Les différents acteurs d’un traitement de données
Dans le cadre d’un traitement de données, plusieurs acteurs peuvent intervenir.
Exemple : En cas d’utilisation d’un logiciel SAAS : utilisateur, fournisseur et/ou éditeur, hébergeur…
Afin de déterminer sur qui pèsent les différentes obligations et responsabilités, le RGPD[1] définit différentes catégories d’intervenants.
• Le responsable du traitement: la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement[2].
La finalité est le but poursuivi par le traitement (ex : la prospection commerciale). Sa détermination relève nécessairement du responsable du traitement.
On distingue les moyens essentiels[3] qui doivent relever du responsable du traitement, des moyens non essentiels qui peuvent relever du sous-traitant[4].
Schématiquement, les premiers correspondent davantage aux moyens organisationnels (ex : identification des données à traiter) et les seconds aux moyens techniques (ex : outils utilisés pour le traitement).
Il peut y avoir un ou plusieurs responsables du traitement. Dans cette seconde hypothèse, on parle de responsables conjoints. Les responsables conjoints peuvent avoir des rôles équivalents ou non, selon leur implication respective dans le traitement. Un accord doit définir leurs obligations respectives. Les grandes lignes de cet accord sont mises à la disposition de la personne concernée[5].
Exemple : un commerce mettant en place une carte de fidélité auprès de ses clients est responsable du traitement des données à caractère personnel y afférentes.
Exemple de responsables conjoints : deux entreprises qui développent ensemble un logiciel SAAS de RH
• Le sous-traitant: la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement[6].
Cette notion se distingue de celle visée par la loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance.
Le sous-traitant traite des données à caractère personnel dans l’intérêt du responsable du traitement et sur instruction documentée de sa part uniquement[7].
Le responsable du traitement ne peut faire appel qu’à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée[8].
Un contrat, dont le contenu est prévu par le RGPD, doit être conclu entre le responsable du traitement et le sous-traitant[9].
Il peut y avoir un ou plusieurs sous-traitants, de même niveau ou à la chaîne/en cascade[10].
Exemple : un hébergeur de données (=sous-traitant) auprès duquel une entreprise héberge les données à caractère personnel de ses clients (=responsable du traitement)
• Le destinataire: la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers[11].
Le destinataire peut donc être un responsable du traitement, un sous-traitant, ni l’un ni l’autre.
• Le tiers: une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel[12].
Exemple : une entreprise de nettoyage intervenant dans des locaux où sont stockés les dossiers du personnel[13].
Précisions
Peu importe la qualité de l’intervenant (personne physique/morale, publique/privée, dotée ou non de la personnalité juridique…)
Peu importe la qualification retenue par les intervenants eux-mêmes ou d’un commun accord entre eux. Seule importe la réalité factuelle[14]. Tout dépend donc du traitement en cause.
Exemple : un hébergeur sera sous-traitant du responsable du traitement qui héberge des données à caractère personnel sur ses datacenters ; le même hébergeur sera responsable du traitement des traitements qu’il effectue pour la gestion de son personnel.
En tous cas, la qualification retenue doit être justifiée et documentée.
La chose n’est pas aisée, les notions de responsable du traitement et de sous-traitant étant parmi les plus complexes du droit des données à caractère personnel. Une analyse fine s’impose.
Alors, avant de traiter des données à caractère personnel, anticipez et consultez !
Mon Cabinet d’avocat en droit des affaires situé à proximité de Laval, en Mayenne, est à votre disposition pour répondre à toutes vos questions !
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
[3] Ce sont « ceux qui sont étroitement liés à la finalité et à la portée du traitement, tels que le type de données à caractère personnel qui sont traitées («quelles données sont traitées?»), la durée du traitement («pendant combien de temps sont-elles traitées?»), les catégories de destinataires («qui aura accès aux données?») et les catégories de personnes concernées («à qui appartiennent les données à caractère personnel traitées?») », extraits du CEPD, Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, page 17, n°40
[4] Ce sont ceux qui « concernent des aspects plus pratiques de la mise en œuvre, tels que le choix d’un type particulier de matériel ou de logiciel ou les mesures de sécurité concrètes qui peuvent être laissées à la discrétion du sous-traitant. », extraits du CEPD, Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, page 17, n°40
[5] Article 26 du RGPD ; article 59 de la LIL (Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)
[7] Cf également article 61 de la LIL (Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)
[9] article 28, 3°, du RGPD ; article 60 de la LIL (Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)
[10] Sur autorisation écrite préalable, générale ou spéciale, du Responsable du traitement (article 28, 2°, du RGPD). Un contrat doit être conclu entre le sous-traitant initial et l’autre sous-traitant (article 28, 4°, du RGPD). Le sous-traitant initial demeure responsable envers le Responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations (article 28, 4°, du RGPD).
[13] Cf extraits du CEPD, Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, page 34, n°89
[14] Exemple : article 28, 10°, du RGPD
Voir aussi :
#8 RGPD : Le saviez-vous ? – Qu’est-ce qu’un traitement ?
#7 RGPD : Le saviez-vous ? – Données dites sensibles
#6 RGPD : Le saviez-vous ? – Quelle base légale pour un traitement ?
#5 RGPD : Le saviez-vous ? – To transfer ou not to transfer ?
#4 RGPD : Le saviez-vous ? – 2023, une année à fêter !
#3 RGPD : Le saviez-vous ? – Thématiques prioritaires de contrôle de la CNIL
#2 RGPD : Le saviez-vous ? – Donnée à caractère personnel
#1 RGPD : Le saviez-vous ? – Genèse de la LIL
AFCDP (RGPD)
RGPD et Syndicat : consultation de la CNIL
Open data des décisions de justice
Photo de MW sur Unsplash