Les Responsables de traitements et les Sous-traitants

Posté le : 12 février 2018
Temps de lecture : 3 minutes

La GDPR instaure une forme de « coresponsabilité » entre Responsable de traitement et Sous-traitant, qui ensemble doivent s’assurer de la protection des données personnelles de bout en bout, sur l’ensemble de l’écosystème technique et organisationnel de traitement desdites données.

Pour autant, les deux rôles ne se confondent pas, et chacun conserve une zone de responsabilité et des obligations spécifiques, qui sont détaillées dans la GDPR. Il est donc capital de toujours savoir déterminer qui, dans le cadre d’une relation contractuelle ou d’un transfert de données, est le Responsable de traitement et qui est le Sous-traitant.

C’est également un point essentiel pour déterminer les modalités d’encadrement des flux transfrontaliers de données, actualiser les stipulations des contrats de services, décider de la nécessité de diligenter une analyse d’impact préalable (DPIA), ou encore déterminer l’autorité de contrôle de référence.

Or, il existe une casuistique complexe, fonction des relations contrastées entre donneurs d’ordres et prestataires, mais aussi entre partenaires commerciaux ou fonctionnels. La désignation du Responsable de traitement et du Sous-traitant, si elle est aisée dans le cadre par exemple d’un contrat d’entreprise, devient plus compliquée dans le cadre des groupes d’entreprises, des partenariats technologiques ou encore des marchés bifaces.

La GDPR pose en outre un principe de répartition claire des responsabilités lorsqu’un traitement est le fait (i) d’un Responsable de traitement qui recourt à un ou plusieurs Sous-traitants (le Responsable doit alors stipuler les finalités poursuivies et les catégories de données collectées notamment), ou encore le fait (ii) de plusieurs Responsables de traitements, qui définissent ensemble un traitement qui va leur bénéficier respectivement (partenariat technologique par exemple).

De manière schématique, le Responsable de traitement est l’entité (entreprise, administration, association ou organisme) qui (i) décide intellectuellement de la constitution d’un fichier de données personnelles, (ii) détermine les finalités poursuivies et (iii) détermine les traitements y consacrés.

A l’inverse, lorsque l’entreprise n’entre en possession et ne traite des données personnelles qu’en vertu des instructions d’une entreprise donneuse d’ordres, uniquement pour son compte, sans les réutiliser pour toute autre finalité, il s’agit d’un Sous-traitant. Toute autre utilisation des données lui est interdite, et il doit a priori les supprimer dès la fin du traitement exécuté. C’est le plus souvent le cas des ESN.

Il existe de nombreux cas intermédiaires, lorsqu’un Responsable de traitement transfère des données à un partenaire commercial qui va les exploiter dans son propre intérêt : ce sont ici deux Responsables de traitements distincts. L’inventivité des partenariats autour de la donnée et la complexité des circuits décisionnaires de certains groupes d’entreprise implique donc de nourrir une réflexion approfondie pour déterminer, dans chaque situation, qui est Responsable des traitements.

Article suivant

L’information des personnes physiques

L'information des personnes physiques
Les responsables de traitements et les sous traitants
Article précédent

Les Responsables de traitements et les Sous-traitants