Lumières sur le projet de lignes directrices du CEPD sur les Responsables de traitement et Sous-traitants dans le cadre du RGPD (2ème partie) (eu)
Europe > Droit privé > Droit européen > Protection des données personnelles
Auteure : Maître Stephanie Faber au Barreau de Paris[1]
Date: le 9 Novembre 2020
Partie 2 : Les responsables de traitement
Cet article est le deuxième d’une série sur le projet de Lignes directrices 07/2020 sur les notions de responsable du traitement et de sous-traitant dans le cadre du RGPD en anglais Guidelines 07/2020 on the concepts of controller and processor in the GDPR, publié par le Comité Européen de la Protection des Données (CEPD) le 7 septembre 2020 (le « projet de lignes directrices »). Il porte plus particulièrement sur le terme de « responsable du traitement » tel que présenté dans le projet de lignes directrices. Retrouvez notre précédent article sur les mises à jour du projet de lignes directrices sur la notion de « sous-traitant » ici. Nous publierons également par la suite dans cette série, deux nouveaux opus sur la notion de « responsables conjoints du traitement », et la référence dans le RGPD aux « tiers » et « destinataires ».
Il convient de rappeler que le CEPD avait invité les entreprises à fournir leurs observations sur ce projet de lignes directrices le 19 octobre 2020 au plus tard.
Quelles sont les nouveautés du projet de lignes directrices quant au rôle du responsable de traitement ?
Bien que le projet de lignes directrices fournisse quelques clarifications supplémentaires sur la distinction entre responsable de traitement et sous-traitant, des incertitudes persistent dans l’application des critères de détermination de chacun de ces rôles selon le RGPD. Une analyse attentive des critères pertinents ainsi que des risques règlementaires est donc toujours nécessaire.
Il est important de garder à l’esprit que tous les « prestataires de services » ne seront pas qualifiés de sous-traitants. En effet, l’approche règlementaire proposée par le CEPD semble s’inscrire dans la tendance à la limitation du champ d’application de la qualification de sous-traitant, et également à qualifier de responsables conjoints du traitement (et non de sous-traitants) certains destinataires des données, lorsqu’ils ont jouent un rôle dans la détermination des finalités ou moyens essentiels du traitement.
Un troisième article sera donc consacré aux responsables conjoints du traitement.
Le responsable de traitement détermine les finalités et moyens du traitement
Le critère essentiel pour pouvoir qualifier une entreprise de responsable du traitement demeure le même que celui établi dans l’« avis 1/2010 sur les notions de responsable du traitement et sous-traitant » publié en février 2010 par le Groupe de travail « article 29 » (« G29 », prédécesseur du CEPD).
Ceci n’a rien de surprenant dans la mesure où le RGPD n’a pas modifié la définition du responsable de traitement telle qu’établie en 1995 par la directive 95/46/EC sur la protection des données personnelles. Le responsable de traitement est ainsi défini comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement … » (article 4(7) RGPD). Le projet de lignes directrices réaffirme ainsi le fait que le responsable de traitement détermine « à la fois » les « finalités » « et » les « moyens » du traitement de données personnelles. Dans l’Avis de 2010, les finalités et les moyens ont été traduits comme le « pourquoi » et le « comment » du traitement. Le contrôle peut être exercé sur la totalité de l’activité de traitement, ou encore seulement à un stade particulier du traitement de données personnelles.
Les sous-traitants sont souvent libres de déterminer les moyens du traitement, dans la mesure où ils utilisent leurs propres outils et technologies. D’après le projet de lignes directrices, ceci n’a pas nécessairement d’impact sur le rôle du sous-traitant si le contrôle est limité aux moyens non essentiels. Le projet de lignes directrices donne comme exemple de moyens non essentiels les « aspects plus pratiques de la mise en œuvre » tels le matériel ou le logiciel qui devrait être utilisé. Le responsable de traitement quant à lui conserve quoi qu’il en soit un pouvoir de contrôle exclusif sur les « moyens essentiels » du traitement, notamment « quelles données doivent être traitées », « quels tiers peuvent avoir accès à de telles données », « quand les données doivent être effacées », etc.
