Responsable de traitement, sous-traitant, responsable conjoint : Ce qu’il faut savoir

Quelle responsabilité assumez-vous dans les traitements de données que vous mettez en œuvre ? Le responsable de traitement est en première ligne, il doit respecter l’ensemble des exigences légales. Le sous-traitant est soumis aux instructions de son client, il veille à la sécurité du traitement. Les responsables conjoints se partagent quant à eux la charge de la conformité RGPD.

Responsable de traitement, un rôle en première ligne

Le responsable de traitement est l’entité commanditaire. Il détermine les objectifs poursuivis par le traitement et la manière dont les données seront exploitées. Cette maîtrise complète induit la responsabilité de soumettre l’ensemble des composantes du traitement aux exigences légales. Une responsabilité qui concerne l’activité interne de vos services mais aussi les prestations de services externalisées.

Qu’est-ce que le responsable de traitement ?

Le responsable de traitement, c’est celui qui met en œuvre le traitement de données à caractère personnel pour ses besoins propres (gestion du personnel, relation client, campagnes marketing…). Le donneur d’ordre en quelque sorte.

Il détermine les raisons (finalités) pour lesquelles des données sont traitées.

Il définit aussi les moyens concrets de traiter les données pour atteindre les objectifs recherchés :

• les types de données qui seront collectées, les catégories de personnes concernées (prospects, clients, salariés…), la durée du traitement, les entités ou services qui auront un accès aux données…
• Comment les solutions informatiques utilisées devront être configurées, comment les données seront utilisées.
• Comment les données seront stockées et dans quel pays, les conditions de sécurité pour le stockage et les accès aux données…

RGPD – Quelles sont les obligations du responsable de traitement ?

Le responsable de traitement prend en charge l’ensemble des obligations légales imposées par le Règlement européen RGPD, notamment :

• l’intégration des exigences légales dans les cahiers des charges lors de la conception des projets (par exemple minimiser la collecte au strict nécessaire, définir des durées de conservation adéquates…) ;
• une démarche de transparence totale concrétisée par la rédaction d’une politique de confidentialité et par des mentions d’information ;
• l’application d’une politique de sécurité à l’état de l’art ;
• la réponse aux réclamations liées aux données personnelles (droit d’accès, à l’effacement, opposition à la prospection commerciale…).

Cette responsabilité complète impacte jusqu’à l’externalisation de prestations de services :

• Le responsable de traitement ne doit choisir que des sous-traitants aptes à respecter les exigences légales ;
• Il doit correctement encadrer, au sein d’un contrat, les prestations de ses sous-traitants ;
• Revue de la politique de sécurité, audits récurrents… Il doit s’assurer que les engagements contractuels sont respectés, dans les faits.

Sous-traitant, aux ordres du responsable de traitement

Le sous-traitant est l’entité qui met en œuvre des traitements de données externalisés par son client. Il agit dans un cadre contractuel défini qui précise la manière dont les données pourront être utilisées. Ce statut implique qu’il n’assume pas toute la responsabilité du traitement, ce qui n’empêche pas des obligations non négligeables.

Qu’est-ce qu’un sous-traitant au sens du RGPD ?

Le sous-traitant est une entité qui traite des données personnelles pour le compte du responsable de traitement :

• Il fournit et héberge des solutions informatiques permettant de manipuler des données (logiciel de gestion du personnel, outil de marketing automation…).
• Il exécute des prestations de services (de call center, par exemple) que ses clients choisissent d’externaliser.

Quelles sont les obligations RGPD du sous-traitant ?

Depuis le Règlement européen relatif à la protection des données (RGPD), les obligations du sous-traitant comprennent notamment :

• Le respect strict des instructions du client ;
• Une obligation de confidentialité ;
• L’accord préalable du client pour le recours à des sous-traitant ;
• Des obligations de sécurité ;
• La collaboration avec le client. Le sous-traitant facilite la réalisation d’études d’impacts DPIA – AIPD, la gestion des demandes d’exercices de droits, la notification des violations de données du client à l’autorité de régulation…

Responsable conjoint, le deuxième responsable du traitement

Cette fois, le traitement est déterminé, dans ses finalités comme dans ses moyens, non par une mais par plusieurs entités. Chaque responsable conjoint y joue ainsi un rôle indissociable de l’autre partie. Cela implique une responsabilité partagée dans la mise en œuvre des obligations légales encadrant le traitement des données.

Qu’est-ce qu’un responsable conjoint du traitement ?

On est responsable conjoint parce que :

• l’on décide ensemble de lancer un traitement commun : un site web, commun à deux entreprises, de promotion d’une offre packagée par exemple ;
• parce qu’on participe au traitement d’une manière complémentaire et indissociable par rapport à l’autre partie. Tel est le cas par exemple du réseau social Facebook et des administrateurs de pages sociales d’entreprise.

Une analyse au cas par cas permettra donc de déterminer, dans une situation donnée, si les acteurs impliqués sont ou non responsables conjoints.

Quelles sont les obligations RGPD du responsable conjoint de traitement ?

Assumer une responsabilité conjointe signifie devoir prendre en charge certaines exigences légales. A savoir :

• Formaliser un engagement (contrat) afin de répartir entre les responsables conjoints la prise en charge des obligations légales. Il faut par exemple déterminer :
  • qui informe les personnes concernées de la manière dont les données sont traitées ;
  • qui prend en charge les demandes d’exercice de droits et comment.
• Mettre l’essence de ces engagements à disposition des personnes concernées, sur demande par exemple. Cette notion floue recouvre un niveau de transparence comparable à ce que l’on trouve dans une politique de confidentialité.
• Identifier qui sera en contact avec les services de la CNIL.

Conclusion : Votre statut détermine votre responsabilité vis-à-vis de la conformité RGPD

Responsable de traitement ? Responsable conjoint ? Sous-traitant ? Votre qualification juridique détermine :

• votre niveau de responsabilité ;
• les obligations que vous devrez respecter, y compris dans votre relation avec vos fournisseurs et prestataires.

S’il est préférable de définir ce point dans un contrat, l’autorité de régulation mènera sa propre analyse de la situation pour s’assurer de ce qu’il en est en pratique.

Article rédigé par Maxime Jaillet