Le Comité européen sur la protection des données (CEPD) a adopté le 2 septembre son projet de lignes directrices en anglais sur les notions de responsable du traitement et de sous-traitant. Une consultation publique est ouverte sur ces lignes directrices jusqu’au 19 octobre 2020.

 

Quels sont, selon le CEPD, les éléments qui qualifient un responsable du traitement ?

Le responsable du traitement est une personne (physique ou morale) qui détermine :

  • les finalités et les moyens du traitement (pourquoi et comment traiter les données personnelles – article 4-7 du RGPD),
  • les éléments essentiels liés au traitement (les données personnelles collectées, les catégories des personnes concernées, la communication ou non des données aux destinataires et le choix des destinataires, la durée de conservation des données, etc.).

Au-delà des éléments ci-dessus mentionnés :

  • le responsable du traitement poursuit d’autre(s) objectif(s) que son propre intérêt économique dans le traitement des données personnelles,
  • les activités de traitement peuvent être naturellement attachées au activité du responsable du traitement,
  • le responsable du traitement dispose d’une autonomie totale pour décider pourquoi et comment les données personnelles seront traitées,
  • le responsable du traitement peut confier le traitement des données à un sous-traitant externe qui traite les données pour son compte.

Les dispositions légales peuvent qualifier une personne physique ou morale en tant que responsable du traitement. En revanche, souvent cette qualification relève de l’analyse des éléments de fait et des circonstances de l’affaire.

 

Quels sont, selon le CEPD, les éléments qui qualifient un sous-traitant ?

Le sous-traitant est :

  • une personne (physique ou morale) qui traitent les données personnelles au nom et pour le compte du responsable du traitement en fonction de ses instructions (article 4-8 du RGPD). Le sous-traitant ne poursuit pas une finalité propre à lui.
  • une personne (physique ou morale) dont les activités de traitement sont contrôlées par le responsable du traitement afin d’assurer le respect des instructions et des termes du contrat qui les lie.
  • une personne qui ne poursuit d’autre objectif que son propre intérêt commercial pour fournir ses services de traitement des données.
  • une personne qui a été engagée pour effectuer des activités de traitement par une autre personne qui, à son tour, a été engagé pour effectuer des activités de traitement au nom et pour le compte d’une autre personne.

Le CEPD rappelle que tous les prestataires de service qui traitent des données personnelles dans le cadre de la prestation d’un service ne peuvent systématiquement pas être qualifiés comme sous-traitant au sens du Règlement général sur la protection des données dit “RGPD” par le simple fait qu’ils traitent les données personnelles dans le cadre de la prestation de leur service. Ainsi, dans l’hypothèse où le traitement des données effectué n’est pas l’objet principal ou primaire du service demandé, le fournisseur de service peut être qualifié comme un responsable du traitement indépendant et non un sous-traitant. De plus, la qualification d’un sous-traitant découle des activités concrètes d’une personne physique ou morale dans un contexte précis et ne pas de la nature de ses activités. Ainsi, une analyse de cas par cas s’impose. A titre d’exemple, le fournisseur d’un service de transport à destination des collaborateurs d’une autre entreprise, traitent les données personnelles des collaborateurs en tant qu’un responsable du traitement et non pas un sous-traitant.

 

Quid le cas de figure où le sous-traitant offre au responsable du traitement un service préalablement défini de manière spécifique ?

Selon le CEPD, dans ce cas de figure, le sous-traitant est tenu de présenter la description détaillée de son service au responsable du traitement. Ce dernier doit prendre la décision finale et approuver activement le moyen de traitement et de pouvoir demander des modifications si nécessaire. De plus, le sous-traitant ne peut pas modifier les éléments essentiels liés au traitement sans l’accord du responsable du traitement. A défaut, le sous-traitant risque d’être qualifié comme le responsable du traitement.

Le CEPD reconnaît une certaine marge de manœuvre pour le sous-traitant dans la détermination des moyens de traitement tant que cela ne touche pas des éléments essentiels liés au traitement. Au-delà de la marge de manœuvre tolérée, le sous-traitant peut être qualifié comme un responsable du traitement indépendant.

 

Quel est le niveau d’influence du responsable du traitement sur la finalité et les moyens d’un traitement (le “pourquoi” et le “comment”) ?

Pour déterminer ce niveau d’influence, une distinction doit se faire, selon le CEPD, entre les moyens essentiels et les moyens non-essentiels. Les “moyens essentiels” sont étroitement liés à la finalité et à la portée du traitement et sont traditionnellement et intrinsèquement réservé au responsable du traitement. comme rappelé ci-dessus, il s’agit à titre d’exemple les données personnelles qui sont traitées, la durée de traitement, les catégories des destinataires et des catégories des personnes concernées.

Les “moyens non essentiels” concernent des aspects plus pratiques de la mise en œuvre, tels que le choix d’un type particulier de matériel ou de logiciel ou les mesures de sécurité détaillées qui peuvent être laissées à l’appréciation du processeur.

Ainsi, le responsable du traitement peut décider de l’ensemble des moyens essentiels et non-essentiels liés au traitement. Toutefois, peuvent être laissés à l’appréciation du sous-traitant les moyens non-essentiels.

 

Peut-on qualifier une personne physique ou morale comme responsable du traitement simplement par des termes d’un contrat encadrant le traitement des données ?

D’après le CEPD, dans de nombreux cas, une analyse des termes contractuels existant entre les différentes parties contractuelles peut faciliter la qualification du responsable du traitement. Cependant, les termes du contrat ne sont pas déterminant dans tous les circonstances notamment lorsque les faits et les circonstances en disent autrement.

 

Comment qualifier un responsable conjoint ?

Les personnes physiques ou morales peuvent être amenées à déterminer conjointement les finalités et les moyens de traitement (article 4-7 du RGPD). Ainsi, le critère primordial pour déterminer une responsabilité conjointe de traitement est la participation conjointe de deux ou plusieurs entités dans la détermination des finalités et des moyens d’un traitement.

Selon le CEPD, la participation peut prendre la forme d’une décision commune prise par deux ou plusieurs entités ou résulter les décisions convergentes de deux ou plusieurs entités, lorsque les décisions se complètent et sont nécessaires pour que le traitement ait lieu de telle manière qu’ils aient un impact tangible sur la détermination des finalités et des moyens du traitement. Un critère important est que le traitement ne serait pas possible sans la participation des deux parties en ce sens que le traitement par chaque partie est inséparable, c’est-à-dire inextricablement lié. La participation conjointe doit inclure la détermination des finalités d’une part et la détermination des moyens d’autre part.

A titre d’exemple, dans le cadre d’une utilisation partagée d’une base de données par les entités appartenant d’un groupe d’entreprise alors que chaque entité détermine indépendamment de l’autre les éléments essentiels liés au traitement ne peut pas être suffisant pour qualifier une responsabilité conjointe de traitement. En effet, le seul facteur d’utiliser une base de données partagée ne détermine pas une qualification de responsable conjointe de traitement.

 

Pour plus d’information :

https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_en

https://www.cnil.fr/fr/cepd-lance-consultation-publique-lignes-directrices-responsable-traitement-sous-traitant