Responsable du traitement et sous-traitant - Bases du RGPD

Les notions de "responsable" et de "sous-traitant" sont centrales dans le RGPD. Celui qui est responsable ou sous-traitant est soumis aux obligations correspondantes du RGPD.

Mais à partir de quand exactement est-on responsable ou sous-traitant et quelles en sont les conséquences ?

Responsable

La définition du responsable se trouve à l'article 4, point 7, du RGPD. Selon cet article, le responsable est toute personne physique ou morale, autorité publique, organisme ou autre organe qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Pour être responsable, il n'est donc justement pas nécessaire de collecter ou de traiter soi-même les données, mais il suffit de déterminer les finalités et les moyens.

L'identité du responsable peut être définie par la loi, mais dans le cas contraire, elle doit être comprise de manière fonctionnelle : Il faut considérer la mesure dans laquelle les actions réelles sont entreprises par l'acteur en question. 

Si une entreprise décide des finalités et des moyens du traitement des données, ce n'est pas le collaborateur individuel qui est responsable, mais l'entreprise dans son ensemble. Lorsqu'une personne physique agit seule (par exemple l'employé), il faut donc toujours examiner si l'action est imputable à la personne elle-même ou à l'organisation pour laquelle elle travaille (par exemple l'entreprise).

Le responsable est tenu de rendre des comptes en vertu de l'article 5 II du RGPD. Il est donc responsable du respect des principes de protection des données énoncés à l'article 5 I du RGPD.

Une particularité apparaît en cas de responsabilité conjointe. Selon l'article 26 du RGPD, il peut y avoir responsabilité conjointe lorsque deux responsables ou plus déterminent les finalités et les moyens du traitement. Dans ce cas, il est essentiel que le traitement soit réellement commun. C'est le cas lorsque les finalités sont communes et que le traitement n'est possible que si tous les responsables y collaborent. En ce qui concerne l'intégration du bouton "J'aime" de Facebook dans un site web, la CJUE a confirmé une responsabilité commune de l'exploitant du site web et de Facebook. De même, plusieurs responsables peuvent participer conjointement à un traitement sans être conjointement responsables. C'est le cas lorsqu'il y a un simple échange de données, sans définition de finalités et de moyens communs.

Dans la pratique, il peut y avoir responsabilité conjointe en particulier lorsque le traitement d'un organisme n'est pas possible ou utile sans le traitement de l'autre organisme.

S'il existe une responsabilité conjointe, les responsables concernés doivent définir dans un accord, conformément à l'article 26 I du RGPD, lequel d'entre eux assume quelles obligations en matière de protection des données, comme par exemple les obligations d'information. Cet accord doit être transparent, c'est-à-dire qu'il doit indiquer les relations et fonctions réelles vis-à-vis des personnes concernées. Conformément à l'article 26 III du RGPD, la personne concernée peut néanmoins s'adresser à n'importe lequel des responsables pour faire valoir ses droits.

Les entreprises juridiquement indépendantes doivent toujours être considérées comme leurs propres responsables, ce qui doit être particulièrement pris en compte au sein d'un groupe. Les responsables des différentes parties d'un groupe d'entreprises se voient toutefois reconnaître par le considérant 48 du RGPD un intérêt légitime à échanger des données à caractère personnel au sein du groupe d'entreprises.

Sous-traitant

Le sous-traitant est défini à l'article 4, point 8, du RGPD comme toute personne physique ou morale, autorité publique, institution ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Il doit donc s'agir de quelqu'un d'autre que le responsable du traitement et cette personne doit agir pour le compte du responsable du traitement.

Le sous-traitant n'est pas lui-même responsable. Il agit uniquement sur les instructions du responsable. Le responsable du traitement reste responsable du respect des dispositions légales en matière de protection des données. Toutefois, si le sous-traitant passe outre son mandat et détermine lui-même les finalités et les moyens du traitement, il est considéré dans cette mesure comme responsable du traitement (article 28 X du RGPD).

Il convient d'évaluer au cas par cas la marge de manœuvre qui peut être laissée au sous-traitant dans le cadre du traitement, malgré le fait qu'il soit lié par des instructions. S'il a trop de responsabilité propre, il devient finalement responsable.

Dans la pratique, on parle de sous-traitant lorsque des activités d'assistance technique et des processus de traitement des données sont confiés à des prestataires de services externes. Les cas typiques de traitement à façon sont par exemple la destruction de documents, le stockage de données par des services en nuage ou le traitement de données dans des centres d'appel.

Si des données à caractère personnel sont divulguées au sous-traitant dans le cadre de sa mission, il est également le destinataire conformément à l'article 4, point 9, du RGPD.