Responsable de traitement ou sous-traitant ?

En vertu du Règlement général sur la protection des données (RGPD), toute personne (y compris les organisations) traitant des données à caractère personnel est soumise à un niveau différent d’obligations et de responsabilités , selon qu’elle agit en tant que sous-traitant, responsable ou responsable conjoint du traitement.

En effet, leurs obligations et responsabilités au titre du RGPD découlent de leur rôle dans les opérations de traitement en jeu. Ainsi, les responsables du traitement assument la plupart des responsabilités, tandis que les sous-traitants ne doivent agir que sur instruction du responsable du traitement et sont donc soumis à moins d’obligations.

Lorsque plusieurs parties sont impliquées dans le même traitement ou dans un ensemble de traitements de données à caractère personnel, la première question à laquelle il faut répondre est la suivante : agissent-elles en tant que responsables du traitement ou en tant que sous-traitants ?

La réponse à cette question aidera à rédiger l’accord/les clauses de protection des données et à attribuer les obligations RGPD  à l’une ou l’autre des parties impliquées dans les opérations de traitement. Ce sera également la première question à laquelle toute autorité ou tout juge répondra avant de décider d’une sanction ou d’accorder une indemnité.

Le Comité européen de la protection des données  (CEPD) a mis à jour ses lignes directrices (juillet 2021) sur la manière de déterminer si une partie à un traitement de données agit en tant que sous-traitant, responsable de traitement ou responsable conjoint de traitement en prenant en compte les récentes décisions de la Cour de justice européenne.  Toutefois, ces lignes directrices peuvent prêter à confusion pour les nouveaux venus.

L’objectif de cet article est d’expliquer la raison pour laquelle il est important de déterminer le rôle de chaque partie aux opérations de traitement des données personnelles et de fournir quelques exemples et des moyens possibles de gérer des situations complexes.

 1. Pourquoi est-il important de déterminer si l’on agit en tant que responsable du traitement ou en tant que sous-traitant ?

Il est crucial de déterminer le rôle de chaque partie impliquée dans un ensemble d’opérations de traitement de données, car leurs responsabilités sont différentes selon leur rôle.

1.1. Les responsables du traitement sont légalement responsables de la conformité de leurs opérations de traitement avec le RGPD et sont responsables vis-à-vis des personnes et des autorités qui peuvent les auditer et les sanctionner en cas de violation du règlement (voir les obligations du responsable du traitement ici).

1.2. Les obligations et responsabilités légales des sous-traitants sont limitées (par exemple, la sécurité : voir l’article ici) et pour cette raison, les responsables de traitement et les sous-traitants ont l’obligation légale de conclure un contrat pour s’assurer que le sous-traitant ne fait pas courir au responsable de traitement le risque d’une violation du RGPD. Toutefois, lorsqu’un sous-traitant enfreint l’une de ses rares obligations légales (par opposition aux obligations contractuelles), il reste responsable envers les autorités et les personnes concernées.

2. Que signifient les termes « traitement », « responsable du traitement » et « sous-traitant » ? 

2.1. Le responsable du traitement détermine les finalités et les moyens (essentiels) du traitement et peut agir seul ou conjointement avec d’autres. 

En d’autres termes, il prend toutes les décisions importantes concernant les opérations de traitement. 

2.2. Le sous-traitant est un tiers qui n’agit que pour le compte du responsable du traitement et qui suit ses instructions, sauf si le droit de l’Union ou des États membres l’y oblige. 

2.3.  Un traitement de données est, selon le RGPD, toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit ou non par des moyens automatisés, tels que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

Compte tenu de la complexité croissante de certains services, il n’est pas toujours aisé de faire la distinction entre responsable du traitement et sous-traitant dans la pratique.

3. Comment déterminer si un destinataire de données est un responsable de traitement ou un sous-traitant ? 

Lorsqu’une organisation agit seule, elle est responsable du traitement (par exemple, une entreprise qui gère son activité en ligne et héberge son site web) et il n’y a pas de sous-traitant.

En revanche, lorsque le responsable du traitement partage ses données à caractère personnel avec un tiers, ce dernier peut agir en tant que responsable indépendant ou conjoint, ou sous-traitant.

