Responsable du traitement, sous-traitants : comment bien identifier son rôle ?
Avant de traiter des données personnelles, il est essentiel que les acteurs identifient leurs rôles : responsable, sous-traitant ou responsable conjoint du traitement. Cette distinction détermine les obligations de chacun. La CNIL rappelle les critères et les conséquences pratiques.
Toute personne physique ou organisme doit s’interroger sur son rôle et ses obligations avant de collecter et de traiter des données personnelles. Responsable du traitement, seul ou conjointement avec d’autres organismes ou sous-traitant, les acteurs doivent déterminer leur qualification au cas par cas. La qualification ne dépend pas d’un choix contractuel mais des faits : qui décide de quoi ? qui exécute quoi ?, etc.
Cette qualification détermine concrètement les obligations de chacun. Bien identifier son rôle, c’est mieux comprendre ce que l’on doit faire pour respecter le RGPD, mais aussi ce dont on est légalement responsable. En cas de doute, il est important de documenter la réflexion qui a été menée pour aboutir à cette qualification et d’être en mesure de la justifier.
Déterminer le rôle des acteurs impliqués
Le Comité européen de la protection des données (CEPD) a dégagé certains critères permettant de déterminer si un organisme intervient en qualité de responsable, de responsable conjoint ou de sous-traitant dans ses lignes directrices du 7 juillet 2021.
L’organisme est responsable du traitement si…
Le responsable du traitement est la personne physique ou morale qui détermine à la fois les objectifs et les moyens du traitement, c’est-à-dire qui décide du « pourquoi » et du « comment » de l’utilisation de données personnelles.
Lorsqu’on parle des moyens d’un traitement de données, il faut distinguer les « moyens essentiels », décidés par le responsable du traitement, et les « moyens non essentiels », qui peuvent être laissés au sous-traitant :
- Les moyens essentiels concernent les décisions clés : quelles données personnelles sont collectées et utilisées, pendant combien de temps, quelles sont les destinataires, etc.
- Les moyens non essentiels, eux, relèvent plutôt de la mise en œuvre technique, comme le choix d’un logiciel.
Même si un acteur choisit un « traitement sur étagère », défini à l’avance, il peut être considéré comme responsable du traitement dès lors qu’il effectue ce choix au regard de ses besoins et des caractéristiques du dispositif, dont il aura connaissance, par exemple dans un processus de commande publique. Dans certains cas, le prestataire ne sera pas juste un sous-traitant mais pourra être vu comme co-responsable du traitement, par exemple s’il est établi que son rôle dépasse la seule prestation de service.
À noter : il n’est pas nécessaire que le responsable du traitement ait réellement accès aux données pour être considéré comme un responsable du traitement.
Exemples de responsables de traitement :
- Un assureur est responsable des traitements liés à l’exécution d’un contrat individuelle d’assurance ou d’assistance.
- Un employeur est considéré comme responsable du traitement dès lors qu’il décide de la création et de la mise en œuvre du traitement constitué pour répondre à son propre besoin de recrutement en recueillant, classant, conservant et, à terme, en supprimant les données des candidats et en déterminant les modalités de ce traitement (par exemple : nature des données collectées sur les candidats – CV, lettres de motivation, certificats de travail -, durée de conservation des données, définition des personnes autorisées à accéder aux informations sur les candidats).
- Un développeur d’applications est responsable du traitement lorsqu’il croise des données issues de différentes applications dans le but de proposer de nouveaux services.
L’organisme est co-responsable du traitement si…
Lorsque deux responsables du traitement, ou plus, déterminent ensemble les finalités et les moyens du traitement, ils sont responsables conjoints du traitement.
Cette responsabilité conjointe peut se traduire par :
- une décision prise en commun ;
- ou des décisions séparées mais complémentaires, qui aboutissent à un traitement commun.
Ce qui compte, c’est que le traitement n’aurait pas lieu sans la participation active de chacun : le traitement par chacune des parties est indissociable de celui de l’autre, c’est-à-dire étroitement lié.
Exemples de co-responsables de traitement :
- Des centres hospitaliers universitaires développant un système d’IA pour l’analyse de données d’imagerie médicale choisissent de recourir à un même protocole d’apprentissage fédéré. Ce dernier leur permet d’exploiter des données pour lesquelles ils sont initialement des responsables de traitement distincts, afin de ne pas s’en rendre mutuellement destinataires. Ils déterminent ensemble l’objectif (entraîner un système d’IA d’imagerie médicale) et les moyens de ce traitement (à travers le choix du protocole et la détermination des données qu’ils exploitent) : ils sont donc responsables conjoints de ce traitement d’apprentissage.
- Plusieurs collectivités territoriales décident de développer ensemble une plateforme commune et locale d’ouverture de leurs données, destinées à favoriser, par la mise à disposition d’un point d’accès unique aux informations publiques qu’elles détiennent, la réutilisation de celles-ci et la création de nouvelles offres de services sur le territoire. Elles sont, dans ce cas, co-responsables de traitement.
L’organisme est sous-traitant si…
Le sous-traitant est une personne ou un organisme qui traite les données personnelles pour le compte du responsable du traitement. Il doit toujours respecter les instructions données par le responsable du traitement. Parfois, il peut choisir les moyens techniques qui lui semblent les plus adaptés, tant que cela respecte les objectifs fixés par le responsable du traitement.
En revanche, si le sous-traitant décide lui-même des objectifs et des moyens du traitement, sans respecter les consignes du responsable, il dépasse son rôle. Dans ce cas, il est considéré comme responsable du traitement et peut être sanctionné.
