Responsables du traitement et sous-traitants : à propos des lignes directrices de l’EDSA (projet) sur le “contrôleur” et le “processeur”.

FR DE EN

David Vasella

sur le site

14.09.2020

Branches

Autorité

EDSA

Lois

RGPD 26, RGPD 28, RGPD 47

Thèmes

Traitement des commandes, responsabilité partagée

Vente à emporter (AI)

Le responsable détermine à la fois les finalités et les “moyens essentiels” du traitement ; ce n’est qu’ainsi que naissent les obligations du rôle en matière de protection des données.
La responsabilité commune n’existe que si plusieurs entités déterminent ensemble à la fois les objectifs et les moyens essentiels ; l’utilisation d’une infrastructure commune ne suffit pas.

Le Comité européen de la protection des données (CEPD) a Projet de nouvelles lignes directrices sur les notions de contrôleur et de processeur (du responsable du traitement et du sous-traitant) publiées (Lignes directrices 07/2020 sur les notions de contrôleur et de processeur dans le GDPR, version 1.0, 2 septembre 2020). Le projet est en consultation jusqu’au 19 octobre 2020.

Les lignes directrices s’appuient en partie sur les les lignes directrices précédentes du groupe de travail “Article 29” (WP29) sur le même sujet mais qui étaient encore fondées sur la directive relative à la protection des données. Il est également fait référence au Guide du CEPD sur les notions de responsable du traitement, de sous-traitant et de contrôleur conjoint.

Les lignes directrices comptent 48 pages et s’articulent à peu près comme suit :

Définition du responsable
Définition des responsables communs
Définition du sous-traitant
Définition du “tiers” ou du “destinataire” (“third party”/“recipient”)
Relation entre le responsable du traitement et son sous-traitant
Relation entre responsables conjoints

Les lignes directrices contiennent des organigrammes à la fin de chaque définition (voir ci-dessous).

Les remarques suivantes sur les différents points ne sont pas un simple résumé, mais contiennent des explications, des interprétations, etc. et ne suivent pas la structure de l’EDSA.

→ Article en PDF

Sur la notion de responsable

Ces explications correspondent en grande partie à l’avis précédent du WP29. Le point de départ de l’attribution de tous les rôles – responsable unique ou conjoint et sous-traitant – reste la détermination des finalités et des moyens du traitement.

“Finalités et moyens”

Ce n’est pas le point de départ des observations du CEPD, mais le point de départ logique : la détermination des finalités et des moyens du traitement :

„ObjectifLe terme “objectif” désigne le résultat factuel visé par le traitement, c’est-à-dire le “pourquoi” du traitement.
„MoyensLe terme “moyens” désigne les modalités du traitement, c’est-à-dire le “comment” du traitement. Le terme est trompeur, car les moyens ont une connotation instrumentale ; or, il ne s’agit pas seulement des outils de traitement (une application, etc.), mais de toutes les circonstances qui sont pertinentes du point de vue de la protection des données, c’est-à-dire qui peuvent avoir une incidence sur les risques du traitement pour les personnes concernées.

En effet, la fonction de l’attribution des rôles est d’attribuer les droits et surtout les obligations en matière de protection des données, et comme le droit matériel de la protection des données vise à gérer les risques de manière appropriée, l’attribution des rôles et, par conséquent, l’attribution de la responsabilité de la gestion des risques ne peuvent être liées qu’aux facteurs de risque.

Cela se traduit par la description des moyens de traitement (“means of processing”) par l’EDSA, qui distingue les moyens essentiels des autres moyens (“essential means” et “non-essential means”) sur la base de la propension au risque:

“Moyens essentiels” are étroitement liées à la finalité et au champ d’application du traitement [également : particulièrement exposé aux risques] […] . Des exemples de moyens essentiels sont le type de données à caractère personnel qui sont traitées (“.quelles données shall be processed ?”), la durée du traitement
(“for how long ), les catégories de destinataires (“qui doit avoir accès à eux ?”) et les catégories de sujets de données (“dont les données personnelles are being processed ?”). “Moyens non essentiels” concern aspects plus pratiques de mise en œuvre, comme le choix d’un type particulier de matériel ou de logiciel ou les mesures de sécurité détaillées qui peuvent être laissées à la discrétion du processeur.

Cette distinction est le point de départ de la définition du responsable – puis du coresponsable – et de la délimitation par rapport au sous-traitant :

Déterminer les buts et les moyens revient à décider respectivement du “pourquoi” et du “comment” du traitement : given a particular processing operation, le responsable du traitement est l’acteur qui a déterminé pourquoi le traitement a lieu (i.e., “à quelle fin” ; ou “pour quelle raison”) et comment cet objectif doit être atteint (i.e. quels moyens doivent être employés pour atteindre l’objectif). Une personne physique ou morale qui exerce une telle influence sur le traitement de données à caractère personnel, participant ainsi à la détermination des finalités et des moyens de ce traitement, conformément à la définition de l’article 4(7) du GDPR.

Notion de responsable

Buts et “moyens essentiels

Le responsable est celui qui Finalités et moyens du traitement (avec ou sans accès aux données personnelles, conformément à la jurisprudence de la CJUE). Toutefois, le responsable ne doit pas nécessairement tous les moyens, mais seulement les “moyens essentielsLes moyens “essentiels” sont les seuls qui déterminent le risque du traitement au point que le responsable du traitement doive s’en occuper lui-même ; seule la détermination de ces moyens est donc hostile à l’externalisation. En revanche, d’autres circonstances, les “non-essential means”, peuvent également être laissées au sous-traitant.

