Dans sa mission de sanction envers les organismes ne garantissant pas un niveau de conformité approprié au regard de la réglementation, le RGPD fait peser sur la figure du « responsable de traitement » la responsabilité en cas de violation de ses dispositions.

Toutefois la diversité et multiplicité des acteurs pouvant jouer un rôle au sein d’une opération de traitement peut rendre flou le processus de qualification. C’est notamment le cas lorsque certains intervenants au traitement pensent bénéficier du statut de sous-traitant, ou lorsque la qualité de responsable conjoint leur est opposée. Les enjeux de ces qualifications sont éminemment importants et nécessitent une attention particulière.

Quelles sont les critères permettant l’attribution du statut de responsable de traitement ?

La notion de responsable de traitement n’a pas changé de définition depuis son apparition dans la directive de 1995 relative au traitement des données à caractère personnel. Aujourd’hui disposé à l’article 4 du RGPD, il est défini comme

« La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ».

La définition s’attache à définir le caractère personnel du responsable de traitement, à savoir une personne physique ou morale, relevant de la sphère publique ou privée. Ces mentions ne sont pas anecdotiques et peuvent dans certains cas revêtir une grande importance. Par exemple, s’il est possible de considérer qu’un groupement hospitalier de territoire traite l’ensemble des données de santé de l’opération, n’ayant pas la personnalité juridique, cette structure ne peut pas être désignée comme responsable de traitement, et renvoie alors à une situation de coresponsabilité entre l’ensemble des établissement parties.

Il peut également arriver qu’une personne physique soit nommée responsable de traitement au sein d’une structure. Ce choix n’aura pas pour effet de remettre en cause la responsabilité de l’organisme en tant que tel, exception faite de traitement à des fins personnelles de la part d’une personne physique.

En second lieu, on considère que la personne physique ou morale disposant d’un pouvoir discrétionnaire de détermination des contours de l’opération de traitement sera responsable de celui-ci. Si ce pouvoir de détermination des finalités et moyens peut découler d’une désignation par le droit de l’Union ou d’un texte de droit national dans certains cas, c’est davantage au regard d’une analyse factuelle des rôles des acteurs du traitement qu’est attribuée la qualification de responsable.

A noter qu’en cas de litige, une appréciation en espèce sera effectuée, menant possiblement à une requalification en responsable de traitement de toute personne déterminant dans les faits, les finalités du traitement, et ce, en indifférence des clauses des contrats.

L’examen de cette responsabilité consiste donc en une étude de circonstances factuelles, démontrant le contrôle réel exercé par une partie dans le cadre des opérations de traitement.

Le volume d’instruction et de surveillance donné par une partie, l’expertise approfondie d’une partie dans le domaine ou tout simplement le degré de participation aux discussions relatives à la détermination des finalités du traitement sont des critères pris en compte lors de l’étude de la responsabilité.

Il convient toutefois de distinguer la détermination par une partie des éléments essentiels du traitement et la détermination des moyens purement techniques.

D’un côté, la détermination des finalités du traitement ou encore des moyens dits « essentiels », tels que la détermination des données précises à traiter, de la durée de conservation, emporte nécessairement la qualification de responsable.

De l’autre, la détermination par une partie des moyens techniques ou opérationnels du traitement n’est pas considérée comme engageant sa responsabilité, et peut être attribuée à un sous-traitant.

Le degré d’influence d’une personne sur les finalités et les moyens essentiels du ou des traitements est donc au centre de l’opération de qualification.

Comment reconnaître une situation de sous-traitance ?

Un sous-traitant est une personne chargée du traitement de données à caractère personnel pour le compte du responsable de traitement. L’existence du sous-traitant dépend de la politique du responsable de traitement, qui a la possibilité de traiter les données au sein de sa structure ou de déléguer, totalement ou partiellement ces activités de traitement à une structure externe.

Un sous-traitant n’est pas responsable des violations des données à caractère personnel qu’il traite, sauf outrepassement des missions confiées par le responsable de traitement ou violation des obligations spécifiques aux sous-traitants prévues à l’article 28 du RGPD.

Une personne va donc pouvoir bénéficier du régime de responsabilité atténuée du sous-traitant en prouvant qu’une autre partie, le responsable, exerce un contrôle réel sur son activité et détermine les finalités et les moyens essentiels de l’opération.

