Responsable du traitement, responsable conjoint du traitement, sous-traitant : déterminer la qualification de votre entité au regard de la protection des données est une question essentielle. Toutefois, en pratique, identifier la bonne qualification peut être complexe.

Dans cette optique, l’autorité britannique de protection des données, Information Commissioner’s Office, a publié un questionnaire visant à aider les entités à déterminer leur qualification juridique dans le cadre de leurs activités de traitement.

Mathias Avocats vous expose un bref rappel des notions à retenir et les questions à se poser pour déterminer le rôle de votre entité avant la mise en œuvre de tout traitement.

Bref rappel des notions

Les parties prenantes à un traitement de données à caractère personnel peuvent avoir différents rôles. Votre entité peut ainsi être responsable du traitement, responsable conjoint du traitement ou encore sous-traitant.

Rappelons que le responsable du traitement est la personne physique ou morale, qui détermine les finalités et les moyens du traitement (article 4, 7° du RGPD). Si plusieurs entités déterminent ensemble les finalités et les moyens du traitement, elles sont qualifiées de responsables conjoints.

Le sous-traitant est, quant à lui, une personne physique ou morale, qui traite des données à caractère personnel pour le compte et sur instruction du responsable du traitement (article 4, 8° du RGPD). Il ne détermine ni les finalités ni les moyens essentiels du traitement, à la différence du responsable ou du responsable conjoint.

Comme le Groupe de travail « Article 29 » (G29) l’a indiqué dans son avis 1/2010 sur les notions de responsable de traitement et de sous-traitant, les moyens du traitement englobent à la fois les moyens techniques et organisationnels et les moyens dits « essentiels ». Ces moyens tiennent notamment à la détermination de la nature des données traitées, des durées de conservation des données, ou encore des personnes autorisées à accéder aux données.

Par exemple, le matériel informatique ou le logiciel choisi dans le cadre du traitement constitue un simple moyen technique et organisationnel. Les moyens essentiels quant à eux renvoient à des aspects fondamentaux du traitement. Partant de ce constat, le G29 précise que le sous-traitant peut participer à la détermination des moyens techniques et organisationnels du traitement. Toutefois, les moyens essentiels ne peuvent être déterminés que par le responsable du traitement. De même, pour le G29, la détermination des finalités du traitement suffit à elle seule à emporter la qualification de responsable du traitement.

En fonction de leur qualification, les obligations de chacune des parties à un traitement de données à caractère personnel varient.

Quelles questions se poser pour déterminer votre rôle ?

Afin de déterminer le rôle de votre entité dans le cadre d’un traitement, la question clé à se poser est de déterminer qui, de vous ou des autres acteurs, détermine les finalités, c’est-à-dire les objectifs poursuivis, et les moyens du traitement.

Pour savoir si votre entité pourrait être responsable du traitement, interrogez-vous notamment sur les points suivants :

  • Déterminez-vous les objectifs poursuivis par le traitement ?
  • Déterminez-vous la base légale du traitement (consentement, intérêt légitime etc.) ?
  • Décidez-vous des données devant être collectées et traitées ?
  • Décidez-vous des personnes physiques ou morales pouvant avoir accès aux données ?
  • Déterminez-vous la durée de conservation des données ?
  • Déterminez-vous qui sont les personnes concernées ?

Si, au contraire, vous hésitez sur la qualification de votre entité en tant que sous-traitant, posez-vous notamment les questions suivantes :

  • Suivez-vous des instructions de votre cocontractant concernant le traitement des données ?
  • Les données vous ont-elles été fournies par votre cocontractant ?
  • Est-ce votre cocontractant qui détermine à quelles fins les données seront utilisées ?
  • Votre entité est-elle directement intéressée par le résultat attendu du traitement ?

Enfin, pour savoir si votre entité est responsable conjoint du traitement, interrogez-vous notamment sur les points suivants :

  • Poursuivez-vous les mêmes objectifs dans le cadre du traitement que votre partenaire ?
  • Utilisez-vous les mêmes données à caractère personnel (par exemple la même base de données) que votre partenaire ?
  • Décidez-vous ensemble de la durée de conservation des données ? Des données collectées ? Des modalités de gestion des droits des personnes ?

Rappelons que ces questions ne sont pas exhaustives et qu’elles sont exposées uniquement à titre indicatif. La qualification juridique des parties nécessite de réaliser une analyse opérationnelle des relations des parties prenantes et une approche traitement par traitement.

 

Mathias Avocats se tient à votre disposition pour vous assister dans vos projets et dans la qualification juridique de votre entité au regard de la protection des données