Compte tenu du nombre infini de situations possibles, il s’est avéré impossible de fournir une analyse exhaustive. Par conséquent, les exemples fournis ci-dessous visent à donner une idée des manières possibles de traiter les différents types de situations liées au traitement des données. 

3.1. Relation Responsable de traitement / Sous-traitant

Comme expliqué ci-dessus, un destinataire de données est un sous-traitant lorsqu’il n’agit que sur instruction du responsable du traitement.

En pratique, cela signifie que le destinataire n’utilise pas les données à caractère personnel pour son propre bénéfice/finalité et ne décide ni de la finalité ni des moyens essentiels du traitement. En d’autres termes, il ne doit rien décider qui soit étroitement lié à la finalité du traitement (par exemple, le type de données, la période de conservation des données, les catégories de personnes concernées, les autres destinataires des données, etc.) ). En revanche, il peut décider du type de logiciel à utiliser ou des mesures de sécurité spécifiques à mettre en œuvre (« moyens non essentiels de traitement »).

Par exemple, l’entreprise A gère son activité en ligne et décide de sous-traiter le stockage des données de ses clients à l’entreprise B.

Dans cet exemple, A est un responsable du traitement et B un sous-traitant car ce dernier n’agit que sur les instructions de A et n’utilisera pas les données à ses propres fins (c’est-à-dire qu’il est le sous-traitant de A).

Les parties doivent conclure un accord sur le traitement des données conformément à l’article 28 GDPR qui définit les dispositions que doit contenir un accord entre le responsable du traitement et le sous-traitant.

3.2. Responsables de traitement indépendants

La situation des responsables de traitement indépendants se produit lorsqu’un responsable de traitement partage les données à caractère personnel qu’il détient pour ses propres besoins avec un tiers pour les seuls besoins de ce dernier.  Dans ce cas, le premier responsable du traitement ne décide pas de la finalité et des moyens des opérations de traitement effectuées par le destinataire. Il accepte seulement de partager ses données pour une ou plusieurs finalités spécifiques.

Exemple 1 :  l’entreprise A a accepté de vendre une copie de sa base de données clients à l’entreprise C pour les activités de marketing direct de cette dernière.

Une fois la copie des données fournie à C, A ne jouera aucun rôle dans la campagne de marketing direct de C et n’en bénéficiera pas. Elle ne décidera pas non plus de la manière dont les données seront envoyées, du moment où elles le seront, etc.

Dans ce cas, les deux parties agissent en tant que responsables de traitement distincts pour leurs activités de traitement qui demeurent indépendantes l’une de l’autre.

Un contrat n’est pas légalement requis mais fortement recommandé car C aurait besoin que A obtienne au préalable le consentement des personnes à l’envoi d’un courriel de marketing.

Exemple 2 :  est celui d’une entreprise qui doit envoyer des données sur les ressources humaines à une agence gouvernementale telle que l’agence fiscale, etc. La loi l’exige et l’agence gouvernementale décide seule des moyens et de la finalité du traitement. Par conséquent, il s’agit d’un contrôleur unique.

3.3. Responsables conjoints de traitement

Les relations entre co-responsales de traitement sont compliquées à définir et le lecteur devra faire preuve d’une grande souplesse dans son approche de ce qu’est ou peut être un responsable conjoint de traitement. En effet, les lignes directrices du CEPD et les décisions de la CJUE peuvent sembler difficiles à comprendre car elles visent à s’adapter à un large éventail de situations.

Selon les lignes directrices du CEPD, très largement inspirées des jugements de CJUE, notamment l’affaire Fashion ID et du RGPD, il y a responsabilité conjointe : 

  • lorsqu’au moins deux parties ;
  • déterminent conjointement ;
  • la finalité et les moyens d’une activité de traitement.

Cela  implique que plus d’une entité exercent une influence décisive sur le choix et la manière dont le traitement est mise en oeuvre.

Mode de détermination des finalités et des moyens 

En pratique, la responsabilité conjointe peut résulter de : 

  • décisions communes (c’est-à-dire que les parties décident ensemble) ; ou 
  • décisions convergentes (c’est-à-dire que les décisions de chaque partie se complètent, sont nécessaires à la réalisation du traitement et ont un impact tangible sur la détermination des finalités et des moyens du traitement. Ces décisions sont inextricablement liées et sans la participation des deux parties, le traitement ne peut avoir lieu).

