Responsable de traitement ou sous-traitant ?

En vertu du Règlement général sur la protection des données (RGPD), toute personne (y compris les organisations) traitant des données à caractère personnel est soumise à un niveau différent d’obligations et de responsabilités , selon qu’elle agit en tant que sous-traitant, responsable ou responsable conjoint du traitement.

En effet, leurs obligations et responsabilités au titre du RGPD découlent de leur rôle dans les opérations de traitement en jeu. Ainsi, les responsables du traitement assument la plupart des responsabilités, tandis que les sous-traitants ne doivent agir que sur instruction du responsable du traitement et sont donc soumis à moins d’obligations.

Lorsque plusieurs parties sont impliquées dans le même traitement ou dans un ensemble de traitements de données à caractère personnel, la première question à laquelle il faut répondre est la suivante : agissent-elles en tant que responsables du traitement ou en tant que sous-traitants ?

La réponse à cette question aidera à rédiger l’accord/les clauses de protection des données et à attribuer les obligations RGPD  à l’une ou l’autre des parties impliquées dans les opérations de traitement. Ce sera également la première question à laquelle toute autorité ou tout juge répondra avant de décider d’une sanction ou d’accorder une indemnité.

Le Comité européen de la protection des données a mis à jour ses lignes directrices (juillet 2021) sur la manière de déterminer si une partie à un traitement de données agit en tant que sous-traitant, responsable de traitement ou responsable conjoint de traitement en prenant en compte les récentes décisions de la Cour de justice européenne.  Toutefois, ces lignes directrices peuvent prêter à confusion pour les nouveaux venus.

L’objectif de cet article est d’expliquer la raison pour laquelle il est important de déterminer le rôle de chaque partie aux opérations de traitement des données personnelles et de fournir quelques exemples et des moyens possibles de gérer des situations complexes.

 1. Pourquoi est-il important de déterminer si l’on agit en tant que responsable du traitement ou en tant que sous-traitant ?

Il est crucial de déterminer le rôle de chaque partie impliquée dans un ensemble d’opérations de traitement de données, car leurs responsabilités sont différentes selon leur rôle.

1.1. Les responsables du traitement sont légalement responsables de la conformité de leurs opérations de traitement avec le RGPD et sont responsables vis-à-vis des personnes et des autorités qui peuvent les auditer et les sanctionner en cas de violation du règlement (voir les obligations du responsable du traitement ici).

1.2. Les obligations et responsabilités légales des sous-traitants sont limitées (par exemple, la sécurité : voir l’article ici) et pour cette raison, les responsables de traitement et les sous-traitants ont l’obligation légale de conclure un contrat pour s’assurer que le sous-traitant ne fait pas courir au responsable de traitement le risque d’une violation du RGPD. Toutefois, lorsqu’un sous-traitant enfreint l’une de ses rares obligations légales (par opposition aux obligations contractuelles), il reste responsable envers les autorités et les personnes concernées.

2. Que signifient les termes « traitement », « responsable du traitement » et « sous-traitant » ? 

2.1. Le responsable du traitement détermine les finalités et les moyens (essentiels) du traitement et peut agir seul ou conjointement avec d’autres. 

En d’autres termes, il prend toutes les décisions importantes concernant les opérations de traitement. 

2.2. Le sous-traitant est un tiers qui n’agit que pour le compte du responsable du traitement et qui suit ses instructions, sauf si le droit de l’Union ou des États membres l’y oblige. 

2.3.  Un traitement de données est, selon le RGPD, toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit ou non par des moyens automatisés, tels que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

Compte tenu de la complexité croissante de certains services, il n’est pas toujours aisé de faire la distinction entre responsable du traitement et sous-traitant dans la pratique.

3. Comment déterminer si un destinataire de données est un responsable de traitement ou un sous-traitant ? 

Lorsqu’une organisation agit seule, elle est responsable du traitement (par exemple, une entreprise qui gère son activité en ligne et héberge son site web) et il n’y a pas de sous-traitant.

En revanche, lorsque le responsable du traitement partage ses données à caractère personnel avec un tiers, ce dernier peut agir en tant que responsable indépendant ou conjoint, ou sous-traitant.

Compte tenu du nombre infini de situations possibles, il s’est avéré impossible de fournir une analyse exhaustive. Par conséquent, les exemples fournis ci-dessous visent à donner une idée des manières possibles de traiter les différents types de situations liées au traitement des données. 

