Dans le paysage du Règlement Général sur la Protection des Données (RGPD), la qualification des organismes intervenant dans un traitement de données à caractère personnel s’avère parfois complexe.
Entreprises et Délégués à la Protection des Données (DPO) s’efforcent de distinguer clairement les rôles de “responsable de traitement”, “co-responsable de traitement” et de “sous-traitant”, oubliant ou négligeant parfois une qualification différente : cette du simple destinataire de la donnée.
Cette omission peut non seulement conduire à des interprétations erronées de la réglementation mais aussi exposer votre organisation à des risques juridiques et opérationnels. Cet article a pour objectif de rappeler l’existence de cette qualification souvent oubliée et de souligner sa présence habituelle dans bon nombre de relations entre les entreprises et des prestataires de service ou administrations.
Comprendre les qualifications du RGPD
Lors de la conception du registre des traitements de données personnelles, les organismes doivent déterminer les qualifications des différents intervenants du traitement, selon les opérations qu’ils mettent en œuvre sur les données et leur degré d’indépendance.
On rencontre le plus souvent deux qualifications.
Le responsable de traitement
La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.
Pour vulgariser, le responsable de traitement est l’organisme qui décide pourquoi les données seront traitées (le but du traitement), et quelles données seront traitées pour atteindre ce but.
Attention, il peut y avoir plusieurs responsables sur le même traitement. On parle alors de co-responsables.
Le sous-traitant
la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Pour vulgariser, il s’agira la plupart du temps de prestataires chargés d’opérations sur les données (transfert, hébergement, …), qu’ils aient connaissance des données ou non, ne définissant ni le but du traitement de la donnée, ni les données qui sont traitées.
Attention, si un prestataire (un sous-traitant au sens commun du terme) intervient pour un organisme sans réaliser aucune opération sur des données personnelles, il n’est pas considéré comme un “sous-traitant” au sens du RGPD.
La qualification d’un organisme est donc déterminée en vérifiant si cet organisme a effectivement un pouvoir de décision sur le but du traitement de la donnée, les opérations effectuées, les durées de conservation de la donnée, etc. et doit apparaître dans le registre des traitements.
Dans certains cas cependant, les organismes ne savent pas quelle qualification retenir pour les entreprises ou administrations dont les activités n’entrent pas véritablement, ou pas totalement, dans l’une de ces deux définitions.
Pourquoi la qualification est-elle importante ?
La correcte identification des qualifications applicables revêt une forte importance pour plusieurs raisons :
- L’identification claire des responsabilités
Comprendre le rôle de chaque organisme permet d’attribuer les responsabilités de manière précise, notamment en ce qui concerne les obligations de réponse aux droits des personnes concernées et les obligations de sécurité pesant sur les organismes.
- La gestion des risques
Une qualification adéquate peut aider à prévenir les risques liés à la protection des données en s’assurant que les mesures de sécurité et les contrats en place sont appropriés au rôle et aux responsabilités de chaque entité.
- Conformité réglementaire
Éviter les malentendus sur les rôles peut contribuer à une meilleure conformité avec le RGPD, réduisant ainsi le risque de sanctions.
La qualification souvent oubliée : le destinataire des données
Le destinataire des données est une qualification, elle aussi prévue par le RGPD, susceptible d’englober les autres qualifications, mais plus large, en ce qu’elle ne liste pas les critères limitatifs (définition des finalités et des moyens) présents dans les autres définitions.
la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.
Le destinataire des données pourrait donc être un co-responsable ou un sous-traitant (s’il reçoit communication des données), mais aussi un organisme recevant les données sans déterminer les finalités et moyens du traitement (il ne serait donc pas responsable ou co-responsable) et sans lien de subordination avec le responsable du traitement (les finalités et moyens du traitement des données ne lui sont pas imposés par le responsable du traitement).
Une qualification donc, qui permet aussi de qualifier un organisme traitant les données dans des conditions de très forte indépendance par rapport à l’organisme qui les lui communique.
Les organismes destinataires de la donnée
En pratique, définir qu’un organisme est simple destinataire de la donnée, sans qu’il ne soit responsable, co-responsable, ou sous-traitant est délicat.
Il va s’agir d’organismes recevant la donnée, traitée par le responsable ou le sous-traitant dans un but précis, pour d’autres raisons ou opérations de traitement et sans lien de subordination.
A titre d’exemple, nous pouvons citer certains organismes publics comme la DGFIP (Direction Générale des Finances Publiques) ou encore l’URSSAF (Union de Recouvrement des cotisations de Sécurité Sociale et d’Allocations Familiales) : en effet, ces organismes reçoivent les données traitées par les ressources humaines des organismes, sans avoir déterminé les finalités ou les moyens du traitement des données par les organismes, et sans lien de subordination avec eux.
Dans leur cas, ils sont destinataires des données car les organismes leur communiqueront des données (relatives aux collaborateurs de l’organisme par exemple), mais ils ne déterminent ni les finalités et les moyens du traitement des données par les organismes communiquants, et traitent la donnée par la suite selon leurs propres processus et méthodes, sans lien de subordination avec l’organisme les ayant communiqué.
D’autres organismes disposant de la donnée, et chargés d’opérations sur ces données, seront considérés comme destinataires et non sous-traitants ou responsables en raison de leur degré d’autonomie dans le traitement de l’information, comme les transporteurs par exemple.
Choisir la qualification la plus proche de la réalité du traitement de la donnée est important pour définir ensuite la part de responsabilité des différents intervenants sur le traitement, et savoir les actions pouvant être déléguées aux autres intervenants (réponses aux demandes de droit, notifications de violation de données auprès de l’autorité de contrôle compétente, …).
Vous ne disposez pas encore de votre registre des traitements ? Datanaos propose des services d’audit et de délégué à la protection des données pour vous assister dans votre mise en conformité. N’hésitez pas à nous contacter pour obtenir plus d’informations sur le registre des traitements et sa conception.