Le projet de lignes directrices propose comme exemple le cas d’une société employant un gestionnaire de paie, notant que la « manière dont ce dernier doit effectuer le traitement est en substance clairement et étroitement définie », bien qu’il puisse décider de certaines questions « telles que le logiciel à utiliser ».
Le projet de lignes directrices relève que, dans certains cas, la frontière entre le rôle de responsable du traitement et celui de sous-traitant est mince, comme cela peut être le cas lorsqu’une société désigne des comptables. Souvent, les cabinets comptables « décident eux-mêmes, conformément aux dispositions légales régissant les activités d’audit qu’ils mènent, que les données qu’ils collectent ne seront traitées qu’aux fins de l’audit du client, et déterminent les données dont ils ont besoin, les catégories de personnes devant être enregistrées, la durée de conservation des données ainsi que les moyens techniques à utiliser ». Dans ce cas, le cabinet comptable agit en tant que responsable du traitement. Toutefois, « [d]ans une situation où la loi ne prévoit pas d’obligations spécifiques pour le cabinet comptable et où la société cliente fournit des instructions très détaillées sur le traitement, le cabinet comptable agirait effectivement en tant que sous-traitant ».
La qualification de responsable de traitement peut découler des dispositions légales, lorsque la loi désigne le responsable du traitement ou qu’elle établit des tâches spécifiques pour l’organisation en question. Le projet de lignes directrices donne comme exemple l’activité de traitement d’une municipalité qui a l’obligation de fournir des prestations sociales aux citoyens en fonction de leur situation financière.
La classification en tant que responsable de traitement peut également résulter d’une « influence de fait ». Le projet de lignes directrices donne à ce sujet comme exemple un cabinet d’avocats qui agit avec un « degré significatif d’indépendance » lors de la représentation d’un client (soulignant également que le mandat n’a pas spécifiquement pour objet de traiter de données personnelles. L’influence de fait peut notamment résulter du contenu d’un contrat ou des « rôles traditionnels et l’expertise professionnelle qui impliquent normalement une certaine responsabilité » (comme dans le cas d’un employeur en ce qui concerne le traitement des données personnelles de ses employés).
La qualification de responsable du traitement est indifférente à l’accès aux données personnelles
Conformément à la jurisprudence de la CJUE (Facebook Fan page (C-201/16) et Témoins de Jéhovah (C-25/17)), le projet de lignes directrices clarifie le fait que les entreprises pour le compte desquelles les données sont traitées, ne peuvent pas exclure leur qualification de responsable du traitement sous prétexte qu’elles n’ont pas accès aux données.
Ainsi, une entreprise qui engage un prestataire de service afin d’effectuer une étude de marché et qui ne reçoit que des données agrégées ou statistiques, sera tout de même considérée comme le responsable du traitement concernant les données personnelles analysées pour la préparation d’une telle étude, si elle détermine les moyens et finalités pour lesquelles les données sont collectées, de même que les paramètres de l’étude en question.
Il n’est pas possible d’attribuer la responsabilité de façon artificielle
Comme indiqué dans le projet de lignes directrices, « il n’est pas possible ni de devenir responsable du traitement, ou d’échapper à ses obligations en tant que responsable du traitement simplement en structurant le contrat d’une certaine manière », ni en désignant une personne physique au sein de l’organisation qui serait en charge de la mise en œuvre d’une activité de traitement en lui attribuant le titre de responsable du traitement.
