ne soient pas traitées ultérieurement d’une manière incompatible avec les finalités pour lesquelles elles ont été collectées à l’origine.

Pour conclure, on peut noter que la question de la qualification des parties en présence pose des difficultés en pratique. Aussi, les précisions du CEPD étaient attendues. Si elles apportent quelques éclairages bienvenus, il n’est pas certain qu’elles permettent à elles seules de trancher tous les cas qui posent des difficultés sur le terrain.

Jessica EYNARD, Co-Directrice du Master Droit du numérique de l’Université Toulouse 1Capitole et Chercheuse associée dans la Chaire Law, Accountability and Social Trust in AI, ANITI
Marine MONTEIL, Docteur en droit

Cette article est issu du Dictionnaire permanent Droit européen des affaires.

Pour tester gratuitement le dictionnaire permanent Droit européen des affaires pendant 2 semaines, cliquez ici.
Pour tester gratuitement Solution Compliance et éthique des affaires pendant 2 semaines, cliquez ici.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

1 vote

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit, certifié 4e site Pro en France: Avocats, juristes, fiscalistes, notaires, huissiers, magistrats, RH, paralegals, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 145 220 membres, 21909 articles, 126 423 messages sur les forums, 4 850 annonces d'emploi et stage... et 2 300 000 visites du site par mois. *


L'Enquête en cours >

Professionnels du Droit, participez à l'enquête Métiers du Droit du Village !

Focus sur >

Quelques points à retenir du 5e Congrès RDV des Transformations du Droit 2021.




LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs