Les partenaires dans le cadre du RGPD : La responsabilité du responsable de traitement

Publié le
20 novembre 2020
RGPD

L’article 24 du Règlement Général sur la Protection des Données dispose que « Le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement […] ».

Le responsable de traitement, généralement client du sous-traitant ou utilisateur d’un dispositif mis en service par un sous-traitant, est en effet l’un des principaux acteurs impliqués dans le cadre de la Réglementation sur les données personnelles. La CNIL le définit comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme, qui, seul ou conjointement avec d’autres, détermine les moyens et les finalités du traitement. ».

Pour l’identifier, il convient de déterminer sa capacité juridique et organisationnelle, ainsi que son autonomie dans la définition des moyens et des finalités du traitement.

Il met en œuvre le traitement dans son intérêt, en son propre nom et pour son propre compte.

Cependant, il existe une exception selon laquelle le responsable de traitement peut être désigné par un texte législatif ou réglementaire. Dans ce cas l’interprétation est simplifiée, puisqu’il est identifié par le texte.

Le responsable de traitement n’est pas toujours unique. Il peut exercer ses missions conjointement avec un ou plusieurs autres responsables de traitement. C’est la coresponsabilité. D’autre part, il est possible que plusieurs responsables de traitement soient impliqués successivement dans le traitement des données personnelles.

La coresponsabilité

Lorsque plusieurs responsables de traitement vont déterminer conjointement la finalité du traitement, ils seront coresponsables. Par ailleurs, il convient d’être vigilant dans le cas où un sous-traitant détermine les moyens et les finalités du traitement ; car dans cette hypothèse, ce dernier sera considéré comme responsable de traitement [au sens de l’alinéa 10 de l’article 28 (« si […] un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement »)].

La coresponsabilité implique l’établissement d’un accord afin de définir de manière transparente les rôles et obligations de chacun. Le RGPD prévoit des obligations propres à chaque responsable de traitement :

  • la tenue d’un registre des traitements ;
  • la réparation des dommages subis par la personne concernée  ;
  • la coopération avec l’autorité de contrôle.

Les interventions successives

Dans cette situation, plusieurs responsables de traitement sont successivement impliqués  : le responsable du traitement A détermine la finalité A du traitement et le responsable du traitement B détermine la finalité B du traitement.

A titre d’exemple, dans le cadre d’une application SIRH, le premier responsable de traitement va traiter les données personnelles d’un agent pour les besoins de son bulletin de paie, tandis que le second va traiter ces mêmes données personnelles pour assurer le suivi des compétences de l’agent.
Dans ce cadre, les responsables successifs restent chacun soumis aux obligations que le Règlement met à leur charge.


• Lorsque le traitement ultérieur n’est pas compatible avec la finalité pour laquelle les données personnelles ont été initialement collectées :

Le responsable de traitement pourra être autorisé à effectuer un traitement ultérieur des données à caractère personnel indépendamment de la compatibilité des finalités lorsque :

  • La personne concernée a donné son consentement ou ;
  • Si le traitement est fondé sur le droit de l’Union Européenne ou sur le droit d’un Etat membre, qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir un objectif d’intérêt public général (article 6).
Point de vigilance : lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable de traitement doit lui délivrer une information spécifique, détaillée à l’article 14. Il devra indiquer à la personne concernée si ses données vont être utilisées à des fins de communication ; si elles ont été ou seront communiquées à d’autres destinataires que ceux pour lesquels elle a été informée, en particulier s’il s’agit de destinataires établis dans des pays tiers ou des organisations internationales. Il devra également rappeler à la personne concernée ses droits de rectification, d’effacement, de limitation et d’opposition et l’alarmer sur la source de provenance de ses données ou si elle fait l’objet d’un processus de profilage.

• Lorsque le traitement ultérieur est compatible avec la finalité pour laquelle les données personnelles ont été initialement collectées :

Dans ce cas, le responsable de traitement devra déterminer si le traitement disposant d’une autre finalité est compatible avec la finalité pour laquelle les données à caractère personnel ont été collectées.

La vérification doit s’effectuer sur :

  • l’existence d’un lien éventuel entre les finalités pour lesquelles les données à caractère personnel ont été initialement collectées et les finalités du traitement ultérieur (ex : gestion de la formation d’un agent, puis gestion de la retraite de l’agent) ;
  • le contexte dans lequel les données à caractère personnel ont été collectées, en particulier concernant la relation entre les personnes concernées et le responsable de traitement (ex : dans le cadre d’un contrat de travail, la relation employeur/salarié) ;
  • la nature des données à caractère personnel, en particulier si le traitement porte sur des données sensibles (ex : les données d’identification d’un agent, ses données bancaires ou encore ses données de connexion) ;
  • les conséquences possibles du traitement ultérieur (ex : perte ou effacement des données d’un agent) ;
  • les garanties appropriées (ex : pseudonymisation ou chiffrement des données d’un agent).

Ainsi, la vigilance du responsable de traitement est impérative et elle s’accroit lorsque le traitement implique la responsabilité de plusieurs acteurs. Une attention particulière doit être portée à l’information transparente à l’égard des personnes concernées, qui devront disposer de garanties appropriées et de la possibilité d’exercer leurs droits RGPD (accès, rectification, effacement, etc).

Le Règlement n’est pas seulement exigeant vis-à-vis du responsable de traitement, il l’est également concernant le sous-traitant dont la mission est de traiter les données pour le compte de son client. Le sous-traitant doit offrir à son client les mêmes garanties que pour ses propres traitements de données personnelles ; celles-ci ne doivent être traitées que sur instruction documentée. Par ailleurs, il est tenu d’une obligation d’assistance et d’alerte pour assurer la sécurité des données. Enfin, sa responsabilité s’opère à l’égard des personnes concernées, mais aussi de l’autorité de contrôle.

Célia BARTH
Consultante RGPD et Stratégie Digitale