Face aux qualifications de responsable de traitement, responsable conjoint et sous-traitant, notions fondamentales du RGPD parfois complexes, Maître Laurence HUIN, du cabinet Houdart&Associés, propose quelques rappels essentiels et des exemples concrets pour mieux appréhender la protection des données personnelles.
Notions fondamentales à la bonne compréhension et à l’application du Règlement général européen sur la protection des données personnelles (RGPD), les qualifications de responsable de traitement, responsable conjoint et sous-traitant ne sont pas toujours aisées. Or, bien que parfois complexe, la qualification retenue joue un rôle crucial dans l’application du RGPD et déterminera les obligations et la responsabilité en matière de protection des données personnelles pouvant s’élever, on le rappelle, jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial.
C’est la raison pour laquelle le Comité européen à la protection des données (CEPD), rassemblant l’ensemble des autorités de contrôle européennes incluant la CNIL, a publié un nouveau projet de lignes directrices sur les notions de responsable de traitement et de sous-traitant. Tentons de revenir sur ces qualifications de manière concrète par des exemples.
Le responsable de traitement
Cette notion est définie comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul, détermine les finalités et les moyens du traitement. Ainsi, un responsable de traitement détermine le «pourquoi» (c’est-à-dire les utilisations, les objectifs du traitement de données personnelles) et le «comment» (c’est-à-dire les moyens employés pour atteindre les finalités).
Dans le cadre des GHT, la CNIL s’est prononcée sur les qualifications des établissements parties au GHT et l’établissement support: «Dès lors que l’établissement partie au GHT (y compris l’établissement support) définit les moyens et les finalités du traitement, il est responsable de traitement pour les traitements qu’il met en œuvre. Il n’y a pas de transfert automatique de responsabilité au profit du GHT ou de l’établissement support au regard de la loi Informatique et libertés, à l’exception des traitements de données nominatives nécessaires à l’analyse de l’activité médicale pour lesquels l’établissement support du GHT est responsable de traitement».
Le responsable conjoint de traitement
Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont responsables conjoints du traitement .
Le Comité Européen de la Protection des Données (CEPD) dans ses lignes directrices donne l’exemple d’un projet de recherche mis en œuvre par plusieurs instituts. Ces différents acteurs décident de participer à un projet conjoint spécifique de recherche et d’utiliser à cette fin la plateforme existante d’un des instituts impliqué dans le projet. Dans cet exemple, il est précisé que chaque institut intègre au sein de la plateforme des données personnelles qu’il détenait pour les besoins de la recherche conjointe et utilise les données fournies par les autres instituts au travers de la plateforme pour mener à bien la recherche.
Le CEPD estime dans ce contexte que l’ensemble des instituts est qualifié de responsable de traitement conjoint concernant le traitement des données personnelles relatif à la conservation et la divulgation des informations à partir de la plateforme. Chaque institut sera cependant unique responsable de traitement sur les autres traitements qu’ils peuvent mettre en œuvre en dehors de la plateforme pour leurs besoins respectifs.
Le sous-traitant
Le sous-traitant est défini comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Le sous-traitant est nécessairement une entité distincte du responsable de traitement.
Le CEPD rappelle qu’un prestataire proposant des services préétablis et standardisés, tel qu’un service SAAS, pourra être qualifié de sous-traitant au sens de la réglementation en matière de données personnelles ; le responsable de traitement restant maître du choix de recourir à ce service et de l’activer.
Une fois ces qualifications établies après une analyse au cas par cas selon les activités concrètes de chacun, les obligations spécifiques à chaque acteur pourront ainsi être mises en œuvre, notamment la conclusion des contrats entre responsables conjoints (article 26 du RGPD) et entre responsable de traitement et sous-traitant (article 28) et qui fera l’objet d’un prochain article.
Maître Laurence HUIN, cabinet Houdart&Associés