Blog Données personnelles
Le CEPD publie des lignes directrices pour les responsables de traitement et sous-traitant
Le Comité européen à la protection des données (CEPD) a publié des lignes directrices relatives aux notions de responsables de traitement et sous-traitant et au ciblage des utilisateurs de réseaux sociaux adoptées le 2 septembre 2020. Elles sont soumises à consultation publique du 7 septembre jusqu’au 19 octobre 2020.
Les lignes directrices relatives aux notions de responsable de traitement et sous-traitant viennent apporter des précisions importantes concernant ces notions essentielles du RGPD et clarifient les obligations des organismes. Elles remplacent celles qui avaient été adoptées par le groupe de travail 29, prédécesseur du CEPD, dans son opinion 1/2010 (WP169)[1] .
Ces notions de responsable de traitement et sous-traitant jouent un rôle crucial dans l’application du RGPD aux traitements de données à caractère personnel. C’est pourquoi la CNIL avait déjà publié une fiche pratique sur le sujet relative aux 6 bonnes pratiques en la matière . En effet, la qualification des organismes mettant en œuvre des traitements permet de déterminer sur qui incombe la responsabilité de respecter ces règles et de répondre aux demandes d’exercices des droits des personnes. Ainsi, en s’appuyant sur ces lignes directrices, les organismes pourront définir précisément les obligations de chacun dans un cadre contractuel. Il est à noter que les parties ne peuvent pas librement choisir leur qualification de responsable de traitement ou de sous-traitant par stipulation contractuelle.
Pour être qualifié de responsable de traitement, deux cas peuvent être envisagés : soit la loi le désigne explicitement, soit le contrôle de l’organisme sur le traitement des données découle des circonstances de fait. Le contrôle dont doit disposer le responsable de traitement s’exerce sur la finalité ainsi que les moyens utilisés pour le traitement. Une distinction est donc à faire entre les moyens essentiels, qu’il appartient au contrôleur de déterminer (par exemple : quelles données seront collectées et pour quelle durée de conservation), et les moyens non essentiels, qui peuvent être laissés à l’appréciation du sous-traitant.
Le CEPD vient également clarifier des situations plus particulières par des exemples concrets, étayés de jurisprudences récentes de la Cour de justice de l’Union européenne.
Le nouveau régime de l’accountability a posé de nombreuses obligations sur les responsables de traitement. Ces derniers doivent notamment pouvoir démontrer leur conformité à tout moment en documentant leurs actions. Le CEPD a donc clarifié dans sa deuxième partie des lignes directrices les conséquences à tirer de l’attribution des rôles à chaque organisme, qu’ils soient responsables de traitement seul, conjoint ou sous-traitant.
Dans ces lignes directrices, les responsables de traitement et sous-traitants trouveront également réponses aux questions soulevées depuis l’entrée en vigueur du RGPD sur des sujets qui ont fait l’objet de nouvelles règles tels que le régime des responsables de traitement conjoints ainsi que les obligations particulières qui incombent aux sous-traitants disposées au chapitre IV, en particulier dans son article 28.
Enfin, il est à noter que la CNIL avait déjà publié en septembre 2017, un guide du sous-traitant proposant des solutions pratiques aux professionnels et notamment des modèles de clauses contractuelles de sous-traitance[2] .
[1] Groupe de travail 29, opinion 1/2010 relative aux notions de responsable de traitement et de sous-traitant, 16 février 2010
[2] CNIL, Responsable de traitement et sous-traitant : 6 bonnes pratiques pour respecter les données personnelles, 9 juillet 2020