Lorsqu’un traitement de données personnelles implique l’intervention de plusieurs parties, il est important de savoir en quelle qualité ces parties agissent. En d’autres termes, agissent-elles en tant que responsable de traitement ou sous-traitant?  La réponse à cette question permet de comprendre les responsabilités de chacune des parties.
Le nouveau règlement européen sur la protection des données (RGPD) reconnaît trois types de relations entre les parties prenantes à un traitement de données:
  • Responsable de traitement à sous-traitant
  • Responsables conjoints de traitements
  • Responsables de traitement indépendants
En raison de la multiplication des services fournis par un même prestataire de service, il devient de plus en plus complexe de déterminer le rôle de chaque partie impliquée dans les activités de traitement de données personnelles.
En effet, lorsqu’un tiers est autorisé à utiliser les mêmes données personnelles pour rendre différents services, il peut être un responsable de traitement pour un service et un sous-traitant pour l’autre. Cette situation peut être source de confusion et différentes approches peuvent être explorées quant à la façon de gérer ce type de situation, notamment au niveau contractuel.
Le but de cet article est d’expliquer les raisons pour lesquelles il est important de déterminer le rôle de chaque partie à un traitement de données ainsi que de fournir quelques exemples pour aider à comprendre le raisonnement à suivre lorsqu’il s’agit de services complexes et qu’un contrat est nécessaire.
1. Pourquoi est-il si important de savoir si l’on agit en tant que responsable ou sous-traitant?

Il est important de répondre à cette question pour des raisons de responsabilités des parties à un traitement.

Le responsable de traitement supporte la plupart des responsabilités. En vertu du RGPD et des lois actuelles en matière de protection des données applicables dans l’Union européenne, le responsable de traitement supporte la plupart des responsabilités relatives à la conformité des traitements (voir ses obligations ici).

Un responsable de traitement est responsable vis-à-vis des personnes concernées et vis-à-vis des autorités qui peuvent contrôler et sanctionner les responsables de traitement en cas de violation de la loi. Ainsi, s’il fait appel à un sous-traitant, le responsable de traitement demeure responsable des fautes de son sous-traitant. Pour cette raison, les parties doivent conclure un contrat afin de s’assurer que le responsable de traitement puisse répondre à ses obligations légales lorsqu’il délégue des traitements à des sous-traitants.

Les sous-traitants ont également des obligations et responsabilités mais celles-ci sont limitées. Il s’agit essentielment d’obligations relatives à la sécurité des données (plus de détails ici). Ils pourront être responsables vis à vis des autorités et être sanctionnés en cas de violation de leurs obligations. Néanmoins, ces responsabilités étant moins nombreuses et différentes de celles du responsable de traitement, un contrat entre les deux parties est obligatoire afin que le responsable de traitement s’assure que son sous-traitant ne le rendra pas

Par conséquent, il est important d’identifier les rôles des parties à un traitement puisqu’en fonction de leur rôle, ils auront des responsabilités différentes et le contrat entre eux devra être adapté en conséquence.

2. Qu’est ce qu’un responsable de traitement et un sous-traitant ?

Selon l’article 4 du RGPD, le responsable du traitement est «la personne physique ou morale, une autorité publique, une agence ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel;

Un «sous-traitant » est une «personne physique ou morale, autorité publique, agence ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement»; «Le sous-traitant (…) ne traite ces données que sur instructions du responsable de traitement, à moins que cela ne soit requis par la législation de l’Union ou des États membres ». (Art. 29)

Ainsi, le responsable de traitement est celui qui contrôle le traitement de données et prend toutes les décisions importantes alors que le sous-traitant ne fait qu’agir sur instruction du premier et n’utilise pas les données pour son propre compte.

Cependant, dans la pratique, il n’est pas toujours aisé de distinguer le responsable de traitement du sous-traitant, notamment en raison de la complexité des services fournis.

3.Comment savoir si un tiers est un responsable de traitement ou un sous-traitant ?

Lorsqu’au moins un tiers est impliqué dans un traitement de données personnelles, ce tiers peut agir en tant que sous-traitant, responsable conjoint ou responsable indépendant du traitement (voir introduction).

Voici ci après des exemples concret afin de mieux appréhender la distinction.

Ces exemples ne prennent en compte que le situation bipartite. S’il y a plus d’un tiers destinataires des données, le même raisonnement peut être suivi pour chacune des parties.

Exemple 1: Responsable de traitement – Sous-traitant

Une entreprise A gère son commerce en ligne et son site Web. Les données personnelles des clients collectées sur le site Web sont hébergées par une entreprise B qui ne fait qu’héberger les données. Tout autre usage lui est interdit.

Dans ce cas, A est un responsable de traitement de données, et B agit en tant que sous-traitant puisqu’il n’agit que sous les instructions de A et n’utilisera pas les données pour ses propres besoins.

Exemple 2:  Responsables de traitement indépendants

La même société A  décide de vendre une copie de sa base de données clients à la Société C pour ses activités de prospection commerciale.

Les données clients seront transférées de A à C et A ne sera pas impliqué et ne bénéficiera pas des activités de prospection commerciales mises en oeuvre par C. Chacune des parties agit de son côté.

Dans ce cas, les deux parties agissent comme responsable de traitements de données pour leurs propres activités de traitement et sont indépendantes l’une de l’autre. Chacune sera responsable de la conformité de leur traitement respectif. Elles peuvent toutefois prévoir que A devra garantir que le partage des données avec C est conforme avec la loi (ex: les personnes concernées ont été informées et ont consenti au partage des données à des fins de prospection commerciale).