La détermination des finalités des traitements : les parties peuvent ne pas poursuivre exactement les mêmes finalités, il suffit que ces finalités soient étroitement liées ou complémentaires. Cela peut être le cas lorsqu’elles bénéficient toutes deux des opérations de traitement dont elles déterminent toutes deux les finalités et les moyens. (voir la décision de la CJUE Fashion ID ici concernant le bouton « Like » de Facebook).

La détermination des moyens des opérations de traitement: il n’est pas non plus nécessaire que chaque partie détermine tous les moyens. La simple décision d’utiliser les moyens ou la mise à disposition des données par des moyens de traitement standardisés (par exemple, une plateforme, l’intégration d’un bouton « J’aime » sur sa page Facebook, etc.) peut suffire.

L’accès aux données par les deux parties n’est pas nécessaire 

En outre, il n’est pas nécessaire que les deux parties aient accès aux données à caractère personnel dès lors qu’elles ont participé à la détermination des moyens et des finalités des opérations de traitement (par exemple, la communauté des témoins de Jéhovah n’a pas accès aux données collectées par ses membres dans le cadre de la prédication en porte-à-porte).

La co-responsabilité n’implique pas nécessairement une responsabilité égale 

En effet, les parties  peuvent être impliquées à différents stades et à différents degrés.

Toutefois, l’une des entités ne peut être considérée comme un responsable du traitement, dans le cadre d’opérations antérieures ou postérieures dans la chaîne globale de traitement pour lesquelles cette personne ne détermine ni les finalités ni les moyens (sans préjudice de la responsabilité civile éventuelle prévue par le droit national).

Dans le cadre de l’affaire Fashion ID (ci-dessous), l’opérateur du site web ayant mis en place le bouton Like de Facebook sur son site n’ayant aucune influence sur les opérations de traitement mises en oeuvre par Facebook n’était co-responsable que de la collecte et de la transmission des données à Facebook.

Obligation contractuelle

La responsabilité conjointe implique notamment de répartir les obligations RGPD de chacune des parties dans un accord écrit (par exemple, sécurité, information des personnes concernées, traitement des demandes de droits des individus, etc.) qui doit être mis à disposition sur demande.

Bien que ce contrat ne lie pas les tiers, il aidera à déterminer les responsabilités de chaque partie en cas de violation du RGPD.

Exemple 1 : exemple de simple de responsabilité conjointe

A et C ont décidé de promouvoir un produit en partenariat via une campagne de marketing direct. Les deux parties fournissent l’adresse email de leurs clients à une tierce partie chargée de l’emailing.

L’objectif de la campagne d’emailing (c’est-à-dire les opérations de traitement) est de promouvoir le produit des deux sociétés. Elles ont désigné ensemble un prestataire tiers pour ce faire.

Le tiers est un sous-traitant car il n’agit que pour le compte des deux entreprises. Toutefois, les entreprises A et C agissent en tant que responsables conjoints du traitement de la campagne d’envoi d’e-mails car elles ont décidé ensemble des objectifs (promotion de leur produit) et des moyens (campagne d’envoi d’e-mails via le prestataire tiers).

Exemple 2 : Affaire Fashion ID (bouton Facebook Like Button)

Bien qu’il existe déjà un article consacré à cette affaire (ici), cette décision de la Cour de justice de l’Union Européenne (CJUE) illustre parfaitement l’approche que la Cour, et très probablement les autorités, souhaitent voir adopter par les organisations dans la détermination de la responsabilité conjointe.

Dans cette affaire, l’opérateur du site web, Fashion ID, avait intégré le bouton « like » de Facebook sur son site web. Cette action impliquait que Facebook pouvait collecter des données personnelles relatives à l’utilisation du site web de Fahsion ID par les internautes, que ces derniers soient ou non des utilisateurs de Facebook ou qu’ils aient cliqué sur le bouton FB Like.

L’intégration du bouton FB Like permettait à Fashion ID d’optimiser la publicité de ses produits en les rendant plus visibles sur le réseau social Facebook lorsqu’un visiteur de son site web clique sur ce bouton.