Obligation permanente de veiller à ce que les sous-traitants et les sous-traitants ultérieurs présentent des « garanties suffisantes »
Le respect du RGPD incombe en premier lieu aux responsables du traitement. Ceci est retranscrit dans le principe d’ « accountablity », traduit en français par « responsabilité » à l’article 5 (2) du RGPD, ainsi que les autres obligations imposées directement aux responsables de traitement. Le projet de lignes directrices souligne l’obligation pour le responsable du traitement de ne faire appel qu’à des sous-traitants qui présentent des garanties suffisantes que le traitement répondra aux exigences du RGPD. Le CEPD clarifie le fait que cette obligation s’applique également à l’octroi d’autorisations permettant aux sous-traitants d’engager un sous-traitant ultérieur. Concrètement, cela signifie que les responsables du traitement devraient ajouter une étape supplémentaire au processus d’audit de leur prestataire dans le cas où ce dernier fait lui-même appel à des sous-traitants ultérieurs. Les responsables de traitement doivent prévoir des restrictions contractuelles empêchant le sous-traitant d’avoir recours à un sous-traitant ultérieur sans l’autorisation préalable du responsable du traitement. Des contrôles doivent par ailleurs être mis en place afin de vérifier que les sous-traitants ultérieurs fournissent des « garanties suffisantes ». Lorsque les responsables du traitement accordent une autorisation générale, ils doivent avoir le droit d’être informés de toute modification apportée à la liste des sous-traitants ultérieurs agréés et avoir la possibilité de s’opposer à tout nouveau sous-traitant ultérieur. L’obligation de vérifier que les sous-traitants et sous-traitants ultérieurs fournissent des garanties suffisantes est une « obligation permanente », exigeant une vérification régulière relevant en dernier ressort de la responsabilité du responsable du traitement, même si celui-ci a délégué l’audit des sous-traitants ultérieurs au sous-traitant.
Accent sur la limitation des finalités en cas de partage des données avec d’autres responsables de traitement ou des responsables conjoints du traitement
Le projet de lignes directrices souligne également le devoir de chaque responsable de traitement de veiller à ce que les données personnelles qu’il communique à un autre responsable de traitement ou à un responsable conjoint de traitement ne soient pas par la suite traitées d’une manière incompatible avec les finalités pour lesquelles elles ont été initialement collectées par le responsable initial. Dans le cas où les données sont destinées à être utilisées à des fins supplémentaires par les responsables de traitement ou responsables de traitement conjoints, ceux-ci doivent s’engager contractuellement à disposer d’une base légale pour effectuer un tel traitement.
Accords contractuels
Le projet de lignes directrices fournit également une interprétation de l’article 28 (3) du RGPD, réaffirmant que des contrats doivent nécessairement être écrits et avoir force obligatoire. Le CEPD invite les responsables de traitement à ajouter des informations spécifiques et concrètes sur la manière dont les sous-traitants devront se conformer à leurs obligations établies par le RGPD (voir les détails dans notre article sur les sous-traitants ici). Plus précisément, le CEPD suggère d’ajouter des procédures et des formulaires standards dans les contrats avec les sous-traitants, afin de permettre à ces derniers d’aider les responsables du traitement en cas de besoin (par exemple, en mettant en place une procédure détaillée qui s’appliquera dans le cas où le sous-traitant subirait une violation des données, ou en répartissant par avance les tâches entre responsable et sous-traitant pour répondre aux éventuelles demandes d’accès des personnes concernées, etc.), ou de prévoir comment des instructions supplémentaires peuvent être données pour les besoins de ladite assistance.
Les instructions du responsable de traitement doivent également couvrir les transferts internationaux de données en dehors de l’Espace Économique Européen. Lorsque le sous-traitant est autorisé à déléguer certaines de ses activités de traitement à un sous-traitant ultérieur, le contrat doit clairement établir si les transferts vers des sous-traitants ultérieurs hors de l’EEE sont autorisés (y compris en ce qui concerne les transferts à d’autres entités du groupe du sous-traitants).
Conscient de la pratique du marché, selon laquelle certains prestataires majeurs, qualifiés de sous-traitants, imposent leurs contrats sans qu’une négociation soit possible, le CEPD souligne qu’un responsable de traitement qui adhère à de tels contrats, ne pourra pas échapper à ses responsabilités, si ces contrats violent les dispositions du RGPD. Par conséquent, les responsables du traitement doivent évaluer leurs risques de conformité et veiller à ce que ces contrats non négociables n’affectent pas leurs activités de traitement clés et leurs principaux flux de données.