L’European Data Protection Board (EDPB) a publié ses lignes directrices 07/2020 (v2) en français sur les notions de responsable du traitement et de sous-traitant au sens du Règlement général sur la protection des données (RGPD).
.
Adoptées après consultation publique le 7 juillet 2021 dans leur deuxième version, ces lignes directrices en anglais ont été traduites au profit des utilisateurs français.
En substance, le responsable du traitement est un organisme qui décide de certains éléments essentiels du traitement. La responsabilité du traitement peut être définie par la loi ou découler d’une analyse des éléments ou circonstances factuels de l’espèce. Certaines activités de traitement peuvent être considérées comme étant naturellement liées au rôle d’une entité (un employeur vis-à-vis de son personnel, un éditeur envers ses abonnés ou une association à l’égard de ses membres). Très souvent, les clauses contractuelles peuvent aider à identifier le responsable du traitement, bien qu’elles ne soient pas toujours déterminantes. Le responsable du traitement détermine les finalités et les moyens du traitement, à savoir le pourquoi et le comment de ce dernier. Le responsable du traitement doit décider à la fois des finalités et des moyens. Toutefois, certains aspects plus pratiques de la mise en œuvre (les «moyens non essentiels») peuvent être laissés à la discrétion du sous-traitant. Il n’est pas nécessaire que le responsable du traitement ait réellement accès aux données faisant l’objet du traitement pour être considéré comme un responsable du traitement.
Quant au sous-traitant, il est une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Il existe deux conditions de base pour être considéré comme un sous-traitant:
- être une entité distincte du responsable du traitement ;
- traiter les données à caractère personnel pour le compte du responsable du traitement.
Le sous-traitant ne doit traiter les données que selon les instructions du responsable du traitement. Ces instructions peuvent lui laisser une certaine marge d’appréciation quant à la manière de servir au mieux les intérêts du responsable du traitement, en permettant au sous-traitant de choisir les moyens techniques et organisationnels les plus appropriés. Toutefois, un sous-traitant viole le RGPD s’il va au-delà des instructions du responsable du traitement et commence à déterminer ses propres finalités et ses propres moyens de traitement. Il sera alors considéré comme un responsable du traitement pour ce traitement et pourra faire l’objet de sanctions pour avoir outrepassé les instructions du responsable du traitement.
Enfin, s’agissant des relations entre responsable du traitement et sous-traitant, le responsable du traitement ne doit recourir qu’à des sous-traitants qui offrent des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences du RGPD. Les éléments à prendre en considération pourraient être les connaissances spécialisées du sous-traitant (par exemple, l’expertise technique en ce qui concerne les mesures de sécurité et les violations de données), la fiabilité du sous-traitant, les ressources du sous-traitant et son respect d’un code de conduite ou d’un mécanisme de certification approuvés. Par ailleurs, tout traitement de données à caractère personnel effectué par un sous-traitant doit être régi par un contrat ou un autre acte juridique établi par écrit, y compris sous forme électronique, et contraignant. Le responsable du traitement et le sous-traitant peuvent choisir de négocier leur propre contrat, y compris tous les éléments obligatoires, ou de se fonder en tout ou en partie sur des clauses contractuelles types. Enfin, le RGPD énumère les éléments qui doivent figurer dans l’accord de traitement. L’accord de traitement ne devrait toutefois pas simplement reproduire les dispositions du RGPD; il devrait inclure des informations plus spécifiques et concrètes sur la manière dont les conditions seront remplies et sur le niveau de sécurité requis pour le traitement de données à caractère personnel qui fait l’objet dudit accord.