En ce qui concerne la détermination des finalités, la Cour a considéré que la finalité implicite pour laquelle Fashion ID a consenti à l’intégration du bouton FB Like était de bénéficier de l’avantage commercial consistant en une publicité accrue pour ses produits.  Par ailleurs, ces traitements sont également effectués dans l’intérêt économique de Facebook Ireland qui utilise les données à ses propres fins commerciales.

En ce qui concerne la détermination des moyens de traitement, le Tribunal a considéré que Fashion ID était pleinement consciente que le bouton FB Like servait d’outil pour la collecte et la transmission des données à caractère personnel des visiteurs de son site web et qu’en intégrant le plugin, elle a exercé une influence décisive sur la collecte et la transmission des données à caractère personnel à Facebook, ce qui n’aurait pas pu se produire sans l’action de Fashion ID.

Toutefois, elle a également considéré qu’il était impossible pour Fashion ID de déterminer les finalités et les moyens des opérations ultérieures de traitement des données  effectuées par Facebook après leur transmission à cette dernière.

Par conséquent, elle a considéré que Fashion ID agissait en tant que responsable conjoint du traitement mais uniquement en ce qui concerne la collecte et la transmission des données à caractère personnel à Facebook par le biais du bouton « J’aime » qu’elle avait intégré sur son site web. Facebook restait le seul responsable des opérations de traitement ultérieures.

La Cour a choisi d’adopter une approche très analytique dans cette affaire dans la mesure où pour un ensemble/une chaîne d’opérations de traitement effectués pour une même finalité, Fashion ID n’était responsable que des opérations de traitement sur lesquelles elle pouvait réellement exercer un contrôle (c’est-à-dire déterminer les finalités et les moyens).

4. Que se passe-t-il si le destinataire des données agit à la fois comme responsable du traitement et comme sous-traitant d’un même ensemble de données à caractère personnel ?

Compte tenu de l’essor des fournisseurs de services multiples, il arrive souvent qu’un destinataire tiers traite le même ensemble de données à caractère personnel pour des raisons différentes. Cependant, la situation devient délicate lorsque ce tiers agit en tant que responsable de traitement et en tant que sous-traitant en fonction du traitement qu’il effectue dans le cadre des services qu’il fournit.

MAJ 01/2022 : La CNIL a publié des recommandations sur son site concernant les sous-traitants qui souhaitaient réutiliser les données pour leur propres finalités (ex : statistiques pour améliorer leur service). Bien que cette approche ne répondent pas à toutes les interrogations, elle a au moins le mérite d’exister. Nous allons aborder l’approche préconisée par la CNIL et ensuite voir d’autres approches qui peuvent éventuellement être utilisé des cas un peu plus ambigues.

4.1. Approche de la CNIL lorsque le sous-traitant souhaite réutiliser les données à ses propres fins

Dans le cas où par exemple un services de Cloud demande à son client responsable de traitement de pouvoir réutiliser les données à des fins statistiques pour améliorer son service, le fournisseur de Cloud agit alors en tant que responsable de traitement pour cette finalité alors qu’il était jusque là sous-traitant d’un service d’hébergement/cloud.

Selon la CNIL, pour que ce type de traitemnt soit légal, il convient de répondre aux conditions suivantes :

  • Le responsable de traitement initial doit donner son autorisation préalable et écrite à son sous-traitant (par application de l’article 28). Cette autorisation ne peut pas être donnée de manière générale, elle doit être donnée pour un traitement déterminé. 
  • L’autorisation doit être donnée sur la base d’un test de compatibilité avec la finalité initiale de traitement  effectué par le responsable de traitement initial. La CNIL précise à cet effet, que le sous-traitant fournisseur d’un service de cloud qui souhaiterait utiliser les données à des fins de prospections commerciales, aurait du mal à satisfaire ce test de compatibilité. 
  • Ce test de compatibilité se fait en prenant en compte les points suivants :
    •  l’existence éventuelle d’un lien entre les finalités pour lesquelles les données personnelles ont été collectées et les finalités du traitement ultérieur envisagé ;
    • du contexte dans lequel les données personnelles ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
    • de la nature des données personnelles, en particulier si le traitement porte sur des données sensibles ou des données personnelles relatives à des condamnations pénales et à des infractions;
    • des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
    • de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

Si le test de compatibilité est satisfait et que le Responsable de traitement souhaite donner son autorisation au traitement, il est ensuite nécessaire de se conformer aux obligations du RGPD concernant ce traitement (ex : information des personnes etc.)

