RGPD – Le délicat casting de la protection des données

Cet article vise à faire un point sur les différents acteurs liés aux traitements de données à caractère personnel. Si certains, comme le responsable de traitement ou le sous-traitant ont un statut qui semble clair, mais ne l’est pas pour autant en pratique, d’autres comme le tiers autorisé ou encore le destinataire ont des contours moins précis.

1. Le responsable de traitement de données personnelles

Le responsable de traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement (…) » (RGPD, art. 4, 7°).

Les critères de qualification. Ainsi, les critères permettant la qualification de responsable de traitement sont clairs : le responsable de traitement est celui qui a le pouvoir de déterminer les finalités du traitement ainsi que les moyens humains et financiers affectés à ce dernier. Il dispose donc nécessairement d’une position de pouvoir. S’il existe une situation de violation des règles prévues, il assumera la responsabilité de cette dernière, qu’elle soit civile ou pénale.

La personne morale, responsable du traitement. La CNIL considère que le responsable d’un traitement de données à caractère personnel est « en pratique et en général, la personne morale incarnée par son représentant légal ».

En 2010, le G29 avait considéré « comme responsable de traitement la société ou l’organisme en tant que tel, plutôt qu’une personne en son sein ». Ainsi, faut-il partir du principe qu’une société ou un organisme est responsable en tant que tel des opérations de traitement qui se déroulent dans son domaine d’activité et de risques.

Par exception, le G29 précisait que cela sera différent si la « la personne physique agissant au sein d’une personne morale utilise des données à des fins personnelles, en dehors du cadre et de l’éventuel contrôle des activités de la personne morale ». Dans cette hypothèse, « la personne physique en cause serait responsable du traitement décidé, et assumerait la responsabilité de cette utilisation des données à caractère personnel ».

Difficulté d’application des critères. Dans certaines situations, la ligne de partage entre le responsable de traitement et les prestataires, sous-traitants peut être difficile à tracer. Ce sera le cas, lorsqu’une entité bénéficiaire a recours aux services d’une autre entité pour mettre en œuvre un traitement de données personnelles et collecter les données auprès des personnes concernées, sans qu’existe un lien direct entre la personne concernée et le « bénéficiaire » du traitement. Une analyse concrète de la définition de la finalité, du degré de contrôle exercé sur le traitement, sur la définition des moyens sera alors requise, le seul usage ne parvenant pas à établir la qualification.

2. Les responsables conjoints du traitement de données personnelles

« Lorsque deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement » (RGPD, art. 26).

Les critères de qualification. Le RGPD adopte et précise le principe de responsabilité conjointe selon lequel plusieurs acteurs seront responsables du traitement dont ils décident conjointement des finalités et des moyens. La directive de 1995 prévoyait déjà cette responsabilité, mais sa transposition en droit français dans la loi « Informatique et libertés » (LIL) du 6 janvier 1978 avait été écartée puisqu’à l’époque, il a été considéré qu’il ne pouvait exister qu’un seul responsable de traitement.

Le caractère contractuel de la relation liant les responsables conjoints. Les responsables conjoints se voient donc imposer certaines obligations. L’une d’entre elles est la transparence vis-à-vis de leurs obligations respectives. Compte tenu des sanctions encourues, le contrat devra déterminer précisément le partage des rôles entre les différents responsables, notamment en ce qui concerne les droits de la personne concernée et leurs modalités d’exercice. Devra ainsi être précisé, lequel des deux responsables a la charge de communiquer les informations à la personne concernée si cette dernière le demande etc.

Cependant, même en l’absence de contrat, les autorités de contrôle ou le juge sont à même de requalifier une situation de fait en responsabilité conjointe. Ce partage « judiciaire » pourra être difficile à réaliser lorsque les cocontractants, établis dans des pays hors UE seront soumis à des législations nationales différentes voire divergentes.

Une responsabilité solidaire entre responsables conjoints. En ce qui concerne le partage de responsabilité entre les responsables conjoints, le RGPD est venu clarifier la notion, source de discussions dès 1995. La nature solidaire de leur responsabilité solidaire permet aux personnes concernées d’engager toute action envers l’un ou l’autre des responsables du traitement sans qu’elles ne soient obligées de s’occuper de la répartition des responsabilités préalablement mises en place entre les deux. Le responsable poursuivi assumera alors la charge de se retourner contre son cocontractant.

