Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Formations en ligne à Excel, Word, Office, Teams... Formez-vous en toute autonomie. Je les découvre !
  1. Livres et vidéos
  2. RGPD
  3. Le(s) responsable(s) et le(s) sous
Extrait - RGPD Le comprendre et le mettre en oeuvre (2e édition) - (retours d'expérience pour les DPO...)
Extraits du livre
RGPD Le comprendre et le mettre en oeuvre (2e édition) - (retours d'expérience pour les DPO...)
2 avis
Revenir à la page d'achat du livre

Le(s) responsable(s) et le(s) sous-traitant(s)

Introduction

Le responsable du traitement peut collaborer avec un autre responsable de traitement. Il peut aussi confier une partie du traitement à un sous-traitant qui peut, à son tour, sous-traiter. L’analyse de ces relations est complexe tant sur le plan théorique que pratique. Elle dépend à la fois d’éléments relevant du droit des données à caractère personnel et d’éléments relatifs à la matière contractuelle. La qualification de ces différents acteurs est indispensable car elle permet de déterminer leurs obligations respectives et leur responsabilité. Elle peut également contribuer à déterminer la compétence des autorités de contrôle ou des juridictions et même, dans certains cas, la loi applicable.

Notion de responsable

1. Interprétation de la notion

Le responsable d’un traitement de données à caractère personnel est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement... » (RGPD, art. 4.7).

L’article 3 I de la loi de 1978 dispose que le responsable du traitement « est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ». Le responsable du traitement peut donc être désigné expressément soit par le droit d’un État membre, soit par le droit de l’UE. Aux termes de l’article 4.7) du RGPD : « Lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».

Les notions de responsable de traitement et de sous-traitant sont des notions autonomes, ce qui signifie que leur interprétation relève de la seule compétence de la Cour de Justice et non de la compétence des juridictions des Etats membres de l’UE. Or, la Cour de Justice considère qu’une interprétation extensive de la notion de responsable de traitement doit être retenue afin d’assurer une protection efficace et complète des personnes concernées (CJUE, 13 mai 2014, Google Spain et Google, C-131/12, EU:C:2014:317, point 34 ; CJUE, 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, point 28).

À défaut de désignation expresse par la loi, le responsable peut parfois être déterminé de...

Notion de responsable conjoint

Plusieurs personnes peuvent participer au traitement. Peuvent-elles alors être qualifiées de responsables conjoints ? Conformément à l’article 26 § 1 du RGPD, l’admission de cette qualification suppose que ces personnes déterminent conjointement les finalités et les moyens du traitement. Cependant, pour un même traitement de données à caractère personnel, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents acteurs. La Cour de Justice considère en effet que « ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce » (CJUE, 10 juillet 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, point 66 ; CJUE, 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16 ; CJUE, 29 juill. 2019, Fashion ID GmbH & Co. KG contre Verbraucherzentrale NRW eV, C-40/17).

Dès lors qu’une personne influe, à des fins qui lui sont propres, sur le traitement, elle participe à la détermination des finalités...

Sous-traitant

1. Définition

Le responsable du traitement peut en confier une partie à un sous-traitant, c’est-à-dire « une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » (RGPD, art. 4.8).

Ce peut être, par exemple, la réalisation de certaines opérations comptables ou la gestion de la paye des salariés. Autre exemple, les prestataires de services informatiques comme les fournisseurs d’hébergement, les prestataires de sécurité informatique interviennent souvent à titre de sous-traitant. Ainsi, chaque fois qu’une société externalise une partie de ses activités, le prestataire externe intervient comme sous-traitant de cette société du point de vue des données à caractère personnel.

Le G29 (désormais le Comité européen de la protection des données) a émis le 16 février 2010 un avis sur les notions de « responsable du traitement et sous-traitant » auquel il peut être utile de se reporter : http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_fr.pdf).

Le sous-traitant y est défini comme une personne juridique distincte du responsable. Agir pour le compte du responsable signifie que le sous-traitant « exécute les instructions données par le responsable au moins en ce qui concerne la finalité du traitement et les éléments essentiels des moyens » (v. avis, page 27). En revanche, le sous-traitant reste libre de définir les moyens techniques et organisationnels lui permettant de remplir sa mission dans le respect des droits de la personne concernée.

Il convient de noter que dès lors qu’un sous-traitant détermine les finalités et les moyens du traitement, il perd cette qualité et doit être considéré comme un responsable du traitement (RGPD, art. 28 § 10).

Les règles relatives aux responsables, voire aux responsables conjoints doivent alors être appliquées. Par exemple, un fournisseur d’hébergement de données est un sous-traitant des données qui lui sont transmises...

