19 juin 2018

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#198 RGPD-GDPR: responsable de traitement ou sous-traitant ?

#198 RGPD-GDPR: responsable de traitement ou sous-traitant ?

[19 juin 2018] « RGPD-GDPR responsable de traitement ou sous-traitant » ? Encore le RGPD ? ça ne s’arrêtera jamais ?

Non… ce n’est pas prêt de s’arrêter ! Surtout pas pour les entreprises dont le métier est de traiter de la data… qui profilent ou qui font profiler des data…

Manifestement, l’entrée en application du Règlement UE n°2916/679 « GDPR » a marqué les esprits. Avec l’arrivée (franchement inattendue) de la jurisprudence CJUE sur la « responsabilité conjointe et la CO-traitance » (CJUE affaire C‑210/16 « Wirtschaftsakademie ») le 5 juin 2018, ça fait beaucoup de « fondamentaux » à revoir en détail, pour les « responsables de traitement » comme pour les « sous-traitants » de données à caractère personnel. Heureusement, maintenant que le 25 mai 2018 est passé, « l’afolo » général retombe (enfin) et, manifestement, nombres de professionnels en profitent pour réfléchir sérieusement (enfin…).

Alors, effectivement non, revoir quelques fondamentaux de la GDPR ne me parait pas inutile… bien au contraire. Et parmi les fondamentaux de la GDPR ? Définir qui est « data controller » (responsable de traitement) et « data processor » (sous-traitant). Mon Confrère Olivier Iteanu (conférence ISEP sur le Cloud computing du 15 juin matin) a raison lorsqu’il dit regretter la mauvaise traduction française de « data controller » en « responsable de traitement » : ça laisse entendre que le sous-traitant ne serait pas « responsable ». Ce n’est (heureusement) plus le cas.

RGPD-GDPR RESPONSABLE de traitement ou SOUS-TRAITANT : la présentation en BD

Le détail des définitions « responsable de traitement » / « sous-traitant », de leurs obligations et de leurs responsabilités respectives est accessible dans la présentation en BD dans le slider ci-dessous. Juste après, comme toujours, un résumé en forme littéraire plus classique…



RGPD-GDPR RESPONSABLE de traitement ou SOUS-TRAITANT : le « maitre du fichier » ?

Dans les texte fondateurs de la protection des données personnelles (convention 108 du Conseil de l’Europe « pour la protection des personnes à l’égard du traitement automatisé des données à caractère » de 1981), la notion centrale était celle de « maitre du fichier » (assez parlante, non ?). Le « data controller » est le « responsable du traitement », celui qui rend des comptes aux personnes dont il traite les données personnelles.

RGPD-GDPR RESPONSABLE de traitement ou SOUS-TRAITANT : le droit des bases de données


La grille de lecture que je propose me parait contractuellement simple à mettre en musique : faire coïncider la notion de « responsable de traitement » avec celle de « producteur du contenu » d’une base de données (clients / prospects / salariés / fournisseurs / etc.). C’est le contenu de ces bases de données numériques, les data qui constituent ce fameux « pétrole du XXI° siècle ». Ce sont elles qui font l’objet de traitements en « Big Data ». Ce sont elles qui font l’objet de traitements de « profilage », pour segmentation et ciblage extrêmement précis (moteurs de recommandation, marketing direct ou publicité ciblée, etc.).
Grace à la Directive 96/9 du 11 mars 1996, le « producteur » du contenu d’une base de données peut monnayer le droit d’accès et d’utilisation sur ses datas. En droit, on appelle ça « le droit sui generis ». C’est le droit de permettre l’extraction sur tout ou partie du contenu de sa base de données, donc l’utilisation de ses data. C’est un principe de monopole de type « droits d’auteur » avec un mode de fonctionnement juridique spécial.
Si « j’achète » un fichier chez un « data broker » ? J’investis (en « moyens humains, matériels ou financiers ») pour la constitution du CONTENU de ma base de données. Il me semble qu’à ce titre, je détermine les « moyens » d’un traitement de données dont je décide certainement au moins d’une « finalité ». Et si je définis « finalités et moyens » d’un traitement de data à caractère personnel » ? Je suis responsable de traitement, le « data controller ». Et ça, dans un contrat, ça s’écrit très, très bien.

RGPD-GDPR RESPONSABLE de traitement ou SOUS-TRAITANT traitement : quelles obligations pour le « data controller » ? 

L’occasion est trop belle pour rappeler les grandes obligations qui s’imposent aux « data controller » :

  • l’obligation d’information des personnes dont les données sont traitées : le rappel de la finalité et de la « base juridique » du traitement (AVEC ou SANS consentement « nécessaire… »)
  • permettre à ces personnes d’exercer leurs droits GDPR (accès, rectification, opposition à prospection y compris le profilage, etc.)
  • la sécurisation du système d’information qui permet le traitement ET la conservation (stockage et archivage) des données des personnes.