Dans ce contexte, il est important (et positif) que l’EDSA affirme que seul peut être responsable celui qui tant les finalités que les “moyens essentiels” du traitement – et pas seulement l’un d’entre eux – est déterminé :

Le contrôleur doit décider à la fois du but et des moyens du traitement comme décrit ci-dessous. En conséquence le responsable du traitement ne peut pas se contenter de déterminer les finalités. Il doit également prendre des décisions sur les moyens du traitement. Conversely, the party acting as processor can never determine the purpose of the processing.

Cela a d’abord pour conséquence que le responsable doit faire valoir ses droits. Obligations non respectéess’il fixe le but, mais se préoccupe de l’efficacité. Réglementation des moyens essentiels et les confie par exemple à un sous-traitant. Un employeur qui utilise un logiciel RH mais ne détermine pas la durée de conservation des données enfreint ainsi le droit de la protection des données et ne peut pas se disculper en adoptant sans réfléchir les paramètres par défaut du logiciel.

Cela signifie également qu’un sous-traitant, qui, en dehors de son rôle, détermine également les “moyens essentiels” mais pas les finalités du traitement, ne devient pas pour autant responsable du traitement. Un tel sous-traitant reste un sous-traitant et viole ses obligations, mais pas celles d’un responsable du traitement (voir également l’article 28, paragraphe 10, du RGPD). Cela signifie également qu’il ne peut y avoir de responsabilité conjointe du seul fait qu’un sous-traitant outrepasse ses compétences ; voir ci-dessous.

Indices de détermination

Si la définition de la personne responsable est claire d’un point de vue conceptuel, elle ne l’est souvent pas dans les faits, raison pour laquelle il faut recourir à des indices et à des groupes de cas. Dans ce contexte, les indications suivantes de l’EDSA sont intéressantes – même si elles ne sont pas nouvelles :

La responsabilité peut être explicite ou – plus souvent – indirecte par la loi. En règle générale, l’organe responsable est celui auquel la loi confie une tâche. Les formulations telles que celles de l’art. 85a LPP (“Les organes chargés de l’application, du contrôle ou de la surveillance de l’application de la présente loi […]”) ou l’attribution explicite de tâches, comme à l’OFROU à l’art. 10 OA-DETEC ou aux employeurs, par exemple à l’art. 6 LTr, sont fréquentes :

la finalité du traitement est souvent déterminée par la loi. Le responsable du traitement sera normalement celui désigné par la loi pour la réalisation de ce but, de cette tâche publique. Par exemple, ce serait le cas lorsqu’une entité chargée de certaines missions publiques (par exemple, la sécurité sociale) qui ne peuvent être remplies sans la collecte d’au moins certaines données à caractère personnelElle crée une base de données ou un registre afin d’accomplir ces tâches publiques. Dans ce cas, la loi détermine, bien qu’indirectement, qui est le contrôleur. […]
Plus souvent, la Responsabilité fondée sur la détermination factuelle de la fin et des moyensLe critère déterminant est ici l’instance qui décide de facto des fins et des moyens. Dans ce contexte, l’EDSA renvoie par exemple aux “conceptions traditionnelles des rôles” (I know it when I see it…), mais admet bien entendu que la qualification diffère dans certains cas et souligne l’importance des dispositions contractuelles entre les responsables du traitement des données comme indice.
Les employeurs ou les cabinets d’avocats (qui seraient toutefois également responsables en vertu des règles générales) sont des exemples de responsables en vertu de la coutume.

Dans la pratique, certaines activités de traitement peuvent être considérées comme des naturellement attaché au rôle ou aux activités d’une entité qui assume finalement des responsabilités du point de vue de la protection des données. […] des rôles traditionnels existants et une expertise professionnelle qui normalement impliquer une certaine responsabilité aidera à identifier le contrôleur, par exemple un employeur en ce qui concerne le traitement des données à caractère personnel relatives à ses employés, un éditeur traitant des données à caractère personnel relatives à ses abonnés, ou une association traitant des données à caractère personnel relatives à ses membres ou à ses adhérents.

Responsables communs

Vers le terme

Ceux qui espéraient y voir plus clair seront déçus. Le concept de la responsabilité commune, qui est un élément fragmentaire marqué par la casuistique de la CJCE, n’est pas justifié et développé de manière complète et fondamentale. Quelques indications sont toutefois utiles ou contribuent à clarifier la situation. On peut à mon avis résumer les déclarations de l’EDSA comme suit:

Plusieurs organismes sont conjointement responsables lorsque déterminent conjointement à la fois les finalités et les moyens essentiels du traitement ou d’une partie du traitement. Il ne suffit pas que cette disposition commune porte uniquement sur la finalité ou sur les moyens du traitement.
Il y a détermination commune lorsque le traitement ne serait pas possible sous sa forme actuelle, c’est-à-dire qu’il serait différent si l’on supprimait l’une des contributions.
Cela peut également être le cas pour des raisons économiques, à savoir lorsque le traitement est déterminé par plusieurs organismes en raison de circonstances économiques. En revanche, il ne suffit pas qu’un traitement serve l’intérêt économique des deux entités ; la la causalité (hypothétique) des contributions reste nécessaire.

Détermination commune de l’objectif et Moyens

Jusqu’à présent, il n’était pas clair de savoir si la responsabilité commune était la disposition commune à la fois de la fin et des moyens ou un seul de ces facteurs présuppose l’existence d’un tel projet. Dans son avis antérieur susmentionné, le WP29 partait de cette dernière hypothèse. Le libellé de l’article 4, point 7, du RGPD (ainsi que du considérant 79) indique toutefois que l’influence déterminante se rapporte aux “finalités”. et Cela ne suffit pas à clarifier la question. De même, l’arrêt Facebook de la CJUE (l’exploitant d’une page fan est responsable conjointement parce qu’il influence le traitement de Facebook par le paramétrage) a pu être lu différemment, bien que la question n’ait été ici ni expressément posée ni résolue ; en effet, il suffisait ici de permettre le traitement par Facebook sans que l’exploitant du site web ne participe au contenu de ce traitement subséquent (contrairement encore à la Décision concernant la page fan), sauf peut-être très indirectement par le choix du cercle d’utilisateurs de son site.

L’EDSA précise à présent, comme indiqué ci-dessus la responsabilité conjointe implique que chacun des responsables conjoints détermine à la fois les finalités et les moyens essentiels du traitement:

Toutes les opérations de traitement impliquant plusieurs entités ne donnent pas lieu à un contrôle conjoint. Le critère primordial pour qu’il y ait contrôle conjoint est la participation conjointe de deux ou plusieurs entités à la détermination des objectifs et des moyens d’une opération de transformation. Plus spécifiquement, la participation conjointe doit inclure la détermination des fins d’une part et la détermination des moyens d’autre part. Si chacun de ces éléments est déterminé par toutes les entités concernées, celles-ci devraient être considérées comme des contrôleurs conjoints du traitement en question.

Il s’agit d’une clarification bienvenue et pas du tout évidente d’un point essentiel, car jusqu’à présent, il n’était pas exclu qu’un sous-traitant qui exerce une trop grande influence sur des moyens essentiels du traitement devienne un responsable conjoint (par exemple un sous-traitant qui, au sein d’un groupe, non seulement acquiert, mais aussi configure l’informatique et exerce ainsi une influence, par exemple sur la durée de stockage). Cela ne devrait plus être le cas – un tel sous-traitant n’est, comme mentionné ci-dessus, ni responsable unique ni responsable conjoint, mais reste un sous-traitant (même si une trop grande influence du sous-traitant présente des risques pour les deux parties). Reste à savoir si la CJCE se ralliera à ce point de vue ; rien n’est moins sûr.

Que signifie “disposition commune” ?

En ce qui concerne la communauté, l’EDSA introduit une nouvelle terminologie – pour autant que l’on puisse en juger – dans la détermination du but et des moyens :

le décision commune (“décision commune”)il s’agit d’une décision unique concernant la fin et les moyens, prise conjointement par plusieurs organismes ; et
le décisions convergentes (“converging decisions”)Dans ce cas, les services concernés décident chacun de leur côté et prennent donc plusieurs décisions sans processus décisionnel commun, mais ces décisions “convergent”.

Que signifie “converger” ? L’EDSA l’explique comme suit, en faisant appel au critère de “inextricably linked”, ce qui est déjà le cas dans Décision Google Spain de la CJCE n’a pas pu contribuer à clarifier la situation (souligné cette fois dans l’original) :

[…] Les décisions peuvent être considérées comme convergeant sur des objectifs et des moyens si elles se complètent mutuellement et sont nécessaires au traitement de telle manière qu’elles ont un impact tangible sur la détermination des finalités et des moyens du traitement. En tant que tel, un critère important pour identifier les décisions convergentes dans ce contexte si le traitement ne serait pas possible sans la participation des deux parties, en ce sens que le traitement effectué par chacune d’elles est inséparable, c’est-à-dire inextricablement lié.

Détermination commune de l’objectif

L’EDSA fait ici référence à la Jugement Fashion IDDans cette affaire, la CJCE a estimé que la définition commune de l’objectif était justifiée par l’existence de différents types d’activités. Des intérêts économiquement liés ont été. L’EDSA poursuit :

[…] un contrôle conjoint peut également être établi lorsque les entités concernées pursue purposes qui sont étroitement liés ou complémentaires.

Que signifie “étroitement lié ou complémentaire” ? Comme nous venons de le dire, cela devrait être le cas lorsque les deux finalités caractérisent le traitement, qui n’aurait donc pas lieu sans l’une des finalités ou sous une forme différente du point de vue de la protection des données. Cela peut bien entendu aussi s’expliquer par des circonstances économiques, raison pour laquelle le CEPD poursuit :

Cela peut être le cas […] lorsqu’il y a une l’avantage mutuel résultant de la même opération de traitement, à condition que chacune des entités impliquées participe à la détermination des buts et des moyens de l’opération de traitement concernée.

Cette déclaration est préoccupante, car l’EDSA donne l’impression qu’un “bénéfice mutuel” peut déjà entraîner une responsabilité commune. Elle ajoute toutefois “provided that each of the entities participates in the determination”. Le “mutual benefit” ne peut donc justement pas suffire à attribuer une finalité commune aux entités concernées. C’est certes positif, mais malheureusement, l’EDSA reste flou sur ce point critique. Il poursuit :

Dans Fashion ID, par exemple, le CJEU a précisé qu’un exploitant de site web participe à la détermination des finalités (et des moyens) du traitement en intégrant un plug-in social sur un site web afin d’optimiser la publicité de ses biens en les rendant plus visibles sur le réseau social. Le CJEU a considéré que les opérations de traitement en question ont été effectuées dans l’intérêt économique de l’exploitant du site web et du fournisseur du plug-in social.

Cette affirmation est très problématique dans une économie basée sur la division du travail, où les intérêts économiques sont souvent “inextricablement liés”. Dans l’ensemble, l’EDSA ne parvient pas à définir la finalité commune dans les cas où les entités concernées poursuivent des objectifs différents, mais liés.

Mais si l’on regarde à nouveau la décision i.S. Fashion ID une limitation s’impose : La responsabilité commune se limitait ici au processus de collecte des données personnelles via le plug-in Facebook et à la transmission de ces données à Facebook ; seule cette étape de traitement est pertinente à cet égard. Et la CJCE a déclaré à ce sujet

78 Par ailleurs, en intégrant un tel plugin social dans son site Internet, Fashion ID a influencé de manière décisive la collecte et la transmission de données à caractère personnel des visiteurs de ce site au profit du fournisseur de ce plugin, en l’occurrence Facebook Ireland, qui n’auraient pas lieu sans l’intégration de ce plugin.