Ce régime s’apparente à celui instauré entre le responsable de traitement et son sous-traitant, car le responsable peut, même s’il est seul responsable vis-à-vis des personnes concernées, se retourner contre son sous-traitant si celui-ci a enfreint ses obligations légales ou contractuelles.

3. Le sous-traitant ayant accès aux données personnelles du responsable de traitement

Le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement » (RGPD, art. 8).

Les critères de qualification du sous-traitant. La CNIL considère qu’est acquis le statut de sous-traitant si la personne morale ou physique agit sous l’autorité ou pour le compte du responsable de traitement et accède à cette occasion, aux données personnelles (RGPD, art. 29).

Ainsi, les activités des sous-traitants peuvent concerner une tâche précise (ex. : sous-traitance d’envoi de courriers) ou être plus générale et étendue (ex. : gestion de l’ensemble d’un service pour le compte d’un autre organisme telle que la gestion de la paie des salariés ou des agents).

Ne sont pas concernés les prestataires qui n’ont pas accès aux données personnelles (ex. : fabricants de matériels badgeuse, matériel biométrique, matériel médical).

Seront donc sous-traitant au regard du RGPD :

• Les prestataires de services informatiques (hébergement, services SaaS, maintenance…), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique (ESN) qui ont accès aux données ou peuvent y avoir accès lors de l’exécution de leurs missions,
• Les agences de marketing ou de communication qui traitent des données personnelles pour le compte de clients,
• Tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme,

Toute entité y compris un organisme public ou une association peuvent être amenés à recevoir une telle qualification.

En revanche, si le prestataire détermine la finalité et les moyens d’un traitement, il ne peut pas être qualifié de sous-traitant et devra être considéré comme un responsable de ce traitement (RGPD, art. 28.10).

Le régime de responsabilité du sous-traitant. Ce dernier est astreint à des obligations similaires à celles des responsables de traitement. Ainsi, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du sous-traitant (RGPD, art. 82). Dans certains cas, une responsabilité solidaire entre les deux est possible.

Le RGPD instaure donc le principe de responsabilisation du sous-traitant, alors que celui-ci disposait auparavant d’une responsabilité limitée. Le sous-traitant peut faire l’objet de sanctions administratives importantes pouvant s’élever, selon la catégorie de l’infraction, jusqu’à 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 2 % ou 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.

La CNIL précise que ces sanctions peuvent s’appliquer lorsque le sous-traitant :

• agit en dehors des instructions licites du client ou contrairement à ces instructions ;
• n’aide pas le client à respecter ses obligations (notamment notification d’une violation de données ou réalisation d’une analyse d’impact) ;
• ne met pas à la disposition du client les informations permettant de démontrer le respect des obligations ou pour permettre la réalisation d’audits ;
• n’informe pas le client qu’une instruction constituerait une violation du règlement européen ;
• sous-traite sans autorisation préalable du client ;
• fait appel à un sous-traitant qui ne présente pas de garanties suffisantes ;
• ne désigne pas un délégué à la protection des données lorsque cela est obligatoire ;
• ne tient pas de registre des catégories d’activités de traitement mises en œuvre pour le compte des clients.

La coopération entre responsable du traitement et sous-traitant. Il ressort de cette liste que le sous-traitant est tenu de coopérer avec le responsable du traitement, son client.

Le sous-traitant doit être choisi scrupuleusement par le responsable du traitement. « Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (RGPD, art. 28).

Le sous-traitant se voit alors imposer une série d’obligations, telle que celle de présenter un niveau de garanties suffisantes pour assurer le respect du RGPD, celle relative à la transparence et la traçabilité du déroulement du traitement de l’information. Est aussi prévue une obligation de sécurité et gestion des failles, comme la suppression définitive de certaines données sensibles dans un soucis de respect du principe de durée de la conservation des données, puis de suppression, ou encore l’obligation d’assurer une fonction d’aide et de conseil pour veiller à la sécurité des données.

Le contrat, ou tout autre type d’écrit liant le sous-traitant au responsable de traitement, même sous format électronique, doit lier le sous-traitant à l’égard du responsable du traitement, pour permettre l’effectivité de sa prestation « pour le compte » du responsable.

Ce contrat doit contenir a minima ce qui relève des informations minimales du traitement (nature, finalité du traitement, type de données traitées, catégories de personnes concernées) ainsi que la durée et l’objet du traitement. Doivent aussi obligatoirement être définies les obligations et les droits du responsable du traitement, tout comme celles afférentes au sous-traitant. Ces dernières doivent être énumérées, pour permettre de clarifier la relation établie entre les deux.

