En matière de protection de données personnelles, lorsqu’un traitement de données personnelles implique l’intervention de plus d’une seule partie, l’une des premières questions à se poser est: agissent-ils en tant que responsable de traitement ou sous-traitant? afin de comprendre les responsabilités de chacun
Le nouveau règlement européen sur la protection des données (GDPR) applicable à partir de mai 2018 reconnaît trois types de relations entre les parties prenantes à un traitement de données:
  • Responsable de traitement à sous-traitant
  • Responsables conjoints de traitements
  • Responsable de traitement à responsable de traitement
En raison de la multiplication des services fournis par un même prestataire de service, il devient de plus en plus complexe de déterminer le rôle de chaque partie impliquée dans les activités de traitement de données personnelles.
En effet, lorsqu’un tiers est autorisé à utiliser les mêmes données personnelles pour rendre différents services, il peut être un responsable de traitement pour un service et un sous-traitant pour l’autre. Cette situation peut être source de confusion et les professionnels ont différentes approches quant à la façon de gérer ce type de situation.
Le but de cet article est d’expliquer les raisons pour lesquelles il est important de déterminer le rôle de chaque partie à un traitement de données ainsi que de fournir quelques exemples pour aider à comprendre le raisonnement à suivre lorsqu’il s’agit de services complexes.
1. Pourquoi est-il si important de savoir si l’on agit en tant que responsable ou sous-traitant?

Il est important de répondre à cette question pour des raisons de responsabilités des parties à un traitement.

Le responsable de traitement supporte la plupart des responsabilités. En vertu du GDPR et des lois actuelles en matière de protection des données applicables dans l’Union européenne, le responsable de traitement supporte la plupart des responsabilités en termes de conformité des traitements à la loi (voir ses obligations ici).

Un responsable de traitement est responsable vis-à-vis des personnes concernées et vis-à-vis des autorités qui peuvent contrôler et sanctionner les responsables de traitement en cas de violation de la loi.

Les sous-traitants n’ont aucune responsabilité légale en vertu des lois européennes actuelles. Pour cette raison, les responsables de traitement ont l’obligation légale de conclure un contrat avec ses sous-traitants afin de garantir au moins leur responsabilité contractuelle en cas de violation de la législation.

Toutefois,  à partir de mois du mai 2018, les sous-traitants auront quelques obligations et responsabilités légales en particulier en termes de sécurité des données (plus de détails ici). Ils pourront être responsables vis à vis des autorités et être sanctionnés en cas de violation de leurs obligations. Néanmoins, ces responsabilités étant moindres et différentes de celles du responsable de traitement, un contrat entre les deux sera toujours obligatoire.

Par conséquent, il est important d’identifier les rôles des parties à un traitement puisqu’en fonction de leur rôle, ils auront des responsabilités différentes et le contrat entre eux devra être adapté en conséquence.

2. Qu’est ce qu’un responsable de traitement et un sous-traitant ?

Selon le GDPR, le responsable du traitement est «la personne physique ou morale, une autorité publique, une agence ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel;

Un «sous-traitant » est une «personne physique ou morale, autorité publique, agence ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement»;

«Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou du sous-traitant qui a accès aux données à caractère personnel ne traitent ces données que sur instructions du responsable de traitement, à moins que cela ne soit requis par la législation de l’Union ou des États membres. (Art. 29)

En résumé, le responsable de traitement est celui qui contrôle le traitement de données et prend toutes les décisions importantes alors que le sous-traitant ne fait qu’agir sur instruction du premier et n’utilise pas les données pour son propre compte.

Cependant, dans la pratique, il n’est pas toujours facile de faire une distinction entre le responsable de traitement et le sous-traitant, notamment en raison de la complexité des services fournis.

3.Comment savoir si un tiers est un responsable de traitement ou un sous-traitant ?

Lorsqu’au moins un tiers est impliqué dans un traitement de données personnelles, il existe trois types de relations entre le responsable du traitement des données et le tiers destinataire des données (voir introduction).

Voici ci après des exemples concret afin de mieux appréhender la distinction.

Ces exemples ne prennent en compte que le situation bipartite. S’il y a plus d’un tiers destinataires des données, ces tierces parties peuvent être sous-traitante et/ou  reponsable de traitement selon le rôle de chacun dans le traitement et leur utilisation des données.

Exemple 1: Relation de responsable de traitement à sous-traitant

Une entreprise A gère son commerce en ligne et son site Web. Les données personnelles des clients collectées sur le site Web sont hébergées par une entreprise B qui ne peut qu’héberger les données. Tout autre usage lui est interdit.

Dans ce cas, A est un responsable de traitement de données, et B agit en tant que sous-traitant puisqu’il n’agit que sous les instructions de A et n’utilisera pas les données pour ses propres besoins.

Exemple 2: Relation entre responsable de traitement et responsable de traitement

La même société A a décidé de vendre une copie de sa base de données clients à la Société C pour ses activités de marketing direct.

Une fois la transaction acceptée, les données seront transférées de A à C et A ne sera pas impliqué et ne bénéficiera pas des activités de traitement de données de C.

Dans ce cas, les deux parties agissent comme responsable de traitements de données pour leurs propres activités de traitement et restent indépendantes l’une de l’autre. Il s’agit d’une relation responsable de traitement-responsable de traitement.

Exemple 3: Relation de responsables conjoint de traitement

A et C décident de conclure un partenariat et de promouvoir un produit.