Cela pousse à conclure que les Le caractère causal de la contribution est déterminant c’est que Fashion ID a rendu possible la collecte et la transmission de données personnelles en les intégrant. C’est le facteur déterminant. Les finalités d’un traitement sont donc communes lorsque les responsables déterminent ensemble une finalité ou lorsque, bien qu’ils poursuivent des finalités différentes, les traitement sans l’une de ces finalités serait très différent..

Cela correspond à la déclaration de l’ESDA citée plus haut,

Les décisions peuvent être considérées comme convergentes en termes de buts et de moyens si elles se complètent mutuellement. et sont nécessaires au traitement de telle manière qu’elles aient un impact tangible sur la détermination des finalités et des moyens du traitement

Au final, on peut donc bien conclure que différentes finalités sont communes, si elles sont toutes deux causales par rapport au traitement ou à la partie de traitement en question. Cette conclusion est également compatible avec le Décision de la CJCE sur FacebookEn l’occurrence, l’objectif de l’exploitant de la page fan – obtenir des informations sur ses “fans” – était, grâce au paramétrage correspondant, l’un des facteurs déterminants pour le traitement par Facebook, et avec l’utilisation de la page fan, l’objectif était d’obtenir des informations sur les “fans”. Jugement des Témoins de JéhovahEn effet, dans ce cas, les membres de la communauté des Témoins de Jéhovah poursuivaient le but de la proclamation et pouvaient décider eux-mêmes dans quelles circonstances concrètes ils collectaient des données personnelles sur les personnes visitées, quelles données ils collectaient et comment ils les traitaient, et la communauté poursuivait le même but, encourageait la proclamation et tenait les listes des personnes qui ne souhaitaient plus recevoir de visites, ce qui peut bien être compris comme une codécision sur les moyens du traitement.

Destination commune des fonds

Les moyens doivent également être déterminés en commun. Mais comment faire ? Voici ce que dit l’EDSA à ce sujet, en substance :

La responsabilité conjointe n’implique pas que toutes les entités concernées déterminent ensemble tous les moyens essentiels ; la Les contributions à la détermination des moyens peuvent différer non seulement par leur intensité, mais aussi par leur objet;
il suffit même que l’un des organismes détermine les moyens du traitement et qu’un autre organisme décide de se servir de ces moyens (comme c’est le cas pour Fashion ID), car cette décision porte également sur les moyens. Cela signifie qu’une responsabilité conjointe n’est pas exclue par le simple fait que l’un des organismes détermine seul les moyens du traitement, car la décision de mettre en œuvre des moyens pour un traitement concret est elle-même une détermination de ces moyens. Cela signifie également qu’un organisme qui façonne les moyens de traitement, mais qui ne correspond pas à un concrètes traitement (p. ex. mise à disposition d’une plateforme ou d’une infrastructure en nuage), contribue néanmoins à façonner le traitement concret.

Ce point devrait être particulièrement pertinent pour les services partagés au sein du groupe. En effet, un service standard est souvent acheté pour l’ensemble du groupe (Workday, services SAP, Microsoft 365, etc.). La société individuelle du groupe n’a souvent pas d’alternative à cette infrastructure. Mais comme il n’existe pas de législation sur la protection des données au sein du groupe, l’utilisation de cette infrastructure constitue une décision – même si elle est quelque peu arbitraire – de cette société du groupe, de sorte qu’il y a une détermination commune des moyens au sens de l’EDSA.

L’EDSA se rapproche ainsi d’une responsabilité partagée pour chaque infrastructure partagée, raison pour laquelle il poursuit :

Il est important de souligner que l’utilisation d’un système ou d’une infrastructure de traitement des données communs ne permettra pas dans tous les cas de qualifier les parties concernées de contrôleurs conjoints, en particulier si le le traitement qu’ils effectuent est séparable et pourrait être effectué par une partie sans intervention de l’autre ou où le fournisseur est un processeur en l’absence de toute finalité de sa propre […].

En conclusion, le CEPD souligne que la finalité commune est particulièrement importante lorsqu’un des moyens de traitement est l’infrastructure partagée.Dans de tels cas, il convient d’évaluer soigneusement s’il y a réellement une détermination commune d’une finalité unique ou si plusieurs finalités sont liées de telle sorte que le traitement serait différent si l’une des finalités n’existait pas.

Dans l’exemple des services partagés, il ne faut donc pas partir sans autre d’une finalité commune, précisément parce qu’il n’existe pas de législation sur la protection des données au niveau du groupe et que, par conséquent, chaque société du groupe doit être considérée comme un service autonome du point de vue de la protection des données. Du moins lorsque l’infrastructure utilisée à l’échelle du groupe sert des objectifs que chaque société du groupe poursuit individuellement (RH, services informatiques, comptabilité, etc.), il n’y a pas lieu de supposer une responsabilité commune. En revanche, si l’infrastructure sert des finalités communes à plusieurs sociétés du groupe et qu’elle est donc utilisée pour un traitement qui serait différent si les finalités de toutes les entités concernées n’existaient pas, la responsabilité commune est évidente, par exemple dans le cas d’un annuaire des employés à l’échelle du groupe ou d’un système de gestion de la relation client qui est partagé.

Destination commune : par rapport à quoi ?

