Quel est mon rôle ?
Après avoir déterminé si "le bloc de la protection des données" s'applique à la situation envisagée, il convient de se demander quel est le rôle que les différents acteurs vont jouer. Trois catégories sont envisagées par le RGPD:
Le responsable de traitement
Le sous-traitant
Le délégué à la protection des données
Le responsable du traitement
Afin de faciliter votre compréhension du sujet, cette partie est divisée en deux. Dans un premier temps la notion de responsable de traitement va être explicitée. Dans un second temps, les situations de responsabilité conjointe vont être évoquées.
La notion de responsable de traitement
Cette notion clef est définie par l'article 4 du RGPD.
7. «responsable du traitement», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;
Le responsable de traitement est donc celui qui détermine les moyens et les finalités. Ces deux notions sont très larges et assez floues, et peuvent poser des difficultés pratiques pour les traitements comprenant de nombreux acteurs.
Au yeux du public, le responsable de traitement est d'abord et avant tout celui qui s'affiche comme tel. De manière plus théorique, c'est celui qui prend les décisions et qui contrôle leur bonne application :
La décision de mettre en œuvre le traitement
La détermination du ou des objectifs du traitement
La détermination des méthodes à employer pour arriver à ces objectifs
La décision d'employer tel ou tel prestataire pour réaliser une ou plusieurs tâches
Un autre critère très couramment utilisé est celui de l'intérêt : le responsable de traitement peut être celui qui profite du traitement de données, celui qui en tire un bénéfice.
Les co-responsables du traitement
Enfin, s'il y a toujours un responsable de traitement, il n'est pas obligatoire qu'il n'y en ait qu'un seul. L'article 26 du RGPD prévoit en effet que
1. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement
Il est à noter qu'il n'est pas nécessaire d'y avoir un équilibre entre les implications de chacun pour que plusieurs organismes soient co-responsables. Plusieurs schémas sont envisageables :
Les co-responsables définissent ensemble les finalités et les moyens du traitement
Un co-responsable définit les finalités et l'autre se charge des moyens
Les co-responsables définissent ensemble les finalités et un des deux se charge des moyens
...
En pratique, la situation de responsabilité conjointe se rencontre assez peu, et a tendance a être évitée par les structures. En effet, elle implique la coordination d'au moins deux structures, parfois plus : en cas de difficultés relationnelles, le bon fonctionnement du traitement pourrait être remis en cause, ce qui n'est pas souhaitable.
Le sous-traitant
A nouveau, l'article 4 du RGPD définit le rôle du sous-traitant.
8. «sous-traitant», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
La définition est, en théorie, très claire : le sous-traitant est la personne qui va traiter les données pour le compte du responsable de traitement. C'est celui qui, en échange d'une rémunération, va en contrepartie réaliser une ou plusieurs opérations de traitement : la maintenance d'une base de données clients, la mise en œuvre d'un mailing efficace, …
La pratique, génératrice de difficultés
En pratique, la définition des rôles du responsable de traitement et de sous-traitant n'est pas si claire, et génère de nombreuses difficultés. Par exemple : je demande à mon sous-traitant d'arriver à tel objectif mais je le laisse libre de choisir les méthodes. Est-il sous-traitant au sens du RGPD ou est-il co-responsable ?
Autrement dit, quel niveau d'autonomie peut avoir un sous-traitant sans être considéré comme un responsable de traitement ? De manière générale, plus le prestataire est libre, plus il est susceptible d'être considéré comme un co-responsable de traitement.
A titre d'exemple, la Cour de Justice de l'Union Européenne a, le 5 juin 2018, estimé que l'administrateur d'une page Facebook est co-responsable de traitement avec Facebook dans la mesure où il peut paramétrer ses statistiques de mesure d'audience et déterminer les données collectées.
La Cour a ainsi estimé que :
L'administrateur a contribué au traitement de données des visiteurs de la page en paramétrant les statistiques et les données collectées ;
Facebook et l'administrateur de la page tirent tous deux un bénéfice du traitement de données
La Cour précise bien que, même si vous avez une page Facebook, cela ne signifie pas nécessaire que vous êtes co-responsable : tout dépendra du rôle que vous jouez dans le traitement des données de vos abonnés. De manière générale, l'analyse des responsabilités est à effectuer de manière casuistique.
Le délégué à la protection des données
Le rôle du délégué à la protection des données (DPD ou DPO en anglais) n'est pas défini par l'article 4 du RGPD, mais par la section 4 (articles 37 et suivants). Le délégué à la protection des données est la personne qui conseille et accompagne le responsable de traitement dans sa mise en conformité à la réglementation.
Le délégué à la protection des données peut aussi bien être :
Interne à l'entreprise, c'est-à-dire recruté comme tout employé
Externe, c'est-à-dire recruté comme un prestataire
Mutualisé, c'est-à-dire désigné par plusieurs structures, qui ont généralement des intérêts communs (exemples: plusieurs associations, plusieurs filiales d'un groupe, ...).
Pour les structures assez importantes, l'option du délégué interne est à privilégier : il sera plus disponible, plus à l'écoute de vos besoins, et, surtout, il connaîtra l'environnement de travail et les problématiques de la structure, ce qui lui permettra d'apporter des solutions adéquates et pertinentes.
Maintenant que les rôles des différents acteurs ont bien été définis et délimités (autant que faire se peut), la prochaine étape est de bien comprendre les grands principes autour desquels gravite toute la réglementation.
Dernière mise à jour