A cet effet, la CNIL recommande que le responsable de traitement initial informe les personnes concernées :

du partage des données, de la nouvelle finalité et de la possibilité pour les personnes concernées de s’y opposer ( a priori, cette dernière condition s’applique seulement dès lors que le droit d’opposition s’applique au traitement . )

de donner l’information RGPD complète sur ce traitement (finalité, durée de conservation etc.) à la place du sous-traitant devenu responsable de traitement.

Le Sous-traitant devenu responsable de traitement pour cette nouvelle finalité est en charge d’assurer la conformité de ce nouveau traitement aux autres obligations du RGPD:

  • fournir aux personnes concernées, sauf exceptions applicables, les informations sur cette collecte indirecte qui n’auraient pas déjà été délivrées par le responsable du traitement initial ;
  • définir une durée de conservation adéquate des données ;
  • ne collecter que les données nécessaires pour répondre à la finalité fixée au départ (minimisation) ;
  • permettre l’exercice des différents droits par les personnes concernées ; ou encore
  • mettre en place toutes les mesures de sécurité nécessaires.
4.2. Limites de l’approche de la CNIL et les problématiques auxquelles elle ne répond pas

La CNIL semble se focaliser essentiellement sur les traitements de données dont la base légale serait l’intérêt légitime et semble exclure le consentement des personnes concernées qui peut s’avérer utile dans certains cas.

Elle ne répond pas non plus aux problèmes de contradictions entre les nouvelles obligations/libertés du sous-traitant devenu responsable de traitement avec ses obligations en tant que sous-traitant.  On peut notamment citer les problématiques ci-après. 

4.2.1 Le sous-traitant n’agit plus seulement sous les instructions du responsable de traitement

Larticle 28 (3) a) du RGPD exige que soit prévu dans les contrats entre responsable de traitement et sous-traitant, une clause indiquant que le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, (…) , à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre. 

L’ article 28 (10) du RGPD prévoit également que  si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

Ainsi, la CNIL en exigeant un écrit pour l’autorisation préalable sur la base de l’article 28, estimerait donc qu’elle équivaut a une instruction documentée.

Cependant, cette position semble contraire à l’esprit du RGPD puisqu’un sous-traitant agit pour le compte du responsable du traitement et non pour son propre compte sauf lorsque la loi l’exige. Sauf erreur, il ne semble pas y avoir d’autres articles ou considérants dans la RGPD laissant penser qu’une telle autorisation donnée au sous-traitant serait une instruction documentée.

Par conséquent, cette autorisation ne paraît pas conforme  aux clauses obligatoires du contrat exigées par l’article 28 du RGPD et a priori, à l’esprit de l’article 28 (10) qui prévoit le changement de qualification du sous-traitant en responsable de traitement afin de pouvoir le sanctionner plus fortement.

4.2.2. Le sous-traitant ne supprimera pas les données sur instruction du responsable de traitement

L’article 28 (3) g du RGPD exige que soit prévu dans les contrats avec les sous-traitants soit une obligation de suppression soit une obligation de restitution des données suivie d’une destruction des copies existantes, au choix du responsable de traitement.

Toutefois, si le sous-traitant est également responsable de traitement, il prend le contrôle de ces données pour les opérations dont il est devenu responsable et dès lors, il décide de la durée de conservation de ces données pour ces finalités.  Ainsi, le responsable de traitement initial ne peut plus exiger la destruction des données et le sous-traitant devenu responsable de traitement est susceptible de violer  le contrat qu’il est obligé d’accepter en vertu du RGPD.

4.2.3. Quid de la responsabilité en cas de failles de sécurité et d’obligation de notifier les violations de données ?

L‘autre problème de cette approche est la responsabilité au niveau de la sécurité des données et la notification des violations de données personnelles.

En effet, si le sous-traitant qui est à la fois responsable de traitement perd les données ou ses systèmes font l’objet d’une attaque. Perd-il les données en tant que responsable ou sous-traitant ?

Même s’il utilise deux systèmes/bases de données séparés avec des opérations de traitement bien distinctes, l’un pour les opérations de traitement mises en oeuvre pour ses clients et l’autre pour ses propres traitements, dès lors qu’il perd les données dans l’un ou l’autre des systèmes, n’est il pas responsable dans tous les cas dans la mesure où il est censé assurer la sécurité des données de son traitement ?