3.1. Responsable de traitemnt et au sous-traitant

Comme expliqué ci-dessus, un destinataire de données est un sous-traitant lorsqu’il n’agit que sur instruction du responsable du traitement.

En pratique, cela signifie que le destinataire n’utilise pas les données à caractère personnel pour son propre bénéfice/finalité et ne décide ni de la finalité ni des moyens essentiels du traitement. En d’autres termes, il ne doit rien décider qui soit étroitement lié à la finalité du traitement (par exemple, le type de données, la période de conservation des données, les catégories de personnes concernées, les autres destinataires des données, etc.) ). En revanche, il peut décider du type de logiciel à utiliser ou des mesures de sécurité spécifiques à mettre en œuvre (« moyens non essentiels de traitement »).

Par exemple, l’entreprise A gère son activité en ligne et décide de sous-traiter le stockage des données de ses clients à l’entreprise B.

Dans cet exemple, A est un responsable du traitement et B un sous-traitant car ce dernier n’agit que sur les instructions de A et n’utilisera pas les données à ses propres fins (c’est-à-dire qu’il est le sous-traitant de A).

Les parties doivent conclure un accord sur le traitement des données conformément à l’article 28 GDPR qui définit les dispositions que doit contenir un accord entre le responsable du traitement et le sous-traitant.

3.2. Responsables de traitement indépendants

La situation des responsables de traitement indépendants se produit lorsqu’un responsable de traitement partage les données à caractère personnel qu’il détient pour ses propres besoins avec un tiers pour les seuls besoins de ce dernier.  Dans ce cas, le premier responsable du traitement ne décide pas de la finalité et des moyens des opérations de traitement effectuées par le destinataire. Il accepte seulement de partager ses données pour une ou plusieurs finalités spécifiques.

Par exemple, l’entreprise A a accepté de vendre une copie de sa base de données clients à l’entreprise C pour les activités de marketing direct de cette dernière.

Une fois la copie des données fournie à C, A ne jouera aucun rôle dans la campagne de marketing direct de C et n’en bénéficiera pas. Elle ne décidera pas non plus de la manière dont les données seront envoyées, du moment où elles le seront, etc.

Dans ce cas, les deux parties agissent en tant que responsables de traitement distincts pour leurs activités de traitement qui demeurent indépendantes l’une de l’autre.

Un contrat n’est pas légalement requis mais fortement recommandé car C aurait besoin que A obtienne au préalable le consentement des personnes à l’envoi d’un courriel de marketing.

Un autre exemple plus clair est celui d’une entreprise qui doit envoyer des données sur les ressources humaines à une agence gouvernementale telle que l’agence fiscale, etc. La loi l’exige et l’agence gouvernementale décide seule des moyens et de la finalité du traitement. Par conséquent, il s’agit d’un contrôleur unique.

3.3. Responsables conjoints de traitement

Les relations entre co-responsales de traitement sont compliquées à définir et le lecteur devra faire preuve d’une grande souplesse dans son approche de ce qu’est ou peut être un responsable conjoint de traitement. En effet, les lignes directrices du CEPD et la décision de la Cour peuvent sembler difficiles à comprendre car elles visent à s’adapter à un large éventail de situations.

Selon les lignes directrices du CEPD, très largement inspirées de la CJCE, notamment l’affaire Fashion ID (voir ici) et du RGPD, il y a responsabilité conjointe lorsqu’au moins deux parties déterminent conjointement la finalité et les moyens d’une activité de traitement. Elle implique que plus d’une entité exerce une influence décisive sur le choix et la manière dont le traitement est effectué.

Elle peut résulter de décisions communes (c’est-à-dire qu’elles décident ensemble) ou de décisions convergentes (c’est-à-dire que les décisions de chaque partie se complètent, sont nécessaires à la réalisation du traitement et ont un impact tangible sur la détermination des finalités et des moyens du traitement. Ces décisions sont inextricablement liées et sans la participation des deux parties, le traitement ne peut avoir lieu).

En ce qui concerne la détermination des finalités des traitements, les parties peuvent ne pas poursuivre exactement les mêmes finalités, il suffit que ces finalités soient étroitement liées ou complémentaires. Cela peut être le cas lorsqu’elles bénéficient toutes deux des opérations de traitement dont elles déterminent toutes deux les finalités et les moyens. (voir la décision de la CEJ Fashion ID ici concernant le bouton « Like » de Facebook).