Dans une situation où de multiples personnes participent au traitement des données personnelles, c’est cette influence sur les éléments essentiels qui permet de distinguer la sous-traitance de la coresponsabilité. La première hypothèse concerne la situation où une partie détermine unilatéralement le rôle et les prérogatives de l’autre, et la seconde où les deux (ou plus) parties déterminent conjointement leurs rôles et prérogatives respectives.

Quelles sont les obligations spécifiques au sous-traitant ?

S’additionnant aux obligations déléguées par le responsable de traitement, le sous-traitant est tenu de garantir de manière appropriée la mise en conformité des traitements, l’exercice des droits des personnes concernées par le traitement ainsi que de restreindre son activité au cadre donnée par le responsable de traitement.

Plus précisément, l’article 28 du RGPD indique que le sous-traitant est tenu d’assurer la conformité du traitement mais également de démontrer cette mise en conformité en mettant à disposition du responsable toutes les informations nécessaires pour la réalisation d’audits ou d’analyse d’impact [1].

Une obligation de sécurité et de confidentialité pèse également sur le sous-traitant, qui peut ainsi voir sa responsabilité reconnue en cas de négligence manifeste ayant eu pour conséquence une faille de sécurité et la perte de confidentialité, d’intégrité ou de disponibilité des données traitées. A noter toutefois que la CNIL a considéré dans une affaire présentant une situation analogue, que la responsabilité du responsable de traitement était toujours engageable au regard de son obligation de n’avoir recours qu’à des sous-traitant présentant des garanties suffisantes en matière de sécurité et qu’il revient au responsable de surveiller les actions de son sous-traitant, sous peine de voir sa propre négligence condamnée.

Si l’opération de traitement nécessite la désignation d’un délégué à la protection des données [2], cette mission de désignation revient également au sous-traitant. L’évaluation des qualités professionnelles, connaissances spécifiques relatives à la conformité, ainsi que l’existence de moyens et ressources permettant la réalisation des missions du DPO sont toutes des obligations pouvant être confiées au sous-traitant.

Quelles sont les obligations des responsables conjoints du traitement ?

Il est possible que plusieurs personnes déterminent conjointement les finalités et les moyens du traitement. La coresponsabilité est tout simplement la situation où l’ensemble de ces responsables ont pour obligation de se répartir de manière claire, leur rôles et responsabilités au sein de l’opération de traitement.

La coresponsabilité n’a pas pour corollaire le partage égal des prérogatives et obligations entre les responsables. De la même manière la situation de coresponsabilité ne s’assimile pas à une simple coopération entre plusieurs responsables de traitement, quand bien même leurs actions encadrent le même jeu de données ou encore qu’un échange et partage d’informations existe entre eux.

Le seul critère de qualification pertinent est la détermination conjointe des finalités et moyens essentiels du traitement.

La distinction entre les situations de coresponsabilité et celles de « simple collaboration » est particulièrement importante au moment d’un possible litige, car le régime de coresponsabilité a pour conséquence un régime de solidarité, c’est-à-dire qu’une réparation intégrale du dommage pourra être demandée à n’importe lequel des responsables, à sa seule charge.

Outre la répartition claire des responsabilités, les responsables conjoints ont également comme obligation de rendre accessible aux personnes concernées l’accord de coresponsabilité au sein duquel le partage est inscrit. Cet accord doit être débattu et approuvé par l’ensemble des responsables conjoints, et de couvrir les éléments essentiels du traitement (nature, objet, durée, finalité, catégorie de données traitées, personne concernées etc.).

Enfin les responsables conjoints sont tenus de garantir l’exercice des droits des personnes concernées, notamment à travers l’établissement d’un point de contact, empêchant par la même occasion qu’un nombre trop élevé de responsables au sein de l’opération, n’empêche la personne concernée par le traitement de voir consacrer ses demandes.

En conclusion, la distinction entre co-responsable, responsable unique du traitement et sous-traitant s’opère essentiellement au regard de l’étude des personnes déterminant les éléments essentiels de l’opération.

Sont-ils plusieurs ? Est-ce qu’un lien de subordination peut vraisemblablement être attendu entre les personnes ? Est-ce que certains des acteurs de l’opération sont entièrement dépendants des instructions d’un ou plusieurs autres ? Voici le type de questions que le travail de qualification exige avant tout traitement de données à caractère personnel.

Olivier Bikili Juriste RGPD au sein du cabinet de conseil Indatable https://indatable.com