La question de savoir à quoi se réfère exactement la détermination des rôles n’est pas claire non plus. La CJCE semble suivre une ligne claire à cet égard : Le rôle peut varier en fonction de l’étape de la procédure et doit donc être déterminé de manière relativement granulaire. Il ne s’agit pas de rechercher une notion juridique des phases de traitement, mais de s’interroger sur ce point, ce à quoi s’étend de facto le contrôle des personnes chargées du traitement des données. Lorsqu’un responsable du traitement (co)détermine les finalités et les moyens essentiels d’un traitement pour une partie seulement, il n’est responsable que de cette partie et non de ce qui se passe avant ou après cette partie du traitement.

C’est pourquoi la CJCE a, dans Décision Fashion ID est maintenue :

72 Il ressort de cette définition qu’un traitement de données à caractère personnel est de une ou plusieurs opérations chacun d’entre eux étant l’un des différentes phases qui peut impliquer le traitement de données à caractère personnel.
[…]
74 Il s’ensuit […] qu’une personne physique ou morale doit manifestement ne peut être responsable, conjointement avec d’autres, que des opérations de traitement de données à caractère personnel dont il détermine – conjointement avec d’autres – les finalités et les moyens […].. En revanche, […] cette personne physique ou morale ne peut être considérée comme responsable, au sens de la présente disposition, d’opérations situées en amont ou en aval de la chaîne de traitement, pour lesquelles elle ne détermine ni les finalités ni les moyens.
[…]
76 […], il convient de constater que les opérations de traitement de données à caractère personnel pour lesquelles Fashion ID peut décider conjointement avec Facebook Ireland […] sont la collecte des données à caractère personnel des visiteurs de son site web et leur transmission […]. En revanche, […] il est exclu, à première vue, que Fashion ID décide du […] traitement […] que Facebook Ireland a effectué après lui avoir transmis ces données […] .

L’EDSA y fait référence, mais de manière relativement succincte et sans autre indication. On peut noter ici que la distinction nécessaire entre les étapes de traitement n’est pas toujours respectée dans la pratique, y compris par les autorités (par exemple, les autorités de protection des données). de la DSK(la Commission n’est pas responsable de l’utilisation de Google Analytics lorsqu’elle considère Google comme responsable commun).

L’EDSA ajoute à la fin de son avis un organigramme de la responsabilité partagée :

Conséquences de la responsabilité partagée

Convention : objet

Conformément à l’article 26 du RGPD, les responsables conjoints doivent “établir de manière transparente dans un accord qui remplit quelle obligation en vertu du [RGPD]”, c’est-à-dire qu’ils doivent répartir toutes les obligations de conformité de manière suffisamment claire pour éviter tout conflit de compétence négatif. L’accord doit régler au moins les points suivants:

Assurer les principes généraux de traitement ;
Base juridique ;
Mesures de sécurité des données ;
Signaler les violations aux autorités et aux personnes concernées ;
Évaluations de l’impact sur la protection des données ;
recours à des sous-traitants ;
Transfert vers des pays tiers ;
Communication avec les personnes concernées ; le cas échéant, un contact commun pour les personnes concernées – ce n’est pas obligatoire, mais recommandé (par ex. le DPO ou le représentant européen d’un des responsables) ;
Communication avec les autorités.

En ce qui concerne l’attribution des rôles, les responsables conjoints disposent d’une certaine flexibilité. Des chevauchements sont également possibles, par exemple chacun des responsables – dans la mesure où il a accès aux données – doit respecter la limitation des finalités, et chaque responsable conjoint doit avoir son propre registre des procédures mènent et, le cas échéant désigner un DPO. Le CEPD recommande de documenter les critères d’attribution des tâches.

L’EDSA ne dit presque rien sur la question de savoir ce qui est applicable, si l’un des responsables conjoints n’est pas soumis au RGPD. Trois solutions sont envisageables :

Il peut pas de responsabilité commune Le responsable européen doit donc remplir toutes les obligations prévues par le RGPD, tandis que le responsable extra-européen doit remplir les obligations prévues par le droit qui lui est applicable (si son DPI ne renvoie pas au RGPD) ;
le responsable extra-européen est soumis au RGPD en raison de la responsabilité conjointeLes données personnelles sont traitées dans le cadre de la protection des données, même si aucun des éléments constitutifs de l’article 3 du RGPD n’est rempli ;
le responsable extra-européen n’est pas soumis au RGPD, mais doit s’engager àLe responsable européen de la protection des données est tenu de remplir les obligations qui lui incombent conformément aux normes du RGPD, faute de quoi le RGPD serait contourné par cette attribution. Dans ce cas, une violation d’une telle obligation par le responsable extra-européen ne peut certes pas être sanctionnée par les autorités en vertu du RGPD, mais cela est compensé dans une certaine mesure par la coresponsabilité du responsable européen.

Des considérations pratiques plaident contre le premier cas. L’AESD semble toutefois partir en passant du principe que les coresponsables extra-européens dans l’EEE ont un représentant de l’UE, ce qui indiquerait que seuls ceux qui sont soumis au RGPD peuvent être coresponsables. Il ne semble donc pas injustifiable de ne jamais partir du principe d’une responsabilité conjointe pour les coresponsables qui ne satisfont pas à l’article 3 du RGPD.

Le fait qu’il n’existe pas de base juridique pour l’application du RGPD dans de tels cas plaide contre le deuxième cas.

La troisième voie semble également défendable, à savoir un accord indiquant explicitement lequel des responsables conjoints n’est pas soumis au RGPD et il est convenu que celui-ci respecte néanmoins le RGPD dans le cadre de la responsabilité commune. Si les personnes concernées se trouvent dans l’EEE, les principales obligations dans de tels cas incomberont de toute façon souvent au responsable européen. On peut également déduire des considérations du CEPD – mais ce n’est pas clair – que les personnes concernées doivent toujours disposer d’un point de contact au sein de l’EEE, de sorte que le rôle de personne de contact devrait être attribué au responsable établi dans l’UE.

