Le(s) responsable(s) et le(s) sous-traitant(s)
Introduction
Le responsable du traitement joue un rôle central dans le RGPD. Référent principal de la personne concernée, il peut tout d’abord collaborer avec un autre responsable du traitement. Mais il peut aussi confier une partie du traitement à un sous-traitant qui peut, à son tour, sous-traiter. L’analyse de ces relations est complexe tant sur le plan théorique que pratique. Elle dépend à la fois d’éléments relevant du droit des données à caractère personnel et d’éléments relatifs à la matière contractuelle. La qualification de ces différents acteurs est indispensable car elle permet de déterminer leurs obligations respectives et leur responsabilité. Elle peut également contribuer à déterminer la compétence des autorités de contrôle ou des juridictions et même, dans certains cas, la loi applicable dans une situation internationale.
Notion de responsable
1. Interprétation de la notion
Le RGPD définit le responsable d’un traitement de données à caractère personnel comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement... » (RGPD, art. 4.7).
L’article 4.7 ajoute que « Lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».
La notion de responsable de traitement, comme celle notamment de sous-traitant, est une notion autonome, ce qui signifie, d’une part, que son interprétation relève de la seule compétence de la Cour de Justice et non de la compétence des juridictions des Etats membres de l’UE et, d’autre part, que cette interprétation est spécifique au texte interprété, en l’espèce le RGPD ou plus largement la législation de l’Union en matière de protection des données (v. en ce sens le guide EDPB, Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, version 2.0, 7 juillet 2021, n° 13 : https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_fr.pdf).
La Cour de Justice considère qu’une interprétation extensive de la notion de responsable de traitement doit être retenue afin d’assurer une protection efficace et complète des personnes concernées (CJUE, 13 mai 2014, Google Spain et Google, C-131/12, point 34 ; CJUE, 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, point 28 ; CJUE, 29 juill. 2019, C-40/17, Fashion ID GmbH & Co. KG c/Verbraucherzentrale NRW eV, point 65).
En premier lieu, la qualité de responsable peut être conférée à une personne par le droit d’un Etat membre ou par le droit de l’UE (RGPD, art. 4.7). Cette désignation suppose, selon...
Notion de responsable conjoint
Plusieurs personnes peuvent participer au traitement. Peuvent-elles alors être qualifiées de responsables conjoints ? Conformément à l’article 26 § 1 du RGPD, l’admission de cette qualification suppose que ces personnes déterminent conjointement les finalités et les moyens du traitement, soit par décision commune, soit par décision convergente (v. en ce sens, EDPB, Lignes directrices 07/2020 précitées, n° 54). Sur ce dernier point, le Comité européen de la protection des données propose d’admettre la convergence "lorsque les décisions se complètent et sont nécessaires à la réalisation du traitement de telle sorte qu’elles ont un effet concret sur la détermination des finalités et des moyens. Un critère important est que le traitement ne serait pas possible sans la participation des deux parties en ce sens que le traitement par chacune des parties est indissociable de celui de l’autre, c’est-à-dire inextricablement lié" (EDPB, Lignes directrices 07/2020 précitées, n° 55).
Cependant, pour un même traitement de données à caractère personnel, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents acteurs. La Cour de Justice considère...
Contrat entre responsables conjoints
L’article 26 du RGPD précise la nature des relations entre responsables conjoints. Ces responsables doivent définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du règlement. Le contrat doit préciser les obligations de chacune des parties et leurs relations vis-à-vis des personnes concernées. L’accord doit préciser comment les droits de la personne concernée sont pris en compte, notamment en ce qui concerne la communication des informations à fournir lorsque des données à caractère personnel sont ou ne sont pas collectées auprès de la personne concernée, en vertu des articles 13 et 14 du règlement.
La personne concernée doit être informée des grandes lignes de cet accord (RGPD, art. 26 § 2).
Enfin, sur le plan de la responsabilité, l’accord n’est pas opposable à la personne concernée (RGPD, art. 26 § 3). Elle pourra en effet agir contre l’un des coresponsables sans qu’un partage de responsabilité, par exemple, puisse lui être opposé par les responsables conjoints. Dans un tel cas, le responsable contre lequel la personne concernée a agi pourra se retourner contre l’autre ou les autres responsables conjoints, en se prévalant de l’accord...
Sous-traitant
1. Définition
Le responsable du traitement peut en confier une partie à un sous-traitant, c’est-à-dire « une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » (RGPD, art. 4.8).
Cette sous-traitance de données peut, par exemple, résulter de la réalisation de certaines opérations comptables ou de la gestion de la paye des salariés. Autre exemple, les prestataires de services informatiques comme les fournisseurs d’hébergement, les prestataires de sécurité informatique interviennent souvent à titre de sous-traitant. Ainsi, chaque fois qu’une société externalise une partie de ses activités, le prestataire externe pourra être éventuellement considéré comme sous-traitant de cette société du point de vue des données à caractère personnel.
