Vous êtes dans : Accueil > Tribunes libres >

RGPD : de la difficulté d’identifier le responsable de traitement

Cédric Cartau, MARDI 28 SEPTEMBRE 2021

Un des fondamentaux du RGPD concerne l’identification du responsable de traitement (RT), notion consubstantielle à celle de traitement. L’identification du RT et d’éventuels sous-traitants (ST) est indispensable pour la suite de la mise en conformité : appréciation des risques, clauses de sous-traitance, détermination des responsabilités, etc.

La définition d’un RT est courte : selon l’article 4 du RGPD, il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Dans pas mal de cas, l’identification d’un RT est assez simple. Une entreprise publique ou privée est bien évidemment responsable de son traitement RH : qui d’autre qu’elle-même pourrait en déterminer les finalités (payer ses agents et gérer leur carrière) ainsi que les moyens associés (logiciels, équipements, équipe RH, etc.) ?

D’autres cas s’avèrent plus complexes. Une entreprise peut ainsi se retrouver en situation de déterminer une finalité avec d’autres acteurs, cas qui apparaît fréquemment dans le domaine de la recherche – d’où la notion de responsabilité conjointe. Autre contexte : celui d’un groupement d’entreprises qui confie à une structure cofinancée le soin de mettre en place un traitement (la plupart du temps un logiciel commun) pour le bénéfice du groupement. Cette structure (GIE, GCS, GIP, etc.) peut alors se trouver en position de RT par délégation, à moins que tous les membres du groupement ne décident de se positionner en coresponsabilité – aucune des deux solutions n’est simple à mettre en œuvre, et il convient d’y réfléchir en amont sous peine de devoir régler une semaine avant la mise en production une situation réglementaire compliquée sur l’analyse de laquelle personne ne s’accordera.

Le problème de la définition de l’article 4 susnommé concerne à la fois l’usage des termes « finalités » et « moyens ». Selon le groupe de travail « Article 29 » sur la protection des données , il consiste à déterminer le « pourquoi » et le « comment », ce qui est une autre formulation de la MOA et de la MOE. Or, traditionnellement, MOA et MOE sont séparées – dans certains secteurs tels que le BTP, il est même impossible d’assumer les deux rôles sous peine de conflit d’intérêts. De fait, mélanger ces deux notions dans un même article introduit une forme d’ambiguïté : par définition, un ST est autonome sur les moyens techniques qu’il mobilise (jusqu’à un certain stade en tout cas). Pourquoi alors faire figurer le terme « moyens » dans la définition d’un RT ?

Les réponses sont apportées dans les Guidelines de juin 2021 et largement commentées sur plusieurs sites de cabinets spécialisés : en substance, il conviendrait de distinguer les moyens « essentiels » des moyens « opérationnels ». Les premiers se réfèrent à des éléments plutôt high level (tels que le type de données traitées, la durée du traitement, etc.), alors que les seconds font référence au volet opérationnel (logiciel utilisé, personnels agissant, etc.). Au final, il semble que ce qui l’emporte sur la qualification RT/ST soit plutôt la capacité de définir la finalité. Un exemple donné sur le site Europa concerne une sous-traitance auprès d’une société de marketing, qui assure la totalité de la prestation depuis la collecte des données jusqu’à la distribution publicitaire sans que le RT soit impliqué dans le processus, mais qui conserve son statut de ST du fait que c’est bien son client (donneur d’ordre) qui détermine les aspects stratégiques (la finalité) du traitement : dans un tel exemple, la société de marketing agit sur ordre et non pas de son seul fait ; elle est donc bien ST.

Globalement, concernant les critères permettant d’établir avec précision les rôles respectifs de RT/ST, la relation directe avec la personne dont les données sont traitées n’est pas déterminante, comme le montre l’exemple ci-dessus. Le critère principal semble être celui de l’autonomie : un ST n’est en rien autonome puisqu’il traite les données qu’on lui demande de gérer, et le RT peut parfaitement changer de ST pour un traitement donné (alors que l’inverse n’est pas vrai).

#RGPD#logiciel