Le CEPD, Comité européen de la protection des données, publie ses lignes directrices sur les notions de responsable du traitement et sous-traitant.
Lignes directrices sur les notions de responsable du traitement et de sous-traitant
Le 2 septembre 2020, le Comité Européen de la Protection des Donnée (CEPD) a publié ses très attendues Lignes directrices 07/2020 sur les notions de responsable du traitement et de sous-traitant (1).
Ces lignes directrices sont ouvertes à consultation publique jusqu’au 19 octobre 2020 et apportent des précisions sur les notions de responsable du traitement et de sous-traitant au sens du Règlement général sur la protection des données 2016/679 du 27 avril 2016 (RGPD).
Notions de responsable du traitement et de sous-traitant : notions clés de l’application du RGPD
Le responsable du traitement est défini comme toute personne physique ou morale, autorité publique, service ou organisme qui détermine, seul ou conjointement, les finalités et les moyens du traitement de données personnelles (RGPD, art. 4-7). Cette définition envisage dès lors la coresponsabilité de traitement.
Le sous-traitant est quant à lui défini comme toute personne physique ou morale, autorité publique, service ou organisme qui traite les données personnelles pour le compte du responsable du traitement (RGPD, art. 4-8).
Ces notions sont déterminantes pour appréhender l’application du RGPD, et notamment car elles sont des concepts fonctionnels visant à répartir les responsabilités entre les acteurs impliqués, comme le précise le CEPD.
La multiplicité des intervenants dans les traitements de données personnelles et le recours à de multiples outils rendent particulièrement complexe la qualification des acteurs. Ces notions de responsable du traitement et de sous-traitant, bien que déterminantes, sont de plus en plus difficiles à appréhender et à manier en pratique.
Responsable du traitement et sous-traitant : notions complexes à appréhender
Le Groupe de travail « Article 29 » sur la protection des données (« G29 »), remplacé par le CEPD (institué par le Règlement Général sur la Protection des Données 2016/679 du 27 avril 2019), avait déjà adopté un avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant » le 16 février 2010 au sens de la Directive 95/46/CE.
Ces notions de responsable du traitement et de sous-traitant, et les obligations qui en découlent, ont depuis évolué avec l’entrée en application du RGPD, qui a notamment apporté des précisions sur ces dernières, tout en créant de nouvelles obligations à la charge des responsables du traitement et des sous-traitants.
La Cour de justice de l’Union européenne (CJUE) s’est elle aussi prononcée sur l’interprétation de ces notions et notamment sur celle de responsables conjoints du traitement (2).
La publication de ces lignes directrices s’inscrit donc dans ce contexte et répond à un besoin de clarification.
Les précisions sur les critères de qualification
Les lignes directrices apportent des précisions et illustrations sur les critères de qualification de responsable du traitement, de responsables conjoints du traitement et de sous-traitant.
Concernant la notion de responsable du traitement
Le CEPD précise et illustre les éléments « essentiels » concernant le traitement, qui doivent être déterminés par le responsable du traitement. Il s’agit notamment des moyens « essentiels du traitement » qu’il détermine (par exemple, le type de données personnelles traitées ou la durée du traitement) à distinguer des moyens « non-essentiels » du traitement, que le sous-traitant peut déterminer seul (par exemple, le logiciel à utiliser pour traiter les données).
Le CEPD précise également les éléments à prendre en compte pour identifier le responsable du traitement. Ces éléments peuvent être des dispositions légales ou peuvent consister en une analyse factuelle et circonstancielle du traitement.
Par exemple, et concernant les dispositions légales, la législation d’un État membre prévoyant que les autorités municipales fournissent des prestations sociales aux administrés selon leur situation financière implique nécessairement que les autorités municipales collectent des données personnelles des administrés relatives à leur situation financière. Dès lors, ces autorités municipales sont responsables du traitement des données financières des administrés.
Concernant, l’identification du responsable du traitement au travers d’une analyse factuelle et circonstancielle, cela peut se faire par l’identification des rôles traditionnels des acteurs impliqués dans le traitement. Par exemple, le traitement de données relatives aux salariés d’une entreprise par l’employeur implique généralement que l’employeur soit responsable dudit traitement du fait de son rôle.
Enfin, le CEPD illustre le fait qu’une entité peut être responsable du traitement sans accéder aux données traitées. C’est par exemple le cas lorsqu’une entité fait appel à un prestataire pour l’élaboration de statistiques, même si cette entité n’accède pas aux données personnelles, dès lors qu’elle détermine les finalités et les moyens du traitement à des fins d’élaboration de statistiques et que les données initialement traitées sont des données personnelles.
Concernant les responsables conjoints du traitement
Le CEPD illustre le fait qu’une telle responsabilité peut résulter d’une décision commune prise par les acteurs impliqués ou de plusieurs décisions convergentes de différents acteurs (le CEPD précise à ce sujet que le traitement de données personnelles ne serait pas possible sans la participation des deux parties concernant tant la détermination des moyens que des finalités).
Enfin, en ce qui concerne les sous-traitants…
Le CEPD apporte notamment des précisions sur le fait que le sous-traitant peut bénéficier d’une marge de manœuvre en ce qui concerne la détermination des moyens techniques et organisationnels du traitement dès lors qu’il s’agit de moyens « non-essentiels ».
Outre ces précisions et illustrations permettant de faciliter l’identification du rôle de chaque acteur, le CEPD se prononce sur les relations entre ces acteurs et leurs implications contractuelles.
Les précisions sur les implications contractuelles
Les lignes directrices apportent notamment des indications concernant les éléments que le responsable du traitement doit prendre en compte pour choisir un sous-traitant.
Il apporte aussi des précisions sur les mentions contractuelles à intégrer au contrat liant le responsable du traitement au sous-traitant (RGPD, art. 28), et notamment en précisant que le contrat ne doit pas uniquement reprendre les dispositions du RGPD mais qu’une adaptation à chaque situation est nécessaire. Le CEPD illustre en outre chaque mention à inclure dans ce contrat. À titre d’exemple, pour la durée du traitement, la durée exacte du traitement de données ou les critères utilisés pour déterminer cette durée doivent être mentionnés au contrat, cette durée pouvant être calquée sur la durée du contrat conclu. Cependant, le CEPD précise que la durée du traitement n’est pas nécessairement équivalente à la durée du contrat dès lors que des durées légales de conservation des données (plus ou moins longues que la durée du contrat concerné) s’appliquent.
Enfin concernant la formalisation de l’accord de coresponsabilité entre les responsables conjoints du traitement et définissant leurs obligations respectives (RGPD, art. 26), le CEPD recommande que cet accord prenne la forme d’un acte contraignant, tel qu’un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre.
Si les lignes directrices donnent de nombreux exemples pour aider à la qualification des acteurs, ces notions restent difficiles d’appréhension et doivent, pour les cas complexes, faire l’objet d’une analyse au cas par cas. Reste à attendre si les apports de la consultation publique et la version finale des lignes directrices qui sera adoptée par le CEPD apporteront un peu plus de clarté.
Anne Renard
Sarah Squercioni
Lexing Conformité et certification
(1) Guidelines 07/2020 on the concepts of controller and processor in the GDPR
(2) Voir par exemple :
– Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie, (Affaire C- 210/16 du 05-06-2018)
– Tietosuojavaltuutettu v Jehovan todistajat — uskonnollinen yhdyskunta (Affaire C-25/17 du 10-07-2018)
– Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW eV (Affaire C-40/17 du 29-07-2019)