Le sous-traitant doit être une entité distincte du responsable, ce qui est le cas d’une société distincte, y compris dans un groupe d’entreprises, mais non d’un service particulier à l’intérieur d’une entreprise. Evidemment, les employés ne sont pas des sous-traitants de leur entreprise, y compris dans le cas où ils interviennent comme intérimaires.
Agir pour le compte du responsable conduit le sous-traitant à exécuter les instructions données par le responsable au moins en ce qui concerne la finalité du traitement et les moyens essentiels. En revanche, le sous-traitant reste libre de définir les moyens techniques et organisationnels lui permettant de remplir sa mission dans le respect des droits de la personne concernée (EDPB, Lignes directrices 07/2020 précitées, n° 80 et s.).
Il convient de noter que le sous-traitant qui détermine les finalités et les moyens du traitement perd cette qualité et doit être considéré comme un responsable du traitement (RGPD, art. 28 § 10).
Les règles relatives aux responsables, voire aux responsables conjoints doivent alors être appliquées. Par exemple, un fournisseur d’hébergement de données...
Formalisation des relations entre responsable de traitement et sous-traitant
L’article 28 § 3 du RGPD dispose « Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement ». Deux situations sont envisageables : soit un contrat a d’ores et déjà été rédigé par les parties, soit aucun écrit ne formalise encore leurs relations. Dans le premier cas, il suffit de compléter le contrat existant par des stipulations relatives aux données à caractère personnel. Dans le second cas, un contrat devra être signé, qui précisera son objet et les obligations des parties, au-delà des stipulations relatives aux données à caractère personnel. Le comité européen de la protection des données recommande que les stipulations relatives au RGPD soient clairement identifiées en un seul endroit, par exemple dans une annexe au contrat (EDPB, Lignes directrices 07/2020 précitées, n° 103). Les contractants pourront reprendre ou s’inspirer de clauses contractuelles types qui peuvent être adoptées par la Commission ou encore par une autorité de contrôle (Ibid, n°...
Aspects internationaux
Une situation est internationale sur le plan juridique si elle comprend un élément étranger. Dans le cadre des données à caractère personnel, tel est le cas notamment d’un traitement, effectué par un responsable situé dans un premier État, de données à caractère personnel d’une personne résidant dans un autre État ou encore d’un responsable établi dans un premier État, tandis que son sous-traitant est établi dans un autre État. Une situation internationale génère des questions sur la compétence internationale, d’une part, et sur la loi applicable, d’autre part.
Sur le plan de la compétence, le RGPD fixe la compétence des différentes autorités centrales. Par ailleurs, sur le plan pénal, la compétence des autorités peut dépendre de la nationalité des personnes commettant les infractions ou encore du lieu de l’infraction. Sur le plan civil, par exemple dans le cas d’un litige entre un sous-traitant et un responsable ou encore entre deux responsables conjoints, il y a lieu de faire application d’éventuelles conventions internationales lorsque les règles de l’UE qui priment les règles internes ne s’appliquent pas. À défaut, le juge appliquera les règles...
Contenu du contrat
L’article 28 § 3 al. 1 du RGPD dispose de manière générale que le contrat « définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement ». Les contractants auront intérêt à les préciser, les détailler le plus possible (voir sur ces points : EDPB, Lignes directrices 07/2020 précitées, n° 114). L’article 28 impose également d’autres éléments particuliers.
En premier lieu, le contrat doit préciser que le sous-traitant « ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information...
Résolution du contrat
La résolution est l’une des sanctions d’inexécution du contrat. En vertu de l’article 1217 du Code civil, « La partie envers laquelle l’engagement n’a pas été exécuté, ou l’a été imparfaitement, peut… provoquer la résolution du contrat ». La résolution peut résulter, en cas d’inexécution suffisamment grave, d’une notification du créancier ou du débiteur ou d’une décision de justice (Code civil, art. 1224). La résolution par notification se fait aux risques et périls du créancier (Code civil, art. 1126 al. 1). Il appartient au créancier de démontrer la gravité de l’inexécution en cas de contestation par le débiteur de la résolution (Code civil, art. 1226, dern. al.).
La même charge porte sur le créancier en cas de demande au juge. Et selon la Cour de cassation : « il appartient aux tribunaux d’apprécier souverainement si l’inexécution a assez d’importance pour que la résolution doive être immédiatement prononcée » (civ. 14 av.1891. D.1891.1.329, note Planiol ; civ. 3e, 22 mars 1983 bull civ. III, No 84).
En raison des incertitudes inhérentes à ces modes de résolution...