Accord : forme

L’article 26 du RGPD exige un “accord” entre les responsables conjoints dans la version allemande, mais “an arrangement” dans la version anglaise. Il n’y a donc pas d’exigences formelles ; l’EDSA recommande toutefois un accord mutuellement contraignant pour des raisons de responsabilisation et de responsabilité (mais ne considère apparemment pas cela comme obligatoire). L’ ”arrangement” doit en outre fixer la répartition des obligations de manière claire et précise. Il est également recommandé, mais pas obligatoire, de décrire la responsabilité commune, la finalité du traitement, les catégories de données traitées sous la responsabilité commune et les catégories de personnes concernées.

Accord : communication aux personnes concernées

Les responsables doivent mettre “l’essentiel de l’accord” “à la disposition” de la personne concernée (article 26, paragraphe 2, du RGPD). Jusqu’à présent, on pouvait supposer que “l’essentiel” était les points visés à l’article 26, paragraphe 1, du RGPD, c’est-à-dire qui est responsable de l’exercice des droits de la personne concernée. L’AESD est toutefois plus stricte : “L’essentiel” comprend pour chaque élément de l’obligation d’information selon les articles 13 et 14 du RGPD, quel responsable est chargé de respecter l’élément en question (), ainsi que l’indication d’un point de contact pour les personnes concernées (qui restent toutefois libres de s’adresser à n’importe lequel des responsables conjoints, raison pour laquelle il convient de régler la manière dont les demandes des personnes concernées sont traitées en interne).

Toujours est-il que ces informations ne doivent pas nécessairement figurer dans une DSE. Il est autorisé à ne les divulguer que sur demande. Il vaut donc la peine de définir dans les accords de responsabilité commune non seulement qui informera la personne concernée, mais aussi quelles données seront mises à disposition spontanément ou sur demande et avec quel contenu (le cas échéant, avec un document type).

Traitement des commandes

Notion de sous-traitant

La définition du sous-traitant est simple : un sous-traitant est une entité qui ne fait pas partie du responsable du traitement, mais qui est une entité indépendante (un département d’une entreprise n’est donc jamais un sous-traitant, pas plus qu’un employé ou un freelance), et qui traite des données personnelles non pas pour ses propres finalités, mais pour celles du responsable du traitement. Il peut déterminer les moyens non essentiels du traitement et peut participer à la détermination des moyens essentiels ; il ne peut pas le faire, mais il ne devient pas pour autant responsable, que ce soit conjointement ou en tant que responsable unique.

L’EDSA note à cet égard que tous les prestataires de services ne sont pas des sous-traitants. C’est la nature (“the nature”) du service qui est déterminante. L’EDSA se rallie ici à la Théorie du centre de gravité de la BayLDA à :

En pratique, lorsque le service fourni ne vise pas spécifiquement le traitement de données personnelles ou lorsque ce traitement ne constitue pas un élément clé du serviceLe fournisseur de services peut être en mesure de déterminer de manière indépendante les finalités et les moyens de ce traitement, qui est nécessaire pour fournir le service.

Ne sont donc généralement pas des sous-traitants Centrales de taxis ou Cabinets d’avocats. Pour de nombreux prestataires de services, la classification dépend de la structure – un prestataire de services est un sous-traitant si le responsable du traitement a un contrôle suffisant sur le traitement des données ou si le prestataire de services n’a pas ce contrôle. Un Centre d’appel par exemple, est un sous-traitant dans la mesure où son client décide du traitement des données par le centre d’appel et que ce dernier ne peut traiter les données que dans le cadre des instructions données.

Dans le cas de l’informatiqueServices d’assistance doit également être distinguée :

Si la nature des prestations d’assistance et de maintenance exige impérativement un accès systématique aux données personnelles du client, le prestataire de services est un sous-traitant.
En revanche, si la prestation d’assistance ne permet qu’un accès ponctuel à des données personnelles (“purement incidental et donc très limité dans la pratique”), le prestataire n’est ni un sous-traitant ni un responsable du traitement, mais un tiers, et son client est tenu de limiter autant que possible l’accès aux données par des mesures de sécurité appropriées.

Un fournisseur des services informatiques complets (dans l’exemple de l’EDSA d’un produit tel que M365, qui comprend la communication, la vidéoconférence, la gestion de documents, les fonctions de calendrier et le traitement de texte, est également un sous-traitant – le client doit toutefois déterminer les essential means, c’est-à-dire veiller à ce que les exigences en matière d’effacement des données, par exemple, soient mises en œuvre, à savoir ses exigences et non pas simplement des paramètres standard.

Un Institut de nettoyage n’est ni un sous-traitant ni un responsable, mais un tiers, car le traitement des données – si tant est qu’il ait lieu – n’est pas conforme à sa destination, mais seulement “incidentiel”. L’accord avec l’institut de nettoyage doit donc à nouveau interdire le traitement des données personnelles et le responsable doit minimiser l’accès aux données personnelles par des mesures appropriées.

L’avis de l’EDSA contient également un organigramme à ce sujet :

Conséquences juridiques du traitement des données à caractère personnel

Le CEPD confirme l’opinion incontestée selon laquelle le traitement en sous-traitance est privilégié, c’est-à-dire que la base juridique du traitement par le responsable du traitement est également la base juridique du transfert au sous-traitant et du traitement par ce dernier.

Plus importantes sont les autres indications de l’EDSA, qui adopte dans l’ensemble une position stricte (qui devrait être applicable pour les PME, mais dont certaines parties ne le sont pas pour les grands fournisseurs d’accès) :

Choix du sous-traitant ; “garanties suffisantes

L’AESPD souligne que le responsable du traitement est tenu de ne recourir qu’à des sous-traitants qui offrent des garanties suffisantes quant aux mesures techniques et organisationnelles (de sécurité) appropriées (“TOM”) (cf. article 28, paragraphe 1, du RGPD). Le sous-traitant doit respecter ces désigner les TOM de manière à ce que le responsable puisse prendre sa propre décision quant à leur adéquation. et de documenter cette décision – conformément au principe d’accountability.