Formalisation des relations entre responsable de traitement et sous-traitant

L’article 28 § 3 du RGPD dispose « Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement ».  Deux situations sont envisageables : soit un contrat a d’ores et déjà été rédigé par les parties, soit aucun écrit ne formalise encore leurs relations. Dans le premier cas, il suffit de compléter le contrat existant par des stipulations relatives aux données à caractère personnel. Dans le second cas, un contrat devra être signé, qui précisera son objet et les obligations des parties, au-delà des stipulations relatives aux données à caractère personnel. Quel que soit le contrat liant le responsable au sous-traitant de données à caractère personnel, qu’il y ait ou non sous-traitance sur le plan contractuel, le contrat devra être écrit. La forme électronique peut être utilisée (RGPD, art. 28 § 9). Le règlement ne précise pas la sanction attachée au défaut de respect de cette forme. A supposer que l’écrit ne soit ni nécessaire pour...

Aspects internationaux

Une situation est internationale sur le plan juridique si elle comprend un élément étranger. Dans le cadre des données à caractère personnel, tel est le cas, par exemple, d’un traitement effectué par un responsable situé dans un État de données à caractère personnel d’une personne résidant dans un autre État ou encore d’un responsable établi dans un État, tandis que son sous-traitant est établi dans un autre État. Cette situation génère des questions sur la compétence internationale, d’une part, et sur la loi applicable, d’autre part. Sur le plan de la compétence, le RGPD fixe la compétence des différentes autorités centrales. Par ailleurs, sur le plan pénal, la compétence des autorités peut dépendre de la nationalité des personnes commettant les infractions ou encore du lieu de l’infraction. Sur le plan civil, dans le cas d’un litige entre un sous-traitant et un responsable ou encore deux responsables conjoints, il y a lieu de faire application d’éventuelles conventions internationales lorsque les règles de l’UE qui priment les règles internes ne s’appliquent pas. À défaut, le juge appliquera les règles de droit interne.

En ce qui concerne...

Contenu du contrat

L’article 28 § 3 al. 1 du RGPD dispose de manière générale que le contrat « définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement ». Mais il donne également une liste d’éléments qui doivent y être prévus.

En premier lieu, le contrat doit préciser que le sous-traitant « ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public » (RGPD, art. 28 § 3 al. 1 a)). Le contrat doit également stipuler que le sous-traitant « veille...

Résolution du contrat

La résolution est l’une des sanctions d’inexécution du contrat. En vertu de l’article 1217 du Code civil, « La partie envers laquelle l’engagement n’a pas été exécuté, ou l’a été imparfaitement, peut… provoquer la résolution du contrat ». La résolution peut résulter, en cas d’inexécution suffisamment grave, d’une notification du créancier ou du débiteur ou d’une décision de justice (Code civil, art. 1224). La résolution par notification se fait aux risques et périls du créancier (Code civil, art. 1126 al. 1). En effet, il appartient au créancier de démontrer la gravité de l’inexécution en cas de contestation par le débiteur de la résolution (Code civil, art. 1226, dern. al.). La même charge porte sur le créancier en cas de demande au juge. Et selon la Cour de cassation : « il appartient aux tribunaux d’apprécier souverainement si l’inexécution a assez d’importance pour que la résolution doive être immédiatement prononcée » (civ. 14 av.1891. D.1891.1.329, note Planiol ; civ. 3e, 22 mars 1983 bull civ. III, No 84).

En raison des incertitudes inhérentes à ces modes de résolution...

Contrat entre responsables conjoints

L’article 26 du RGPD précise la nature des relations entre responsables conjoints. Ces responsables doivent alors définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du règlement. Le contrat doit préciser les obligations de chacune des parties et leurs relations vis-à-vis des personnes concernées. L’accord précise comment les droits de la personne concernée sont pris en compte, notamment en ce qui concerne la communication des informations à fournir lorsque des données à caractère personnel sont ou ne sont pas collectées auprès de la personne concernée, en vertu des articles 13 et 14 du règlement.

La personne concernée doit être informée des grandes lignes de cet accord (RGPD, art. 26 § 2).

Enfin, sur le plan de la responsabilité, l’accord n’est pas opposable à la personne concernée (RGPD, art. 26 § 3). Elle pourra en effet agir contre l’un des coresponsables sans qu’un partage de responsabilité, par exemple, puisse lui être opposé par les responsables conjoints. Dans un tel cas, le responsable contre lequel la personne concernée a agi pourra se retourner contre l’autre ou les autres responsables conjoints, en se prévalant de l’accord...