En ce qui concerne la détermination des moyens des opérations de traitement, il n’est pas non plus nécessaire que chaque partie prenante détermine tous les moyens. La simple décision d’utiliser les moyens ou la mise à disposition des données par des moyens de traitement standardisés (par exemple, une plateforme, l’intégration d’un bouton « J’aime » sur sa page Facebook, etc.) peut suffire.

En outre, il n’est pas nécessaire que les deux parties aient accès aux données à caractère personnel dès lors qu’elles ont participé à la détermination des moyens et des finalités des opérations de traitement (par exemple, la communauté des témoins de Jéhovah n’a pas accès aux données collectées par ses membres dans le cadre de la prédication en porte-à-porte).

La co-responsabilité n’implique pas nécessairement une responsabilité égale. En effet, les parties prenantes peuvent être impliquées à différents stades et à différents degrés. Toutefois, l’une des entités ne peut être considérée comme un responsable du traitement, dans le cadre d’opérations antérieures ou postérieures dans la chaîne globale de traitement pour lesquelles cette personne ne détermine ni les finalités ni les moyens (sans préjudice de la responsabilité civile éventuelle prévue par le droit national).

Par ailleurs, le fait d’être co-responsable du traitement implique notamment de répartir les obligations RGPD de chacune des parties dans un accord écrit (par exemple, sécurité, information des personnes concernées, traitement des demandes de droits des individus, etc.) qui doit être mis à disposition sur demande.

Bien que ce contrat ne lie pas les tiers, il aidera à déterminer les responsabilités de chaque partie en cas de violation du RGPD.

Exemple 1 : exemple de base de copropriété

A et C ont décidé de promouvoir un produit en partenariat via une campagne de marketing direct. Les deux parties fournissent l’adresse email de leurs clients à une tierce partie chargée de l’emailing.

L’objectif de la campagne d’emailing (c’est-à-dire les opérations de traitement) est de promouvoir le produit des deux sociétés. Elles ont désigné ensemble un prestataire tiers pour ce faire.

Le tiers est un sous-traitant car il n’agit que pour le compte des deux entreprises. Toutefois, les entreprises A et C agissent en tant que responsables conjoints du traitement de la campagne d’envoi d’e-mails car elles ont décidé ensemble des objectifs (promotion de leur produit) et des moyens (campagne d’envoi d’e-mails via le prestataire tiers).

Exemple 2 : Affaire Fashion ID (bouton Facebook Like Button)

Bien qu’il existe déjà un article consacré à cette affaire (ici), cette décision de la Cour de justice de l’Union Européenne (CJUE) illustre parfaitement l’approche que la Cour, et très probablement les autorités, souhaitent voir adopter par les opérateurs en cas de situation ambiguë.

Dans cette affaire, l’opérateur du site web, Fashion ID, avait intégré le bouton « like » de Facebook sur son site web. Cette action impliquait que Facebook pouvait collecter des données personnelles relatives au site web de Fahsion ID, qu’elles soient ou non des utilisateurs de Facebook ou qu’elles aient cliqué sur le bouton FB Like.

L’intégration du bouton FB Like permettait à Fashion ID d’optimiser la publicité de ses produits en les rendant plus visibles sur le réseau social Facebook lorsqu’un visiteur de son site web clique sur ce bouton.

En ce qui concerne la détermination des finalités, la Cour a considéré que la finalité implicite pour laquelle Fashion ID a consenti à l’intégration du bouton FB Like et, par conséquent, à la collecte et à la divulgation par transmission des données à caractère personnel des visiteurs de son site web à Facebook Ireland, était de bénéficier de l’avantage commercial consistant en une publicité accrue pour ses produits. Par ailleurs, ces traitements sont également effectués dans l’intérêt économique de Facebook Ireland qui utilise les données à ses propres fins commerciales.

En ce qui concerne la détermination des moyens de traitement, le Tribunal a considéré que Fashion ID était pleinement consciente que le bouton FB Like servait d’outil pour la collecte et la transmission des données à caractère personnel des visiteurs de son site web et qu’en intégrant le plugin, elle a exercé une influence décisive sur la collecte et la transmission des données à caractère personnel à Facebook, ce qui n’aurait pas pu se produire sans l’action de Fashion ID.

Toutefois, elle a également considéré qu’il était impossible pour Fashion ID de déterminer les finalités et les moyens des opérations ultérieures de traitement des données à caractère personnel effectuées par Facebook après leur transmission à cette dernière.

