La distinction fondamentale entre responsable de traitement et sous-traitant
Le RGPD repose sur une distinction essentielle entre deux acteurs : le responsable de traitement et le sous-traitant. Le responsable de traitement est l organisme qui determine les finalites et les moyens du traitement de donnees personnelles. Il decide pourquoi et comment les donnees sont collectees et utilisees.
Le sous-traitant est l organisme qui traite des donnees personnelles pour le compte du responsable de traitement, selon ses instructions. Il n agit pas de maniere autonome mais execute les directives du responsable de traitement. Cette distinction conditionne la repartition des obligations et des responsabilites entre les deux acteurs.
Comment identifier le responsable de traitement ?
Le responsable de traitement est celui qui prend les decisions cles concernant le traitement. Il determine la finalite du traitement, c est-a-dire l objectif poursuivi. Il choisit les moyens essentiels : quelles donnees collecter, combien de temps les conserver, qui peut y acceder et quelles mesures de securite appliquer.
Dans la pratique, le responsable de traitement est souvent l entreprise ou l organisme qui a un besoin operationnel ou strategique de traiter les donnees. Par exemple, une entreprise qui gere la paie de ses salaries est responsable de traitement pour ce traitement, meme si elle utilise un logiciel de paie externe.
Comment identifier le sous-traitant ?
Le sous-traitant agit sur instruction du responsable de traitement. Il ne determine ni la finalite ni les moyens essentiels du traitement. Son role se limite a executer les taches qui lui sont confiees dans le cadre defini par le responsable de traitement.
Les exemples courants de sous-traitants incluent les hebergeurs cloud, les prestataires de maintenance informatique, les editeurs de solutions SaaS, les agences de marketing digital ou les centres d appels externalises. Ces prestataires traitent des donnees pour le compte de leurs clients sans en determiner les finalites.
Les cas de responsabilite conjointe
Deux organismes ou plus peuvent etre responsables conjoints de traitement lorsqu ils determinent ensemble les finalites et les moyens d un traitement. C est le cas par exemple de partenaires commerciaux qui exploitent ensemble une base de donnees clients ou de co-organisateurs d un evenement qui collectent conjointement les inscriptions.
Les responsables conjoints doivent definir de maniere transparente leurs obligations respectives, notamment en ce qui concerne l exercice des droits des personnes concernees. Un accord entre les parties doit preciser la repartition des responsabilites. Les grandes lignes de cet accord doivent etre mises a disposition des personnes concernees.
Les consequences de la qualification
La qualification de responsable de traitement ou de sous-traitant entraine des obligations differentes. Le responsable de traitement porte la responsabilite principale du respect du RGPD. Il doit garantir la licite du traitement, informer les personnes concernees, repondre aux demandes d exercice des droits et notifier les violations de donnees a la CNIL.
Le sous-traitant a des obligations propres : traiter les donnees uniquement sur instruction, garantir la confidentialite, mettre en oeuvre des mesures de securite adequates et aider le responsable de traitement dans ses obligations. En cas de non-respect de ses obligations, le sous-traitant engage sa propre responsabilite.
Les erreurs frequentes de qualification
La qualification erronee des roles est un probleme frequent. Certains organismes se presentent comme sous-traitants alors qu ils determinent les finalites du traitement. A l inverse, des prestataires qui agissent comme simples executants sont parfois consideres comme responsables de traitement.
La CNIL et les tribunaux analysent la realite des pratiques, et non les termes du contrat. Un prestataire qui depasse ses instructions ou qui utilise les donnees pour ses propres finalites peut etre requalifie en responsable de traitement, avec toutes les obligations et sanctions qui en decoulent.
Les criteres pratiques de distinction
Pour qualifier correctement les roles, posez-vous les bonnes questions. Qui a decide de collecter ces donnees et pourquoi ? Qui determine les categories de donnees collectees et la duree de conservation ? Qui choisit les destinataires des donnees ? L organisme qui repond a ces questions est le responsable de traitement.
Article redige par Laurent de Cavel, DPO certifie. Publie sur DPO Partage, le portail francophone de reference sur le RGPD et la protection des donnees personnelles.
