explorers
La responsabilité du Responsable de traitement dans le cadre du RGPD
Depuis le 25 mai 2018, le Règlement Européen sur la Protection des Données (RGPD) est entré en vigueur. Cette réglementation a introduit le rôle du Responsable de traitement, qui doit disposer d’une vue d’ensemble sur les données personnelles et prendre des mesures visant à les encadrer et les sécuriser.
L’objectif est de déterminer comment identifier le Responsable de traitement, de décrire les différents cas de figure relatifs aux rôles qu’il peut revêtir, et aux fonctions qui lui sont affectées. mc2i Groupe se penchera prochainement sur le rôle du Sous-traitant dans les processus RGPD.
L’identification du Responsable de traitement
Le Responsable de traitement, généralement client d’un Sous-traitant ou utilisateur d’un dispositif mis en service par un Sous-traitant, est en effet l’un des principaux acteurs impliqué dans le cadre du Règlement sur les données personnelles. La CNIL le définit comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme, qui, seul ou conjointement avec d’autres, détermine les moyens et les finalités du traitement. »
Pour l’identifier, il convient de déterminer sa capacité juridique et organisationnelle, ainsi que son autonomie dans la définition des moyens et des finalités du traitement.
Il met en œuvre le traitement dans son intérêt, en son propre nom et pour son propre compte.
Cependant, il existe une exception selon laquelle le Responsable de traitement peut être désigné par un texte législatif ou réglementaire. Dans ce cas l’interprétation est simplifiée, puisqu’il est identifié par le texte.
Le Responsable de traitement n’est pas toujours unique. Il peut exercer ses missions conjointement avec un ou plusieurs autres Responsables de traitement. C’est la coresponsabilité. D’autre part, il est possible que plusieurs Responsables de traitement soient impliqués successivement dans le traitement des données personnelles.
Les coresponsables de traitement
Lorsque plusieurs Responsables de traitement vont déterminer conjointement la finalité du traitement, ils seront coresponsables. Par ailleurs, il convient d’être vigilant dans le cas où un Sous-traitant détermine les moyens et les finalités du traitement ; car dans cette hypothèse, ce dernier sera considéré comme Responsable de traitement [1]
La coresponsabilité implique l’établissement d’un accord afin de définir de manière transparente les rôles et obligations de chacun. Le RGPD prévoit des obligations propres à chaque Responsable de traitement ; notamment :
- la tenue d’un registre des traitements ;
- la coopération avec l’autorité de contrôle ;
- la mise en place de mesures techniques et organisationnelles pour protéger les données personnelles ;
- le respect des droits fondamentaux des personnes concernées.
Le Responsable de traitement et ses Sous-traitants
Parmi les points forts du RGPD, on relève l’encadrement de la sous-traitance. En effet, le Responsable de traitement doit réviser ses contrats afin de s’assurer que les Sous-traitants auxquels il fait appel présentent des garanties suffisantes en matière de protection des données, au risque d’être jugé non conforme à la loi. Le prestataire est en effet responsable des données personnelles qu’il gère pour le compte de son client.
Dans ce cadre, il doit assurer un niveau de vigilance aussi important pour les traitements de données personnelles de ses clients que pour les siens :
- Celles-ci ne doivent être traitées que sur instruction documentée ;
- Il est tenu d’une obligation d’assistance et d’alerte pour assurer la sécurité des données ;
- Sa responsabilité s’opère à l’égard des personnes concernées, mais aussi de l’autorité de contrôle.
Une donnée personnelle peut-elle avoir plusieurs finalités ?
D’une part, il faut relever qu’une même donnée personnelle pourra être utilisée pour les besoins de différents traitements, on parle d’interventions successives. A titre d’exemple, le nom d’une personne dans un SIRH peut être traité pour les besoins du service RH qui va l’utiliser pour organiser la formation de l’agent ; tandis que le gestionnaire de paie aura besoin du nom pour l’inscrire sur le bulletin de paie du salarié.
D’autre part, il est possible que le Responsable de traitement réalise des traitements ultérieurs, c’est-à-dire des traitements supplémentaires réalisés après le traitement principal pour lequel la donnée a été collectée.
Il existe deux cas distincts :
- Lorsque le traitement ultérieur de données est compatible avec la finalité pour laquelle les données personnelles ont été initialement collectées :
Dans ce cas, le Responsable de traitement devra déterminer si le traitement disposant d’une autre finalité est compatible avec la finalité pour laquelle les données à caractère personnel ont été collectées.
Il tient compte, entre autres :
- De l’existence d’un lien éventuel entre les finalités pour lesquelles les données à caractère personnel ont été initialement collectées et les finalités du traitement ultérieur (ex : gestion de la formation d’un agent, puis gestion de sa retraite) ;
- Du contexte dans lequel les données à caractère personnel ont été collectées, en particulier concernant la relation entre les personnes concernées et le Responsable de traitement (ex : dans le cadre d’un contrat de travail, la relation employeur/salarié) ;
- De la nature des données à caractère personnel, en particulier si le traitement porte sur des données sensibles (ex : les données d’identification d’un agent, ses données bancaires ou encore ses données de connexion) ;
- Des conséquences possibles du traitement ultérieur (ex : perte ou effacement des données d’un agent) ;
- Des garanties appropriées (ex : pseudonymisation ou chiffrement des données d’un agent).
Exemple : Un client s’adresse à une banque pour contracter avec elle afin de bénéficier d’un compte bancaire et d’un prêt personnel. A l’issue de la première année, la banque va proposer au client d’obtenir un meilleur prêt et pour cela elle va utiliser ses données personnelles. Le client est informé par sa banque, qui pourra à nouveau traiter ses données car les nouvelles finalités du traitement sont compatibles avec les finalités initiales.
- Lorsque le traitement ultérieur n’est pas compatible avec la finalité pour laquelle les données personnelles ont été initialement collectées :
Le Responsable de traitement pourra être autorisé à effectuer un traitement ultérieur des données à caractère personnel indépendamment de la compatibilité des finalités lorsque :
- La personne concernée a donné son consentement explicite ou ;
- Si le traitement est fondé sur le droit de l’Union Européenne ou sur le droit d’un Etat membre, qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir un objectif d’intérêt public général (article 6).
Point de vigilance : lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le Responsable de traitement doit lui délivrer une information spécifique, détaillée à l’article 14 [2].
Exemple : La banque souhaite partager les données personnelles de son client avec une assurance, sur la base du contrat relatif au compte bancaire et au prêt personnel. Ce traitement ultérieur ne pourra pas être autorisé sans le consentement explicite du client dans la mesure où la finalité de ce nouveau traitement n’est pas compatible avec la finalité initiale pour laquelle les données ont été collectées.
A retenir
Ainsi, la vigilance du Responsable de traitement est impérative et elle s’accroit lorsque le traitement implique la responsabilité de plusieurs acteurs. Une attention particulière doit être portée à l’information transparente à l’égard des personnes concernées, qui devront disposer de garanties appropriées et de la possibilité d’exercer leurs droits RGPD (accès, rectification, effacement, etc).
Le Règlement n’est pas seulement exigeant vis-à-vis du Responsable de traitement, il l’est également concernant le Sous-traitant dont la mission est de traiter les données pour le compte de son client.
