La qualification des parties est l’une des questions les plus complexes soulevés par le Règlement Général sur la Protection des Données (RGPD).
Malgré les définitions données par l’article 4 du RGPD du responsable du traitement et du sous-traitant RGPD, ces notions restent difficiles à cerner lorsque l’on est confronté à la pratique et à la complexité des relations entre les entreprises.
Dans son Avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant », le Comité Européen de la Protection des Données (CEPD), à l’époque connu sous le nom du G29, mentionne certains critères qui pourraient faire pencher la qualification d’un côté ou de l’autre :
– Le degré d’autonomie du prestataire : est-il réellement libre dans la manière dont il traite les données personnelles ? Ou suit-il simplement les instructions du responsable de traitement ?
– La surveillance exercée par le responsable du traitement : le prestataire doit-il rendre des comptes au responsable du traitement ? Ce dernier est-il en mesure de surveiller la manière dont il traite les données personnelles, et de contrôler sa conformité aux instructions données ?
– La visibilité du prestataire : les personnes concernées sont-elles conscientes de l’existence du prestataire ? Savent-elles qu’elles ont affaire à lui ou pensent-elles que leur seul interlocuteur est le responsable du traitement ?
– L’expertise du prestataire : exerce-t-il un métier qui, de par sa nature, requiert une spécialisation spécifique ? Ce critère s’applique par exemple aux commissaires aux comptes, qui ne peuvent être considérés sous-traitants en raison de la nature même de leur métier.
Certes, ce faisceau d’indices permet d’avoir une meilleure idée des rôles à attribuer aux acteurs de la protection des données personnelles. Mais lorsque le doute persiste, et qu’une décision doit être prise pour ne pas bloquer l’activité, quelle qualification faut-il préférer pour son prestataire ?
Opter pour une qualification en sous-traitant a plusieurs incidences sur la relation entre les parties.
Cela place automatiquement l’entreprise cliente dans une position de force : le sous-traitant doit suivre ses instructions et ne doit pas traiter les données personnelles pour une finalité autre que celle définie par elle. Elle garde ainsi le contrôle sur sa base de données.
L’entreprise cliente a la possibilité de lui imposer les mesures de sécurité qui lui semble être les plus appropriées pour le traitement, et de contrôler la bonne implémentation de ces mesures via des audits.
Pourtant, cela ne veut pas dire qu’il vaut mieux toujours opter pour cette qualification. Les audits qui semblent être un avantage peuvent vite devenir une lourde charge puisque le responsable de traitement a le devoir de ne recourir qu’aux sous-traitants qui sont en conformité avec le RGPD, et il doit ainsi faire les vérifications nécessaires pour s’assurer de cette conformité.
Par ailleurs, si une sanction RGPD ou amende est imposée à l’entreprise cliente, elle ne pourra se retourner contre son sous-traitant qu’à la hauteur de sa responsabilité dans la faute reprochée.
Pour rappel, la différence entre un responsable de traitement indépendant et un responsable conjoint du traitement est la suivante : le responsable de traitement indépendant détermine la finalité et les moyens de son propre traitement qui ne profite qu’à lui. Un responsable conjoint détermine, conjointement avec un autre responsable, la finalité et les moyens du traitement qu’ils ont choisi de réaliser ensemble et qui profite à tous les deux.
Qualifier son prestataire ou agence RGPD en responsable de traitement, indépendant ou conjoint, implique une responsabilisation plus poussée de ce dernier.
En effet, un prestataire qualifié de responsable de traitement indépendant peut traiter les données personnelles pour des finalités qu’il a lui-même définies et qui ne profitent qu’à lui (par exemple la prospection commerciale, la revente d’une base de données, etc.). L’entreprise cliente pourra ainsi perdre tout contrôle sur la base de données, elle ne peut communiquer aucune instruction à son prestataire sur le traitement des données.
Elle ne peut pas non plus lui imposer des mesures de sécurité ou l’assistance qui est demandée d’un sous-traitant.
Toutefois, en cas de responsabilité conjointe, il est possible de prévoir un partage des obligations, notamment concernant la gestion des droits des personnes concernées, la réalisation d’analyses d’impact relative à la protection des données, ou encore la notification des violations de données à l’autorité de contrôle ou aux personnes concernées.
Enfin, en cas d’amende, il est possible pour l’entreprise cliente de se dédouaner de toute responsabilité en prouvant que la faute a été commise en totalité par le prestataire, qu’il soit responsable de traitement indépendant ou responsable conjoint. Ce dernier devra alors payer l’intégralité de l’amende.
Pour conclure, il faut rappeler que la qualification du prestataire va tout d’abord dépendre de l’analyse juridique menée sur son rôle dans le traitement des données personnelles. Il ne s’agit pas pour l’entreprise cliente de choisir la qualification la plus avantageuse pour elle en méconnaissant les exigences du RGPD et les recommandations du CEPD.
Cependant, lorsqu’il s’avère compliqué de trancher, il faut toujours documenter l’analyse réalisée et la justification du choix final, pour pouvoir les déployer en cas de contrôle
[1]Le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. » (art. 4-7 du RGPD).
[2]Le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. » (art. 4-8 du RGPD).
Par Marianne Saber
Nous dispensons des formations spécifiques animées par nos DPO.
Vous pouvez retrouver notre programme « Formation DPO » et le formulaire d’inscription juste en dessous.