Traitement des données personnelles : êtes-vous sous-traitant ou responsable, telle est la question ?

Charles Cuvelliez et Jean-Jacques Quisquater

Publié le 11 septembre 2020 à 08:11 - Mis à jour le 14 septembre 2020 à 09:56

Photo d'illustration

OPINIONS. Ce sont des lignes directrices bienvenues des CNIL européennes qui ont été publiées pour consultation le 7 septembre dernier. Elles clarifient un casse-tête pour appliquer correctement le RGPD sur les limites (controversées sur le terrain) entre les rôles de responsable du traitement des données personnelles (data controller) et d'exécutant ou sous-traitant. Par Charles Cuvelliez, de l’université de Bruxelles, et de Jean-Jacques Quisquater, de l’université de Louvain (*).

Les lignes directrices, publiées sous l'égide de l'European Data Protection Board (EDPB) qui regroupe les CNIL des 28 Etats membres et des 3 Etats associés à l'UE, clarifient également le cas de plus en plus fréquent, en pratique, de plusieurs responsables à la fois du traitement des données.

Tout le monde peut être responsable du traitement des données, tant des personnes physiques que morales mais la pratique veut que ce soit plus l'entreprise elle-même et non son CEO ou un employé désigné qui agit comme tel. C'est préférable pour éviter toute responsabilité individuelle indue ou injuste.

Critère pour être responsable du traitement (qu'on le veuille ou non)

C'est le responsable du traitement qui décide des éléments clés de ce traitement. Parfois, ce que contient le traitement va de soi, lorsqu'il s'agit d'un employeur qui est bien obligé de manipuler des données personnelles de ses employés ou d'une association vis-à-vis de ses membres. Dans les autres cas, c'est un contrat entre une personne et une entreprise qui devrait déterminer clairement qui est le responsable du traitement. Le responsable du traitement décide à la fois l'objectif du traitement (le pourquoi) et les moyens (le comment). Il n'est même pas obligatoire, dit l'European Data Protection Board (EDPB), que le responsable du traitement ait réellement accès aux données.

Responsables conjointement

Il peut y a voir plusieurs responsables pour un seul traitement des données (joint data controller) : la question est toujours délicate à trancher sur le terrain. On a tendance à mettre dans la catégorie joint controller le sous-traitant (exécutant) mais à chacun son rôle. On est joint controllers si les responsables de traitement prennent bien ensemble une décision en commun sur le but et les moyens à mettre en œuvre pour le traitement des données. Dès que le traitement des données ne peut pas se faire l'un sans l'autre, les deux entités impliquées dans ce dernier héritent du statut de joint controller.

Les responsables conjoints du traitement de données doivent définir précisément leurs champs de responsabilité pour bien respecter le RGPD. Ce doit être particulièrement le cas pour l'exercice des droits des personnes concernées par le traitement de leurs données et leur information. Il faut aussi clairement définir qui devra notifier une brèche de donnée, qui prend en charge les DPIA (les fameux data protection impact assessment qui analysent les conséquences et les risques d'un traitement de données personnelles), l'utilisation des sous-traitants, le transfert dans des pays tiers.

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Chaque data controller a le devoir de s'assurer pour lui-même, dans son périmètre, que le traitement des données qu'il va faire est bien légal (c'est-à- dire est fait dans le but initial qui a accompagné la collecte des données). La responsabilité n'est pas commune, semble dire l'EDPB.

La forme légale qui doit lier les deux joint controllers n'est pas précisée par le RGPD mais l'EDPB recommande que cet accord soit un document qui les lie, un contrat ou un acte légal qui est couvert par la législation du pays membre où se trouvent les joint controllers (quid du cas où ils sont établis dans deux pays membres différents ?).

Etre sous-traitant

Quand est-on alors simplement sous-traitant ou exécutant (data processor).On est exécutant que si on est une entité clairement séparée du responsable du traitement. Le sous-traitant ne dispose d'aucune marge de manoeuvre pour traiter les données à sa sauce, autrement que en suivant les instructions du data controller. La seule marge de manœuvre pour l'exécutant est le choix sur les moyens techniques et organisationnels à mettre en œuvre pour atteindre le but visé par le data controller. Un sous-traitant devient un data controller avec toutes les responsabilités qui lui incombent s'il va au-delà des instructions du controller, avec les sanctions ad hoc à la clé.

Le controller ne peut pas prendre n'importe qui comme sous-traitant. Il a le devoir de choisir des entités qui offrent des garanties suffisantes techniques et organisationnelles pour respecter le RGPD. L'expertise relative à la sécurité et aux brèches de données est essentielle, amateurs s'abstenir.... Les ressources du sous-traitant, son adhésion à des codes de conduite ou des certifications sont recommandées.

Il doit y avoir un contrat entre le sous-traitant et le controller : il peut être standard mais peut aussi être particularisé. Par contre, s'il est standard, il ne s'agit pas de simplement répéter ce que le RGPD contient mais au contraire de décrire comment ils vont respecter le RGPD au jour le jour.

Ces lignes directrices devraient enlever le flou que les praticiens du RGPD rencontrent tous les jours sur la délimitation de leurs responsabilités liées au RGPD.

_________________