Le responsable ne peut donc pas se contenter d’exiger contractuellement des “mesures de sécurité appropriées”. Il doit au contraire mettre en place des mesures propres et documentées, adaptées aux circonstances. Évaluation des risques de prendre des décisions. Pour ce faire, il doit notamment tenir compte, outre de la sensibilité des données, des facteurs suivants :

l’expertise du sous-traitant ;
sa fiabilité ;
ses ressources ;
et, le cas échéant, sa réputation ;
le respect des codes de conduite approuvés.

Le sous-traitant doit offrir cette sécurité de manière permanente. L’AESD estime donc qu’il incombe au responsable de les à “intervalles réguliers”.Le cas échéant, par des audits.

Accord avec le sous-traitant

Forme

Le CEPD confirme tout d’abord que l’accord entre le responsable du traitement et le sous-traitant au sens de l’article 28, paragraphe 3 du RGPD (“accord de traitement des données de commande” ; “ADV”) sous n’importe quelle forme de texte peut être conclu, donc également par voie électronique sans utilisation de signatures qualifiées, mais pas oralement. L’EDSA recommande toutefois la signature.

Contenu

Le contenu de l’accord est en partie prescrit par l’article 28, paragraphe 3 du RGPD. L’AESD adopte toutefois une position stricte à cet égard, qui ADV nettement plus vaste et pourrait rendre les négociations correspondantes plus difficiles.

Les ADV doivent contenir les points suivants selon l’EDSA (liste non exhaustive ; sous réserve des autres contenus selon l’art. 28, al. 3 RGPD) :

Le site Obligations du responsable (ce qui ne découle pas de l’art. 28, al. 3 RGPD), par ex. l’obligation de
- de donner des instructions et de les documenter (ce qui ne peut apparemment pas être laissé au sous-traitant ; mais ce n’est pas clair) ;
- assurer la licéité du traitement ;
- contrôler le traitement effectué par le sous-traitant (bien que le CEPD ne justifie pas pourquoi ces obligations doivent également être assumées contractuellement vis-à-vis du sous-traitant, et en pratique, c’est rarement le cas).
de manière générale, les Obligations du sous-traitantIl ne suffit pas de répéter le libellé de l’article 28 du RGPD ;
le TOMs – c’est après l’EDSA élément obligatoire du contratLes TOM doivent être suffisamment détaillées pour permettre au responsable d’évaluer leur adéquation (et de satisfaire à son obligation de responsabilité) ;
Il faudrait en outre convenir d’une obligation d’informer le public en cas d’accident. modifications des TOM l’accord du responsable (ce qui ne peut toutefois pas s’appliquer si le niveau de sécurité n’en est pas abaissé) ; et une obligation de consulter les TOMs à vérifier régulièrement;
un Description du traitementLe sous-traitant doit être en possession d’une déclaration de confidentialité qui lui permette de comprendre les risques et qui soit suffisamment détaillée pour que l’objet du traitement soit clair ;
la durée du traitement ou les critères de détermination de celui-ci ;
le Nature et objectif du traitement, afin que des tiers – par exemple des autorités de contrôle – puissent évaluer l’objet et les risques du traitement ;
le type de données traitéesLes catégories particulières de données personnelles doivent être spécifiées (“données relatives à la santé”, etc.) ;
le Catégories de personnes concernéesL’article de la loi sur la protection des données est également suffisamment détaillé ;
l’interdiction de la Sous-traitance sans l’autorisation du responsable du traitement, cette autorisation pouvant être convenue en termes généraux avec un droit de veto, comme le prévoit le RGPD. Dans ce contexte, il ne suffit pas que le sous-traitant se contente de tenir à jour une liste de sous-traitants, sans en informer le responsable du traitement ; le sous-traitant doit Communiquer plutôt activement le changement (“indiquer activement ou signaler”) ;
Le sous-traitant doit également disposer d’un confier les obligations de l’OAD à des sous-traitants sur le fond. Cela inclut le droit d’audit “du responsable du traitement” ou d’un auditeur mandaté par celui-ci, ce qui semble indiquer que le responsable du traitement lui-même – et non le sous-traitant – doit avoir ce droit, à travers toute la chaîne de sous-traitants (mais l’EDSA n’est pas non plus claire sur ce point) ;
l’obligation pour le sous-traitant de fournir au responsable du traitement d’aider à répondre aux requêtes des personnes concernéesIl peut suffire que le sous-traitant transmette les demandes (il n’est pas question de prolonger le délai de réponse uniquement parce que des informations doivent être obtenues du sous-traitant). En tout état de cause, le responsable du traitement devrait décider lui-même de la manière de répondre aux demandes des personnes concernées ;
le devoir d’informer le responsable soutenir les mesures de sécurité. Dans ce cas, il ne suffit pas de répéter ces obligations d’assistance ; l’ADV doit plutôt spécifier de quelle manière l’assistance doit être fournie (par exemple par des procédures et des modèles convenus dans une annexe). Le type et l’étendue de l’assistance peuvent toutefois varier fortement. Il est recommandé de convenir d’un délai maximal de notification et d’un interlocuteur ;
le devoir, d’effacer ou de restituer les données après la fin du traitement des commandes. L’ADV peut définir la procédure (le responsable du traitement pouvant dans ce cas changer d’avis ultérieurement) ou réserver une instruction correspondante du responsable du traitement, le processus de l’instruction correspondante devant être reproduit ici. Le sous-traitant doit confirmer la suppression ;
l’obligation d’intervenir auprès du aider à prouver la conformité. L’ADV devrait déterminer quelles informations doivent être transmises à ce sujet et à quelle fréquence, par exemple des informations sur le fonctionnement des systèmes du sous-traitant, les mesures de sécurité, l’emplacement et la conservation des données, l’accès aux données et les transferts de données, les sous-traitants, etc ;
la gestion des des instructions illégalesLe responsable du traitement doit également prévoir des mesures de protection des données, telles qu’une procédure de concertation et un droit de résiliation pour le sous-traitant, si le responsable du traitement maintient une instruction contraire à la loi.

