La qualification de responsables conjoints de traitement implique l’obligation pour les acteurs de définir de manière transparente leurs obligations respectives aux fins d’assurer le respect de la réglementation en matière de données personnelles, et ce, par voie d’accord entre eux. Comment se matérialise de manière concrète cette obligation? Explications de maître Laurence Huin, avocate du Cabinet Houdart & Associés.
Après avoir déterminé la qualification des acteurs impliqués dans un traitement de données à caractère personnel, selon les critères exposés dans notre précédent article, il convient d’appliquer les obligations juridiques liées à cette qualification.
La qualification de responsables conjoints de traitement, retenue lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, fait l’objet d’un article spécifique du Règlement général européen sur la protection des données (RGPD). Les acteurs répondant à cette qualification se doivent de définir de manière transparente leurs obligations respectives aux fins d’assurer le respect de la réglementation en matière de données personnelles, et ce, par voie d’accord entre eux.
Le contenu de l’accord
L’objet de cet accord est de répartir les différentes obligations liées au traitement mis en œuvre par les responsables conjoints. En d’autres termes, cet accord doit permettre de déterminer qui fait quoi entre les différents responsables conjoints.
L’article 26 du RGPD prévoit que cette définition des obligations respectives entre responsables conjoints de traitement concerne «notamment» l’exercice des droits des personnes concernées ainsi que la communication des informations visées aux articles 13 et 14 du RGPD. Toutefois, cette définition des obligations ne doit pas se limiter à ces deux seules thématiques mais doit porter sur l’ensemble des exigences posées par la règlementation en matière de données personnelles.
A ce titre, le Comité européen à la protection des données (CEPD), rassemblant l’ensemble des autorités de contrôle européennes incluant la CNIL, a listé, dans son projet de lignes directrices sur les notions de responsable de traitement et de sous-traitant, de manière là encore non exhaustive, les différentes obligations qui doivent être traitées dans l’accord. Cet accord devra donc définir les responsabilités respectives de chacun des responsables conjoints notamment sur les obligations relatives à:
– la mise en œuvre des principes généraux (article 5 du RGPD) ;
– la base légale du traitement (Article 6 du RGPD) ;
– les mesures de sécurité (article 32 du RGPD) ;
– la notification d’une violation de données personnelles à l’autorité de contrôle et aux personnes concernées (article 33 et 34 du RGPD) ;
– les analyses d’impact (articles 35 et 36 du RGPD) ;
– le recours aux sous-traitants (chapitre V du RGPD).
L’accord peut également prévoir la désignation d’un point de contact pour les personnes concernées. Cette désignation, sans qu’elle ne soit obligatoire, est recommandée pour coordonner au mieux les demandes des personnes concernées et faciliter la communication.
La forme de l’accord
Si la forme de l’accord visé par le RGPD reste libre, le CEPD recommande que cet accord revête un caractère contraignant afin qu’il puisse être opposé aux autres responsables conjoints du traitement, en cas de non-respect des obligations définies.
Dès lors, un contrat écrit sera la forme la plus appropriée et permettra également de se conformer au principe d’accountability, qui impose aux responsables de traitement d’être en mesure, à tout moment de démontrer le respect de leurs obligations. De manière concrète, on pourrait ainsi envisager d’annexer à ce contrat une matrice de responsabilités pour chacun des responsables conjoints sous forme de tableau.
Par ailleurs, l’attribution de ces obligations au sein de ce contrat ne doit pas nécessairement être équivalente entre les différents responsables conjoints du traitement. En effet, il est prévu que cet accord doit «refléter dûment» les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Ainsi, si un des responsables conjoints est en contact direct avec les personnes concernées, il sera plus à même de les informer et répondre à leurs demandes.
Outre son obligation légale, on comprend l’utilité d’un tel accord entre responsables conjoints de traitement pour assurer la bonne mise en œuvre concrète de l’ensemble des obligations prévues par la réglementation en matière de données personnelles.
Maître Laurence Huin, avocate du Cabinet Houdart & Associés.