Sous certaines conditions, le sous-traitant peut réutiliser les données qui lui sont confiées pour des finalités qui lui sont propres.
- Pour aller plus loin : Sous-traitants : la réutilisation de données confiées par un responsable de traitement
Exemples de sous-traitants :
- Le développeur d’une application mobile doit être qualifié de sous-traitant lorsqu’il réalise des opérations sur des données hébergées sur le serveur de l’application à des fins de maintenance ou d’infogérance de l’application.
- Une société organisant un salon professionnel peut être considéré comme un sous-traitant lorsqu’elle lance une campagne d’e-mailing de remerciements à destination des candidats ayant déposé leur CV directement auprès d’une entreprise présente à ce salon, à la demande de cette dernière et à partir du fichier que l’entreprise à constitué à partir des CV directement déposés par les candidats sur son stand. L’entreprise peut, quant à elle, être considérée comme responsable de traitement du fichier recensant tous les candidats ayant déposé leur CV.
Formaliser les rôles et obligations des différents acteurs
Bien choisir et encadrer ses sous-traitants : une responsabilité clé
Avant de confier un traitement de données personnelles à un prestataire, le responsable du traitement doit s’assurer que ce sous-traitant offre toutes les garanties nécessaires pour respecter le RGPD (article 28 du RGPD).
Cela concerne notamment :
- sa compétence technique (ex. : en cybersécurité, gestion des incidents) ;
- sa fiabilité ;
- ses moyens humains et techniques ;
- ou encore son adhésion à un code de conduite ou une certification RGPD.
Un contrat écrit, ou un autre acte juridique, est obligatoire entre le responsable et le sous-traitant. Ce contrat doit être précis, clair, et contraignant. Il peut être librement négocié ou s’appuyer sur des clauses contractuelles types.
Le contrat ne doit pas se contenter de reproduire le RGPD. Il doit expliquer concrètement comment les obligations seront mises en œuvre et notamment le niveau de sécurité requis pour le traitement de données personnelles.
À noter : même en cas de déséquilibre de pouvoir (un petit responsable du traitement face à un grand prestataire), le responsable du traitement ne peut pas se décharger de ses obligations RGPD. Il doit vérifier que les clauses sont conformes et, s’il accepte le service, il reste responsable du respect de la règlementation.
Responsables conjoints : bien définir qui fait quoi
Les responsables conjoints du traitement doivent définir ensemble, par écrit et de manière transparente, la répartition de leurs obligations que leur impose le RGPD (article 26 du RGPD). Ils doivent notamment définir :
- qui répond aux demandes des personnes concernées et informe les personnes ;
- qui gère la sécurité, les fuites de données ou les analyses d’impact sur le protection des données, etc.
Cette répartition n’enlève rien à la responsabilité de chacun. Elle permet surtout d’assurer une bonne coordination et une meilleure protection des personnes.
Le contrat doit être mis à disposition de celles-ci pour assurer une transparence complète. Même si les rôles sont répartis dans l’accord, les personnes concernées peuvent exercer leurs droits auprès de n’importe quel responsable conjoint.
À noter : le partage de la responsabilité du traitement ne veut pas dire que chacun est responsable de la même manière. Les acteurs, conjointement responsables, peuvent intervenir à différents stades d’un traitement de données et avec des rôles plus ou moins importants. Leur niveau de responsabilité doit donc être évalué selon les circonstances précises du cas et précisé dans le contrat.
Comment se mettre en conformité ?
Déterminer le rôle des acteurs impliquées dans le traitement des données personnelles, au terme d’une analyse concrète des modalités de création et de mise en œuvre du traitement.
Tracer, dans les supports de documentation interne, la réflexion menée et la justification retenue pour déterminer la qualification des acteurs.
Etablir un contrat ou tout autre acte juridique avec les sous-traitants et les responsables conjoints de traitement afin de clarifier et déterminer les rôles et les obligations de chacun.
Informer les personnes concernées de l’identité du responsable du traitement des données.
Pour être accompagné dans l’analyse du statut de l’acteur concerné, échanger avec le délégué à la protection des données de l’organisme, s’il en a désigné un.
Poser la question à ses sous-traitants s'ils disposent d'une certification ou s'ils sont adhérents d'un code de conduite.
Quel est le rôle de la CNIL en matière de qualification ?
La qualification des acteurs est une étape essentielle pour assurer une conformité effective au RGPD. Conformément au principe de responsabilité, il revient d’abord aux acteurs eux-mêmes d’identifier leur rôle respectif. Pour accompagner cette démarche, la CNIL met à disposition sur son site des exemples sectoriels concrets, permettant aux acteurs de mieux comprendre les critères à prendre en compte pour se qualifier correctement.
La qualification n’est pas une simple formalité : elle détermine les obligations juridiques de chaque acteur, qu’il s’agisse par exemple de la tenue d’un registre, de la gestion des sous-traitants, de l’information des personnes ou de la réponse aux droits (voir le tableau au sein du guide recrutement de la CNIL).
En cas de contrôle, la CNIL n’est pas liée par les qualifications contractuelles retenues entre les parties ; elle analyse les responsabilités des acteurs au regard des justifications fournies et de leur influence sur le traitement de données. Elle peut donc requalifier les rôles des acteurs si elle estime que la qualification retenue ne reflète pas la réalité, avec des conséquences potentielles en matière de sanctions. Cela justifie l’importance cruciale d’une qualification rigoureuse et documentée dès la conception d’un traitement.