Du point de vue du responsable de traitement initial, comment fait-il pour savoir rapidement si la violation de données est en rapport avec une opération de traitement dont il est responsable ou non en moins de 72 heures ? N’est il pas responsable dans la mesure où son sous-traitant a perdu les données à quel que titre que ce soit ? 

Même si le juge applique la jurisprudence fashion ID et ne rend responsable les parties que des opérations sur lesquelles elles ont un contrôle, il s’agira de déterminer :

– l’origine et les raisons de la faille de sécurité ;

– le ou les opérations de traitement concernées ;

– les finalités de ces opérations afin de déterminer qui en a le contrôle.

Une fois ces questions tranchées, il serait alors possible de savoir qui est potentiellement responsable. Toutefois, il semble que cet exercice soit très compliqué en pratique voire inextricable dans certains cas, notamment lorsque les systèmes informatique pour traiter les données sont communs.

Du point de vue des personnes concernées, la situation pourrait devenir incompréhensible et il faut s’attendre à ce que les juges recherchent une responsabilité conjointe afin de les indemniser rapidement.

Ainsi, en dehors des cas où les données font l’objet d’une anonymisation pour les nouvelles finalités de traitement, cette approche ne semble pas satisfaisante notamment dans les cas qui peuvent engendrer des risques.

En effet, lorsqu’un sous-traitant souhaite réutiliser les données pour son propre compte sans les anonymiser, il est souvent préférable de refuser ou de requalifier les relations contractuelles. 

 

4.3. Autres approches/cas des multiservices

4.3.1. Beaucoup d’incertitudes juridiques

Malheureusement, il n’existe pas de réponse parfaite et universelle aux situations dans lesquelles le sous-traitant est ou devient également responsable de traitement des mêmes données personnelles.

En effet, les lignes directrices du CEPD n’indiquent jamais clairement comment gérer cette situation, notamment lorsqu’un sous-traitant est également  responsable du traitement du même ensemble de données personnelles dans le cadre des services qu’il fournit et comme on l’a vu, la position de la CNIL bien que très utile, ne permet pas de résoudre tous les problèmes.

On semble donc arriver aux limites de la notion de responsable et de sous-traitant, qui sans être inutile, peut paraître  rigide ou obscure sur certains points en laissant une grande place à l’interprétation des juges. Sans jurisprudence, il est donc encore difficile de savoir ce qu’il faut faire, notamment d’un point de vue contractuel. 

Par conséquent, dans les cas ambigues des multiservices,  les parties devraient procéder à une analyse détaillée des opérations de traitement en jeu afin d’identifier leur responsabilité théorique respective et assurer que le contenu de leur contrat est cohérent et couvre leur risque.

Elle doivent également jongler entre les exigences théoriques du RGPD et leur intérêt contractuels. En effet, si un contrat conforme à l’article 28 est conclu pour éviter une sanction mais est en contradiction avec la réalité ou qu’il contient des clauses contradictoires, l’une des parties peut se retrouver léser en cas de litiges entre les parties car, dans ce dernier cas, le juge appliquera le contenu du contrat pour déterminer les responsabilités (contrairement aux autorités). 

Ainsi, il est important d’adapter son approche au risque que l’on souhaite couvrir (contractuel, sanction des autorités ou les deux).  

4.3.2. L’approche globale pour éviter les contradictions contractuelles

L’exemple fourni ci-dessous vise à montrer l’une des approches enivsageable pour  éviter les incohérences contractuelles découlant de ce type de situation. Toutefois, la position des autorités est inconnue sur ce point.

Par exemple, B fournit un service d’hébergement et d’analyse marketing de données des clients de la société A.  La société A, en plus de l’hébergement, bénéficiera des analyses marketing fournies par B pour mieux cibler ses clients et B utilisera également les analyses pour améliorer ses recherches analytiques en marketing et fournir de meilleures données de marché à ses autres clients.

Le rôle de chaque partie pour chacune des opérations de traitement/finalités  prises indépendamment devrait être le suivant :

  • L’hébergement : B est un sous-traitant et A un responsable de traitement, car B exécute le service pour le compte de A.
  • Analyse : B exécute le service et les deux parties en bénéficient. Dans une certaine mesure, elles sont des responsables (conjoints ou indépendant) selon les opérations de traitement (voir l’exemple de Fashion ID ci-dessus).