Obligation de donner des instructions

Par définition, le sous-traitant est lié au pouvoir d’instruction du responsable. S’il outrepasse ses compétences, il peut devenir responsable (dans la mesure où il (co)détermine les finalités et les moyens essentiels).

Selon l’EDSA, les instructions peuvent porter par exemple sur le traitement des données personnelles et les mesures de sécurité. On ne trouve pas ici de liste exhaustive ; il est toutefois clair que le droit de donner des instructions ne concerne que le traitement des données personnelles, raison pour laquelle le sous-traitant ne doit guère craindre que le droit de donner des instructions annule le contrat de prestations (même si cela donne lieu à des négociations dans la pratique).

Les instructions sont en outre à documenter (comme indiqué, probablement par le responsable). L’AESP recommande donc d’inclure dans l’accord un processus permettant de donner des instructions, par exemple au moyen d’un modèle d’instruction ; ce n’est toutefois pas obligatoire, il suffit de transmettre les instructions sous forme de texte. Selon l’EDSA, elles devraient toutefois être conservées avec le traitement. Cela indique que le fait que le responsable du traitement interagisse lui-même avec les données du contrat, par exemple en supprimant des données hébergées, ne constitue pas une “instruction” en ce sens, même si cette suppression utilise l’infrastructure du sous-traitant. En conséquence, de telles instructions ne doivent pas non plus être documentées spécifiquement (dans la mesure où la traçabilité ne découle pas de l’exigence de sécurité des données).

Confidentialité

Le sous-traitant doit s’assurer – et l’ADV doit l’exiger – que les personnes sous sa responsabilité directe (par ex. les employés) sont soumises à une obligation de confidentialité. Mais dans ce cas, une obligation légale, par exemple issue du droit du travail ou du droit des contrats, suffit ; le sous-traitant n’est donc pas obligé de faire signer des NDA.

Relations de sous-traitance

Comme indiqué précédemment, le sous-traitant doit informer le responsable du traitement même en cas d’autorisation générale. indiquer activement quels sous-traitants sont concernés qu’il a l’intention d’utiliser. Dans ce contexte, le sous-traitant doit au moins communiquer le lieu, le domaine d’activité et les mesures de sécurité prises (“proof of what safeguards have been implemented”). Cette information est nécessaire pour que le responsable puisse satisfaire à son obligation de responsabilité. Dans ce système, le responsable devrait en outre indiquer selon quels critères le sous-traitant doit choisir ses sous-traitants. Cela devrait encore donner lieu à des discussions dans la pratique.

Autres définitions

L’article 4, point 10, du RGPD définit le “tiers” en le distinguant des autres rôles et mentionne également les organismes qui “sous la responsabilité directe du responsable du traitement ou du sous-traitant”. L’article 29 du RGPD s’y réfère ; cette disposition stipule que les personnes “subordonnées au responsable du traitement ou au sous-traitant” ne peuvent traiter les données que conformément aux instructions. Il s’agit toujours de la même catégorie de personnes, à savoir les travailleurs et les personnes assimilées à des travailleurs :

Toutefois, il est généralement considéré comme faisant référence à des personnes qui appartiennent à l’entité juridique du contrôleur ou du processeur (à employee ou un rôle hautement comparable à celui des employésLes données personnelles ne peuvent être traitées que par des personnes autorisées (par exemple, du personnel intérimaire fourni par une agence d’emploi temporaire) et uniquement dans la mesure où elles sont autorisées à traiter des données personnelles.

Un “TroisièmeLe terme “responsable du traitement” désigne tout organisme qui n’est ni la personne concernée, ni le responsable du traitement, ni le sous-traitant et qui n’est ni employé ni ne travaille dans une position comparable pour un responsable du traitement ou un sous-traitant (article 4, point 10, du RGPD).

Un “Récepteur” enfin, tout organisme extérieur au responsable du traitement auquel celui-ci rend accessibles des données personnelles, par exemple un autre responsable du traitement ou un sous-traitant (sauf les autorités de l’UE dans le cadre d’une enquête ; considérant 31 : “Les autorités publiques auxquelles des données à caractère personnel sont divulguées en vertu d’une obligation légale dans l’exercice de leurs fonctions officielles […] ne devraient pas être considérées comme des destinataires”).

Respons­ables du trai­te­ment et sous-trai­tants : à pro­pos des lignes direc­tri­ces de l’ED­SA (pro­jet) sur le “con­trô­leur” et le “pro­ce­s­seur”.

Sur la noti­on de responsable

“Fina­li­tés et moyens”

Noti­on de responsable

Buts et “moy­ens essentiels

Indi­ces de détermination

Respons­ables communs

Vers le terme

Déter­mi­na­ti­on com­mu­ne de l’ob­jec­tif et Moyens

Que signi­fie “dis­po­si­ti­on commune” ?

Déter­mi­na­ti­on com­mu­ne de l’objectif

Desti­na­ti­on com­mu­ne des fonds

Desti­na­ti­on com­mu­ne : par rap­port à quoi ?

Con­sé­quen­ces de la responsa­bi­li­té partagée

Con­ven­ti­on : objet