Le Comité Européen de la Protection des Données (ci-après « CEPD ») a publié de nouvelles lignes directrices le 7 septembre dernier. Celles-ci visent à clarifier les notions de responsable du traitement de données à caractère données personnel et de sous-traitant. En effet, si le RGPD définit ces deux notions, la pratique a démontré qu’il n’est pas toujours si évident de qualifier les parties.

La définition du responsable du traitement

Le RGPD, en son article 4 (7) définit le responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».  

Le CEPD met en exergue les cinq blocs suivants de cette définition et les analyse de manière séparée :

•  La personne physique ou morale, l’autorité publique, le service ou un autre organisme
• seul ou conjointement avec d’autres
• détermine
• les finalités et les moyens
• du traitement. 

Il incombe donc au responsable du traitement de définir les finalités et moyens du traitement. Le CEPD précise que les finalités correspondent à la question du « pourquoi » alors que les moyens reviennent à répondre au « comment ».Par ailleurs, le CEPD précise qu’il n’est pas obligatoire que le responsable du traitement ait réellement accès aux données.

« Seul ou conjointement avec d’autres » : mais qui sont ces autres ? Un autre responsable du traitement ? Un sous-traitant ?

En pratique, c’est justement là que le bât blesse pour les praticiens. Le CEPD tente de répondre à ces questions avec exemples à l’appui.

Les responsables conjoints

Pour un seul et même traitement, il peut y a voir plusieurs responsables. Le CEPD nous précise qu’il a responsabilité conjointe si les responsables du traitement prennent bien ensemble une décision en commun sur les finalités (pourquoi) et les moyens (comment) à mettre en œuvre pour le traitement de données en question.

Il doit s’agir d’une véritable prise de décision commune et les deux responsables doivent prendre le soin de délimiter leurs obligations respectives. En effet, s’ils sont responsables conjointement du traitement, leur responsabilité, au sens commun du terme, est et restera individuelle. D’où l’importance pour les responsables de définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du RGPD et notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication aux personnes concernées des informations visées aux articles 13 et 14du RGPD.

Il se peut que la décision ne soit pas entièrement commune mais relève de décisions concourantes de chacune des entités impliquées : les décisions de chacune des parties en présence se complètent et sont nécessaires pour la réalisation du traitement de sorte qu’elles aient un impact tangible sur la détermination des finalités et moyens. Le critère de référence est le lien inextricable entre les positions qui rend impossible le traitement sans la participation de l’autre.  Les exemples sont fournis par la jurisprudence de la Cour de Justice (ex. la page de la Wirtschaftsakademie sur le réseau social Facebook, la communauté des témoins de Jéhovah et leurs membres dans leur prêches porte-à-porte).

Il est important de noter que d’une part aucune des parties n’agit sous instruction de l’autre auquel cas elle sera considérée comme un sous-traitant pour ce traitement et d’autre part, que la qualité de responsable de traitement ou sous-traitant s’apprécie par traitement.

Le sous-traitant

Le RGPD en son article 4 (8) définit le sous-traitant comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Le CEPD met en avant les deux conditions pour qualifier une partie en tant que sous-traitant :

• Il ne peut être qu’une entité clairement séparée du responsable du traitement (une organisation externe). Un employé ou un département d’une même société ne peut donc pas être qualifié de sous-traitant
• Traiter les données à caractère personnel pour le compte du responsable du traitement. 

Il en ressort clairement que le sous-traitant ne dispose d’aucune marge de manœuvre et ne peut agir qu’en suivant les instructions du responsable du traitement. Souvenons-nous, en effet qu’il appartient au responsable du traitement de définir les finalités et moyens du traitement. Mais le CEPD introduit une nuance en laissant au sous-traitant la possibilité de de choisir les moyens techniques et organisationnels à mettre en œuvre, mais toujours dans le but de servir les intérêts du responsable du traitement.

Un sous-traitant qui outrepasserait ses prérogatives devra être regardé comme responsable du traitement et en assumer les responsabilités. Ce n’est pas pour rien si le RGPD, en son article 28 impose que la sous-traitance soit régie par un contrat ou un autre acte juridique contraignant et que les instructions du responsable du traitement soient documentées.

Conclusion 

Si à la lecture de ces guidelines, l’analyse de votre qualité en tant que responsable de traitement et/ou sous-traitant correspond aux définitions ou critères évoqués, aucune analyse supplémentaire n’est à effectuer. A défaut, il est fortement recommandé de réexaminer les traitements de données à caractère personnel et les rôles de chacune des parties intervenantes.