Certains choisiront de garder les opérations séparées, comme le dit la CNIL dans son exemple, et signeront un contrat de sous-traitant et un contrat de responsable de traitement. Cette approche a le mérite de minimiser le risque en termes de conformité RGPD aux articles 26 et 28 mais les limites et contradictions vont rapidement apparaître et peut déboucher sur des responsabilités contractuelles non-souhaitées.

Le problème que soulève une approche aussi analytique est que, comme indiqué précédemment, B ne pourra pas se conformer à ses obligations contractuelles et légales de sous-traitant lorsqu’il effectuera les activités d’analyse en tant que responsable du traitement.

En effet, comme indiqué précédemment, B, lorsqu’il effectuera les opérations de traitement ayant pour finalité l’analyse, ne suivra pas seulement les instructions de A, ne pourra supprimer toutes les données quand A l’exigera et les problèmes aux niveaux de la responsabilité de la sécurité/notification de sécurité poseront problème également.

Afin d’éviter des contradictions dans les différentes obligations de B, il paraît préférable de prendre en compte l’ensemble des opérations et de voir qui en bénéficie. Il est aussi possible de prendre en compte le service/finalité dominante pour trancher la question de la qualification.

En effet, si l’on choisit un approche globale, A met à la disposition de B des données pour les analyser et les héberger.  A  bénéficie de l’hébergement et des analyses  fournies par B. B bénéficie de la mise à disposition des données par A et des analyses qu’il met en oeuvre lui-même. Ainsi,  les deux parties bénéficient des opérations de traitement sur les données.

Au vu de l’intrication des différentes opérations,  B semble plus agir comme un responsable (conjoint/indépendant) du service global d’analyse et d’hébergment des données avec des niveaux de responsabilité qui varient selon les opérations (cf. Fashion ID). En effet, il dipose de trop de libertés sur l’usage des données dès la phase d’hébergement puisqu’il propose les moyens de traitement et peut analyser les données qu’il héberge (il est donc obligé de les héberger pour lui même dans tous les cas).

Ainsi, d’un point de vue pratique, l’approche/logique prévue à l’article 26 du RGPD dans les cas où B serait responsable (conjoint) du traitement semble plus pratique et cohérente pour répondre aux exigences du RGPD.

Dans notre exemple, l’objectif de A, dans un cadre contractuel, est de garder un maximum de contrôle sur les données dans la mesure où il les fait héberger et qu’il en est le responsable initial. Il doit donc être en mesure d’en disposer comme il l’entend tout en laissant une liberté encadrée à B pour effectuer les analyses.

Ainsi, le contrat entre les parties pourrait prévoir des clauses très similaires, mais aménagées, à celles prévues dans les contrats « article 28 RGPD » afin que A conserve le contrôle sur les données et répondent au mieux à l’obligation de l’article 28 dont on ne sait exactement s’il s’appliquerait.

Toutefois, certains points tels que l’informations des parties,  l’usage des données par B, les mesures de sécurité, droit d’audit, notification des violations des données et conservations des données devraient  être adaptés afin de répondre de manière pragmatique aux besoins, obligations et libertés/responsabilités des parties (ex : A assure l’information des personnes concernées pour les deux parties, notification de violations de données relatives à l’hébergement sont faites par les deux parties mais les autres seulement par B, A conserve un droit d’audit pour s’assurer que le contrat est respectée etc. ).

En effet, le fait de considérer B comme un responsable du traitement ne signifie pas que l’accord ne puisse pas contenir d’obligations de type sous-traitant et que B est autorisé à faire ce qu’il veut des données.

Il est toutefois dommage que le CEPD ne se positionne pas clairement sur ce point, malgré les différentes recommandations publiées afin d’avoir plus de certitudes juridiques.

CONTACT

Si vous avez besoin d’aide pour votre accord de protection des données ou pour déterminer vos responsabilités RGPD, vous pouvez contacter Arnaud Blanc, Avocat .

Responsable de traitement ou sous-traitant ?

Cette publication est également disponible en en_GB.

Étiqueté avec :