RGPD-GDPR RESPONSABLE de traitement ou SOUS-TRAITANT traitement : quelle responsabilité pour le « data controller » ?


C’est un principe classique de responsabilité, civile ou contractuelle : celui qui cause un dommage doit en réparer les conséquences pécuniaires. Il en va ainsi pour le responsable du traitement qui ne respecterait pas la GDPR et ainsi causerait un dommage aux personnes dont il traite les données.
Le critère spécifique de la GDPR pour qu’un data controller puisse « espérer » échapper à sa responsabilité ? un fait qui ne lui soit « nullement imputable ». Je vous rappelle qu’il appartient au responsable de traitement de prouver de manière positive l’existence de ce fait « nullement imputable ». A défaut de convaincre un juge de son absence totale de responsabilité, le data controller sera « présumé coupable ». C’est la stricte application du principe dit « d’accountability » cher à nos amis Anglo-Saxons.


RGPD-GDPR RESPONSABLE de traitement ou SOUS-TRAITANT traitement : qui est SOUS-TRAITANT ? 

Disons le en mots simples : le sous-traitant traite des données qui ne sont pas les siennes. Le prestataire sous-traitant doit veiller contractuellement à se faire garantir par son client donner d’ordre « l’utilisation paisible » des data qui lui sont confiées. En d’autres termes, il appartient contractuellement au responsable de traitement de garantir à son sous-traitant que la finalité du traitement déclarée aux personnes concernées permet effectivement au « data controller » de demander un traitement au « data processor ».
Ben oui : il n’y a que le « maitre du fichier » (le data controller) qui sache pour quelle finalité les data ont été collectées par ses soins et peuvent être être traitées, par lui ou par un sous traitant. Les sous-traitant, prudent, demandera donc des garanties dans le contrat de service…

RGPD-GDPR RESPONSABLE de traitement ou SOUS-TRAITANT traitement :

quelles obligations pour le SOUS-TRAITANT ?

Là, c’est simple, très simple même : le sous-traitant doit respecter les instructions écrites de son client donneur d’ordre et « fournisseur » des data à traiter.
Le « data processor » doit traiter les data dans le strict respect du contrat, et surtout, pour aucune autre finalité (qui lui soit propre).
A part son obligation de respecter le contrat ? Le sous-traitant est tenu, comme le responsable de traitement, d’assurer la sécurité de son système d’information et des data qui y sont stockées.


RGPD-GDPR RESPONSABLE de traitement ou SOUS-TRAITANT traitement : la responsabilité du SOUS-TRAITANT ?

Là encore, faisons simple, car la loi est claire : le data processor est responsable des obligations « qui lui incombent spécifiquement » (NDLR : « qui lui décombent » ?). Le sous-traitant est donc responsable (i) du respect des instructions (licites) de son client donneur d’ordre et (ii) de la sécurisation de son système d’information. Evidemment, ça fait moins de travail que pour le « data controller » qui doit – lui – informer les personnes et gérer les « droits GDPR ».


RGPD-GDPR RESPONSABLE de traitement ou SOUS-TRAITANT : ah ! le wp.169 du G.29 du 16 février 2010…


La seul vraie doctrine « officielle » d’interprétation des rôles respectifs de « RT » / « ST », ce sont les documents de travail « working paper » du groupe des CNIL de l’article 29 (de la Directive 95/46… vous suivez ?). Si ce document était clair sur la notion de « responsabilité conjointe » (que nous avons vu la semaine dernière), et bien, il l’est plus encore sur la réalité de ce que sont les « RT » (Responsable de Traitement, of course) et les « ST » (je vous lasse deviner)…


RGPD-GDPR RESPONSABLE de traitement ou SOUS-TRAITANT : synthèse (ultra) rapide

  • vous déterminez ne serait-ce qu’une une seule finalité d’un traitement de data ? pour des raisons qui sont propres à votre entreprise ? Vous êtes « data controller » (« RT ») !!! Et vous êtes responsable de l’information des personnes dont vous traitez les données, et vous devez leur assurer un exercice effectif de leurs droits GDPR.

 

  • Votre métier est de traiter des datas que vos clients vous confient ? Et vous ne traitez les data que sur instructions écrites (contrat compris) de votre client, le « data controller » ? Là, sans doute, vous êtes « ST » ou « data processor ». Respectez votre contrat écrit et sécurisez votre système d’information de sorte à assurer la protection des data de vos clients, et tout ira bien.

 

  • MAIS ATTENTION : si le sous-traitant traite AUSSI ces mêmes data mais avec un objectif qui lui est propre, ce sous-traitant devient… « responsable » (conjoint, donc) de ce traitement. Et on n’oublie pas : si je paramètre le traitement des données, et que je profite du résultat statistique de ce traitement  ? je suis « responsable conjoint ». Et pour bien comprendre ce que cela implique, je vais lire l’arrêt CJUE du 5 juin 2018 sur la « CO-traitance ». Je peux aussi aller lire la présentation en BD sur le sujet






 

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