Ils ont mis en place un site Web commun, avec une base de données commune des clients, ils sont tous deux impliqués dans la prestation des services. C sera en charge de la mise en place du site web, A de l’hébergement de la base de données et de l’envoi de marketing direct pour le compte de A et C.

Dans ce cas, A et C sont des responsable de traitements conjoints. Cela signifie qu’ils ont des activités de traitement de données en commun et qu’ils devraient conclure un contrat pour convenir lequel d’entre eux est responsable de chacune des obligations prévues dans le GDPR (sécurité, informations des personnes concernées, demande de traitement, etc.)

4.Qu’en est-il si les mêmes données personnelles sont utilisées à des fins multiples par le destinataire ?

Une situation plus complexe et néanmoins commune est le cas où une entreprise A et une entreprise B partagent des données personnelles à des fins diverses pour lesquelles B pourrait agir en tant que sous-traitant, responsable conjoint de traitement  ou responsable de traitement indépendant en fonction de la finalité de chaque traitement.

Il est important de distinguer cette situation de celle où deux parties A et B partagent différentes catégories de données personnelles à des fins différentes (par exemple, A transmet à B les données des clients pour le marketing direct et les données des salariés pour la gestion de la paie). Dans ce cas, ce qui suit ne s’applique pas car ces traitements de données sont totalement distinct et pourrait faire l’objet de contrat différent.

Cette section concerne par exemple le cas où A demande à B d’héberger sa base de données clients et permet à B d’utiliser la base pour son propre marketing direct. Ils conviennent également que B effectuera du profilage et partagera le résultat avec A de sorte que A et B puisse mieux cibler leurs clients lorsqu’ils envoient leur marketing direct respectif.

Dans ce cas, les mêmes données personnelles transmises par A sont utilisées à des fins différentes par B.

Première approche / étape: établir le rôle de chaque partie par finalité / services fournis

Dans la mesure où les mêmes données à caractère personnel sont utilisées pour atteindre les objectifs susmentionnés, le rôle de chaque partie pour chaque finalité de traitement serait le suivant:

  • Hébergement: B est un sous-traitant de données de A tel qu’il est exécuté sur une instruction
  • Marketing direct: chaque partie est indépendante, A et B sont des responsable de traitements « indépendants » à cet effet
  • Profilage: il s’agit de moyens et de buts communs et, par conséquent, les deux parties doivent être considérées  responsable conjoint de traitement.

Il est important d’être conscient du rôle de chaque partie par finalité de traitement pour rédiger un contrat (voir ci-dessous).

Certains spécialistes se satisferont de cette approche. Toutefois, elle peut être insatisfaisante en raison de la définition juridique de sous-traitant.

Seconde approche/étape : prise en compte de chaque objectif dans son ensemble

Les contradictions relatives au fait d’être à la fois resonsable et sous traitant des même données.

Comme mentionné ci-dessus, un sous-traitant agit uniquement sur instruction du responsable de traitement.

Si l’on reprend notre exemple précédent, comment B peut-il agir uniquement sur instruction de A lorsqu’il héberge les données s’il peut les utiliser pour ses propres activités de profilage et de marketing direct?

D’une manière plus pragmatique, en cas de violation des données personnelles à cause d’un problème dans les serveurs de B, pourquoi A serait-il le seul à devoir notifier l’autorité de contrôle voire les clients alors qu’il s’agit également des clients de B (direct marketing et profilage) ?

Il est préférable de considérer le tiers comme un responsable de traitement …

Pour ces raisons, lorsqu’il est question de déterminer le rôle d’un tiers fournissant plusieurs services concernant les mêmes données personnelles, il est préférable de prendre l’ensemble des finalités des traitements et de déterminer quel rôle reflète le mieux la relation entre les deux parties.

Dans notre exemple, comme B est à la fois un sous-traitant et un responsable de traitement concernant les données personnelles transmises par A et étant donné qu’ils ont des activités de profilage en commun, A et B devraient être considérés comme des responsables de traitements conjoints pour toutes les activités de traitement afin d’éviter toute contradiction.

sans oublier qu’il a également des activités similaires à un sous-traitant.

Cependant, considéré que B est un responsable conjoint de traitement  ne signifie pas pour autant qu’il ne puisse avoir d’obligations similaires à celles d’un sous-traitant. Il serait seulement incohérent d’affirmer dans un contrat qu’il n’agit que sur l’instruction de A. Il conviendra alors d’adapter le contrat en fonction des services rendus et des risques pris. Si par exemple, il y a une prestation d’hébergement des données, les clauses relatives à la sécurité devront être renforcées et similaires à celles que l’on pourrait trouver dans un contrat avec un sous-traitant.

En conclusion:

Compte tenu de la complexité croissante des services fournis par des tiers, il est de plus en plus difficile de déterminer le rôle de chaque partie et de rédiger des clauses adaptés. Il faudra avoir une connaissance de plus en plus spécifique des prestations rendus, des données traités et des finalités exactes par données afin de pouvoir rédiger un contrat de partage de données. Cette démarche complexe peut prendre beaucoup de temps et n’est pas toujours adapté à la réalité de l’entreprise.   Malheureusement, l’enjeux devenant de plus en plus important,  cela devient indispensable.

Ce article est également disponible en en_GB.

Partage

Responsable de traitement ou sous-traitant ?
Étiqueté avec :