4. Le destinataire des données personnelles

Il s’agit de « la personne physique ou morale, l’autorité publique le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers ». Le destinataire est habilité à obtenir communication de données enregistrées dans un fichier ou un traitement en raison de ses fonctions. Par exemple, il peut s’agir des représentant légaux pour leurs enfants.

Toutefois, ne sont pas qualifiées de destinataires les autorités légalement habilitées, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires. Elles ne seront en effet que des tiers autorisés.

La notion de « destinataire » recouvre deux hypothèses :

• Soit le destinataire participe à la chaine du traitement initial : il n’est donc pas un tiers mais, un salarié interne au responsable du traitement, ou au sous-traitant, dès lors qu’il est habilité à recevoir communication des données. Ainsi, la désignation des destinataires ne relève pas de la seule liberté des responsables de traitement ou du sous-traitant. Seules peuvent être désignées comme destinataires, les personnes dont les fonctions ou missions sont en rapport avec la finalité du traitement, et qui justifient qu’elles aient accès à ce traitement. Dans certains cas, le service interne sera désigné, par commodité.
• Soit le destinataire ne s’inscrit plus dans la chaine initiale du traitement et reçoit communication des données en qualité de « tiers », afin de procéder ensuite à un nouveau traitement dont il sera seul responsable. Ce destinataire des données recevra donc lesdites données, pour procéder à un nouveau traitement, sous sa propre responsabilité, ou le cas échéant, de manière conjointe. Le destinataire/responsable du traitement pourra être en même temps qualifié de sous-traitant s’il procède à un traitement sur les instructions du responsable de traitement.

Il sera remarqué le cumul des statuts de responsable de traitement ou/et de sous-traitant avec celui de destinataire. C’est pourquoi l’article 3 de la LIL avant la « réforme » du 20 juin 2018 qui définissait le destinataire comme « toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données » a été supprimé.

• ociale, dans le cadre de la lutte contre la fraude, et les organismes en charge de l’instruction, du versement et du contrôle du RSA.
• Les administrations de la justice, de la police et de la gendarmerie.
• Les huissiers de justice.

Certaines conditions doivent être réunies pour que les « tiers autorisés » puissent obtenir des informations contenues dans un fichier :

• La demande doit être écrite et préciser le texte législatif la justifiant.
• La demande doit viser des personnes nommément identifiées ou identifiables (le tiers autorisé ne peut pas avoir accès à l’intégralité d’un fichier).
• La demande doit être ponctuelle.
• La demande doit préciser les catégories de données auxquelles ils souhaitent accéder.

Cette notion de tiers autorisé renvoie à un droit de communication attaché à une mission particulière ou à un droit de communication spécifique.

¹ G29, avis n°1/2010, 16 février 2010.
² CE, 21 sept. 2015 n°389815 : JurisData n°2015-020979.

5. Le tiers autorisé à accéder aux données personnelles

Il s’agit de « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui est autorisé par la loi à prendre connaissance des données collectées ».

Selon la CNIL, un « tiers autorisé » est un organisme qui peut accéder à certaines données contenues dans des fichiers publics ou privés parce qu’une loi l’y autorise expressément.
Ces « tiers autorisés » sont des autorités publiques ou des auxiliaires de justice.

Quelques exemples de « tiers autorisés » :

• L’administration fiscale, comme le Trésor Public ou la DGFIP, DGDDI.
• Les organismes de sécurité sociale, dans le cadre de la lutte contre la fraude, et les organismes en charge de l’instruction, du versement et du contrôle du RSA.
• Les administrations de la justice, de la police et de la gendarmerie.
• Les huissiers de justice.

Certaines conditions doivent être réunies pour que les « tiers autorisés » puissent obtenir des informations contenues dans un fichier :

• La demande doit être écrite et préciser le texte législatif la justifiant.
• La demande doit viser des personnes nommément identifiées ou identifiables (le tiers autorisé ne peut pas avoir accès à l’intégralité d’un fichier).
• La demande doit être ponctuelle.
• La demande doit préciser les catégories de données auxquelles ils souhaitent accéder.

Cette notion de tiers autorisé renvoie à un droit de communication attaché à une mission particulière ou à un droit de communication spécifique.

¹  G29, avis n°1/2010, 16 février 2010.
²  CE, 21 sept. 2015 n°389815 : JurisData n°2015-020979.