Exemple 3: Responsables conjoints de traitement

A et C décident de conclure un partenariat et de promouvoir un produit.

Ils ont mis en place un site Web commun, avec une base de données clients commune. Ils sont tous deux impliqués dans la prestation des services. C sera en charge de la mise en place du site web, A de l’hébergement de la base de données et de l’envoi de marketing direct pour le compte de A et C.

Dans ce cas, A et C sont des responsable de traitements conjoints. Cela signifie qu’ils ont des activités de traitement de données en commun et qu’ils devraient conclure un contrat pour convenir lequel d’entre eux est responsable de chacune des obligations prévues dans le RGPD (sécurité, informations des personnes concernées, demande de traitement, etc.)

4.Qu’en est-il si les mêmes données personnelles sont utilisées à des fins multiples par le destinataire ?

Une situation plus complexe et néanmoins commune est le cas où une entreprise A et une entreprise B partagent des données personnelles à des fins diverses pour lesquelles B pourrait agir en tant que sous-traitant, responsable conjoint de traitement  ou responsable de traitement indépendant en fonction de la finalité de chaque traitement.

Cette section concerne par exemple le cas où A demande à B d’héberger sa base de données clients et permet à B d’utiliser cette même base de données pour ses propres activités de prospection commerciales. Ils conviennent également que B effectuera du profilage et partagera le résultat avec A de sorte que A et B puisse mieux cibler leurs clients lorsqu’ils envoient leurs campagnes marketing respectives.

Dans ce cas, les mêmes données personnelles transmises par A à B pour diverses finalités pour lesquelles B joue un rôle différents.

Première étape: établir le rôle de chaque partie par finalité / service fourni

Dans la mesure où les mêmes données à caractère personnel sont utilisées pour atteindre les objectifs susmentionnés, le rôle de chaque partie pour chaque finalité de traitement serait le suivant:

  • Hébergement: B est un sous-traitant de données de A
  • Prospection commerciale: chaque partie est indépendante, A et B sont des responsable de traitements « indépendants » à cet effet
  • Profilage: il s’agit de moyens et de buts communs et, par conséquent, les deux parties doivent être considérées  responsable conjoint de traitement à cet égard.

Il est important d’être conscient du rôle de chaque partie par finalité de traitement pour rédiger un contrat (voir ci-dessous).

Seconde étape : prise en compte des objectifs dans leur ensemble

Si l’on se contente de déterminer les rôles de chaque partie par opérations de traitement, des contradictions apparaissent en pratique,  notamment dans le cadre des contrats. 

Comme mentionné ci-dessus, un sous-traitant agit uniquement sur instruction du responsable de traitement.

Dans le cadre de notre exemple, si B ne peut agir que sur instruction lorsqu’il héberge les données de A, il viole le contrat dès lors qu’il fait du profilage ou utilise les données à des fins de prospection commerciale.

En cas de violation des données personnelles à cause d’un problème dans les serveurs de B, qui, de A ou B, est responsable légalement de notifier les autorités ? Quid de la durée de conservation des données etc.?

Il est donc préférable de considérer l’activité dominante du tiers vis à vis des différents traitements …

Pour ces raisons, lorsqu’il est question de déterminer le rôle d’un tiers fournissant plusieurs services concernant les mêmes données personnelles, il est préférable de prendre l’ensemble des finalités des traitements et de déterminer quel rôle reflète le mieux la relation entre les deux parties.

Dans notre exemple, comme B est à la fois un sous-traitant et un responsable de traitement concernant les données personnelles transmises par A et étant donné qu’ils ont des activités de profilage en commun, A et B devraient être considérés comme des responsables de traitements  pour toutes les activités de traitement afin d’éviter les contradictions. En effet, l’hébergement des données n’est qu’une opération secondaire dans ce cas, la finalité principale étant le profilage et la prospection commerciale.

sans oublier, dans le contrat, qu’il a également des activités similaires à un sous-traitant.

Cependant, considéré que B est un responsable  de traitement  ne signifie pas pour autant qu’il ne puisse avoir d’obligations similaires à celles d’un sous-traitant. Il serait seulement incohérent d’affirmer dans un contrat qu’il n’agit que sur l’instruction de A. Il est préférable de déterminer avec précision les obligations de chacun vis à vis des traitements. Il conviendra alors d’adapter le contrat en fonction des services rendus et des risques pris. Si par exemple, il y a une prestation d’hébergement des données, les clauses relatives à la sécurité devront être renforcées et similaires à celles que l’on pourrait trouver dans un contrat avec un sous-traitant.

En conclusion:

Compte tenu de la complexité croissante des services fournis par des tiers, il est de plus en plus difficile de déterminer le rôle de chaque partie et de rédiger des clauses adaptés. Il est nécessaire d’avoir une connaissance de plus en plus spécifique des prestations rendus, des données traitées et des finalités exactes par données afin de pouvoir rédiger un contrat de partage de données. Cette démarche complexe peut prendre beaucoup de temps et n’est pas toujours adapté à la réalité de l’entreprise.   Malheureusement, l’enjeux devenant de plus en plus important,  cela devient indispensable.

Partage

Responsable de traitement ou sous-traitant ?
Étiqueté avec :