Lignes directrices sur le concept de responsable de traitement et de sous-traitant au sens du RGPD : version 2020
Le Comité européen de la protection des données (CEPD) vient de publier son projet de lignes directrices 07/2020 sur le concept de responsable de traitement et de sous-traitant au sens du RGPD.
Ce projet est soumis à une consultation publique jusqu’au 19 octobre 2020.
L’objectif : clarifier les rôles et responsabilités de chaque entité amenée à traiter des données personnelles au sens du RGPD.
L’enjeu : avoir une visibilité sur l'attribution du rôle de responsable de traitement pour garantir la responsabilité « accountability » ainsi qu’une protection efficace et effective des données personnelles.
Des définitions illustrées :
Le responsable de traitement est celui qui détermine les moyens et finalités de traitement :
Ce rôle peut lui être attribué par voie législative ou réglementaire
Exemple : le droit national du pays A prévoit l'obligation pour les autorités municipales de fournir des prestations sociales telles que des paiements mensuels aux citoyens en fonction de leur situation financière. Afin d'effectuer ces paiements, l'autorité municipale doit collecter et traiter les données relatives à la situation financière des demandeurs. Même si la loi n’indique pas explicitement que les autorités municipales sont les responsables de ce traitement, cela se déduit implicitement de leurs obligations légales.
Ce rôle peut lui être attribué par des éléments factuels
Exemple : la société ABC engage un cabinet d'avocats pour la représenter dans un litige. Le cabinet doit traiter des données à caractère personnel liées au litige. Le traitement est justifié par le mandat du cabinet d'avocats pour représenter le client devant le tribunal. Ce mandat n'est toutefois pas spécifiquement destiné au traitement des données à caractère personnel. Le cabinet d'avocats agit avec un degré important d'indépendance, par exemple pour décider quelles informations utiliser et comment les utiliser, et il n'y a pas d'instructions de la société cliente concernant les données personnelles traitées. Le traitement que le cabinet d'avocats effectue pour remplir la mission de représentant de l'entreprise est donc lié au rôle fonctionnel du cabinet d'avocats, de sorte qu'il doit être considéré comme responsable de ce traitement.
Le sous-traitant est une entité distincte du responsable de traitement, qui traite des données pour le compte du responsable de traitement :
Une entité distincte : un département d’une entreprise ne peut pas être considéré comme tel, en revanche une filiale le peut.
Pour le compte : le sous-traitant traite des données sur instructions du responsable de traitement ; il ne sert pas ses propres intérêts.
Exemple : Service de taxi
Un service de taxi offre une plate-forme en ligne qui permet aux entreprises de réserver un taxi pour transporter des employés ou des invités à l'aéroport et à l'extérieur. Lors de la réservation d'un taxi, l'entreprise ABC indique le nom de l'employé qui doit être récupéré à l'aéroport afin que le chauffeur puisse confirmer l'identité de l'employé au moment de la prise en charge. Le service de taxi traite les données personnelles de l'employé dans le cadre de son service à la société ABC, mais le traitement en tant que tel n'est pas la cible du service. Le service de taxi a conçu la plate-forme de réservation en ligne dans le cadre du développement de sa propre activité commerciale de fourniture de services de transport, sans aucune instruction de la part de la société ABC. Le service de taxis détermine également de manière indépendante les catégories de données qu'il collecte et la durée de leur conservation. Le service de taxi agit donc en tant que responsable de traitement à part entière, nonobstant le fait que le traitement ait lieu à la suite d'une demande de service de la société ABC.
Exemple : Centre d'appel
La société X sous-traite son assistance à la société Y qui met à disposition un centre d'appel afin d’aider les clients de la société X à répondre à leurs questions. Le service d'assistance aux clients signifie que l'entreprise Y doit avoir accès aux bases de données des clients de la société X. L'entreprise Y ne peut accéder aux données que pour fournir le soutien que l'entreprise X a obtenu et la société Y ne pas traiter les données pour d'autres fins que celles indiquées par la société X. La société Y doit être considérée comme un sous-traitant et un accord de protection des données doit être conclu entre la société X et Y.
L’exigence d’un accord de protection de données
Le CEPD rappelle qu’un accord de protection de données doit obligatoirement être signé entre le responsable de traitement et le sous-traitant au sens du RGPD. Les parties peuvent se reposer sur des clauses contractuelles types (comme celles de la Commission européenne par exemple) pour former leur accord mais peuvent également choisir de négocier toute autre forme librement.
L’accord de protection de données ne devra pas se contenter de reprendre simplement les dispositions du RGPD. Il devra inclure des informations plus spécifiques et concrètes sur le niveau de sécurité requis pour le traitement des données, sur les obligations de chaque partie et sur leurs rôles respectifs en pratique.
Le CEPD recommande vivement aux responsables de traitement de documenter leurs instructions en établissant une procédure en annexe de l’accord de protection de données.
Le cas spécifique de la responsabilité conjointe
Le CEPD recommande aux responsables de traitement conjoints de définir clairement « qui fait quoi ? » afin de déterminer les rôles et responsabilités de chacun en matière de conformité au RGPD. Le but de cette répartition est d’assurer une mise en œuvre effective du RGPD.
Même si le RGPD énonce que la forme de l’accord entre les responsables de traitement est libre, le CEPD recommande de formaliser l’accord par un contrat afin de documenter les rôles et responsabilités de chacun de manière claire, précise et transparente et ainsi d’éviter tout conflit ou contestation ultérieure : qui sera le point de contact pour l’exercice des droits des personnes concernées ? qui sera le point de contact de l’autorité de protection des données ?
En ce sens, le CEPD recommande également aux parties d’inclure des informations générales sur le traitement conjoint, telles que les finalités, la durée de conservation, le type de données, les catégories de personnes concernées.
Pour plus d’informations, n’hésitez pas à parcourir le projet de lignes directrices (disponible uniquement en langue anglaise pour le moment).