Par conséquent, elle a considéré que Fashion ID agissait en tant que responsable conjoint du traitement mais uniquement en ce qui concerne la collecte et la transmission des données à caractère personnel à Facebook par le biais du bouton « J’aime » qu’elle avait intégré sur son site web. Facebook restait le seul responsable des opérations de traitement ultérieures.

La Cour a choisi d’adopter une approche très analytique dans cette affaire dans la mesure où pour un ensemble/une chaîne de traitements effectués pour une même finalité, Fashion ID n’était responsable que du traitement sur lequel elle pouvait réellement exercer un contrôle (c’est-à-dire déterminer les finalités et les moyens).

4. Que se passe-t-il si le destinataire des données agit à la fois comme responsable du traitement et comme sous-traitant du même ensemble de données à caractère personnel ?

Compte tenu de l’essor des fournisseurs de services multiples, il arrive souvent qu’un destinataire tiers traite le même ensemble de données à caractère personnel pour des raisons différentes. Cependant, la situation devient délicate lorsque ce tiers agit en tant que responsable de traitement et en tant que sous-traitant en fonction du traitement qu’il effectue dans le cadre des services qu’il fournit.

Malheureusement, il n’existe pas de réponse parfaite et universelle à ces situations compte tenu de leur complexité et du manque de clarté du RGPD et de la position des Autorités à cet égard. En effet, les lignes directrices de du CEPD n’indiquent jamais clairement comment gérer cette situation, notamment lorsqu’un sous-traitant se transforme en responsable du traitement du même ensemble de données personnelles dans le cadre des services qu’il fournit.

Par conséquent, les parties doivent procéder à une analyse détaillée et adapter leur contrat au cas par cas en fonction des opérations de traitement en jeu et des obligations et responsabilités GDPR de chaque partie qui en découlent.

L’exemple fourni ci-dessous vise à montrer l’une des approches possibles que les parties peuvent suivre pour atténuer le risque et éviter les incohérences découlant de ce type de situation.

Par exemple, A demande à B d’héberger la base de données de ses clients et autorise ce dernier à effectuer des recherches analytiques. A bénéficiera des recherches analytiques pour mieux cibler ses clients et B utilisera également les analyses pour améliorer ses recherches analytiques en marketing et fournir de meilleures données de marché à ses autres clients.

Le rôle de chaque partie pour chacune des opérations de traitement/finalités devrait être le suivant :

  • L’hébergement : B est un sous-traitant et A un contrôleur, car B exécute les services pour le compte de A.
  • Analyse : B exécute le service et les deux parties en bénéficient. Dans une certaine mesure, elles sont des contrôleurs conjoints (voir l’exemple de Fashion ID ci-dessus).

Le problème que soulève une telle situation est que B violera ses obligations contractuelles et légales de sous-traitant dès qu’il effectuera les activités d’analyse en tant que responsable du traitement.

En effet, si l’on considère chaque opération de traitement séparément, B ne doit agir que sur les instructions de A lorsqu’il héberge les données personnelles de ce dernier. Cependant, il violera ces instructions (c’est-à-dire seulement stocker les données) lorsqu’il utilisera ce même ensemble de données pour ses recherches analytiques.

Afin d’éviter des contradictions dans les différentes obligations de B, ce dernier devrait, dans ce cas, être considéré comme un responsable (conjoint) du traitement car ses activités de responsable du traitement (c’est-à-dire l’analyse) l’emportent sur ses activités de sous-traitant (c’est-à-dire le service d’hébergement).

À cet égard, les parties doivent répartir en détail leurs obligations et responsabilités respectives au titre du RGPD dans leur accord de traitement des données (par exemple, sécurité, notification des informations, période de conservation, utilisation autorisée des données personnelles, notification des violations de données, etc.)

Toutefois, le fait de considérer B comme un responsable du traitement ne signifie pas que l’accord ne peut pas contenir d’obligations de type sous-traitant et que B est autorisé à faire ce qu’il veut avec les données. En effet, A reste responsable (seul ou conjointement) de la conformité au RGPD de la plupart des opérations de traitement et B doit laisser les données personnelles à la disposition de A dans le cadre de son service d’hébergement.

Si vous avez besoin d’aide pour votre Accord de protection des données ou pour Déterminer vos responsabilités RGPD, vous pouvez contacter Arnaud Blanc, avocat français et expert en protection de la vie privée.

Responsable de traitement ou sous-traitant ?
Étiqueté avec :