| Titre : | Doctrine: Qualité des parties dans le cadre du RGPD : responsable (conjoint) du traitement ou sous-traitant – quels critères, implications et opportunités stratégiques ? (2024) |
| Auteurs : | Florine De Ridder, Auteur ; Johan Vandendriessche, Auteur |
| Type de document : | Article : texte imprimé |
| Dans : | Bulletin des assurances (28, Dossier 2024) |
| Article en page(s) : | P.35-68 |
| Langues: | Français |
| Sujets : |
IESN Doctrine juridique ; Règlement Général sur la Protection des Données |
| Résumé : | Les principaux acteurs du traitement de données à caractère personnel en vertu du RGPD sont indéniablement le responsable du traitement et le sous-traitant – même si le champ d’application du RGPD est beaucoup plus large (et vise également d’autres acteurs, dont notamment la personne concernée, les autorités de contrôle, le DPO…). Ces notions doivent être analysées à la lumière des décisions de la Cour de justice de l’Union européenne et des recommandations des autorités de supervision (européennes et nationales). L’élément clé de la définition de responsable du traitement est la détermination des finalités et des moyens (essentiels) du traitement. Si plusieurs responsables du traitement déterminent conjointement les finalités et moyens du traitement, ils seront responsables conjoints. Le sous-traitant, quant à lui, doit être une entité distincte du responsable du traitement et ne peut traiter les données à caractère personnel que pour le compte du responsable du traitement et conformément à ses instructions documentées. Il est admis qu’une certaine liberté d’appréciation concernant les moyens non essentiels (aspects techniques et organisationnels du traitement) soit accordée au sous-traitant. La notion de « sous-traitants conjoints » a été mentionnée par le Contrôleur européen de la protection des données (qui n’en explique cependant pas l’implication) mais nous parait plutôt fantaisiste car elle n’est aucunement prévue par le RGPD. Si les notions de « responsable du traitement » et de « sous-traitant » peuvent paraitre claires à première vue dès lors qu’elles sont définies par le RGPD, leur application en pratique s’avère souvent épineuse. La qualification d’un acteur en vertu du RGPD doit toujours reposer sur une analyse factuelle qui peut, selon nous, être utilement guidée par les quatre critères développés par le Groupe de travail article 29 (le prédécesseur du Comité européen de la protection des données) : le nombre d’instructions préalables concernant le traitement ; la surveillance exercée sur une partie ; l’image donnée à la personne concernée et l’expertise d’une partie. Cette analyse factuelle doit être effectuée pour chaque activité de traitement et être suffisamment granulaire (en pratique, le juste équilibre entre trop et pas assez de granularité est parfois difficile à trouver). La correcte identification d’un acteur du traitement est primordiale afin de déterminer ses obligations et sa responsabilité en vertu du RGPD. Bien que la majorité des obligations soient toujours imposées au responsable du traitement du fait qu’il exerce le contrôle ultime sur le traitement, le RGPD a considérablement augmenté les obligations et la responsabilité incombant au sous-traitant réduisant ainsi l’écart traditionnel entre ces deux rôles. Tant le responsable du traitement que le sous-traitant peuvent en effet se voir infliger des sanctions administratives en vertu du RGPD (et des sanctions pénales en vertu de la loi belge du 30 juillet 2018) et leur responsabilité peut être engagée. Les responsables conjoints sont également soumis à des obligations spécifiques en vertu du RGPD, contrairement aux responsables du traitement séparés. A cet égard, nous devons mentionner la position de l’Autorité de protection des données (APD) qui a estimé, dans le contexte du courtage de données, qu’un responsable du traitement impliqué dans une collecte indirecte (en l’espèce, un achat de données) était tenu à une obligation de « due diligence » à l’égard du traitement effectué par un responsable du traitement séparé (le vendeur). Nous estimons que cette interprétation de l’APD est contraire à la lettre du RGPD et doit être limitée aux cas où un responsable du traitement délègue une partie de ses obligations à une autre personne (par exemple, en matière de recueil de consentement). Enfin, la qualification d’un acteur en tant que responsable du traitement lui confère également des opportunités stratégiques, notamment en termes d’agrégation et d’accumulation de données (pouvant être utilisées à ses propres fins). La qualification en tant que sous-traitant permet quant à elle une limitation (relative) du risque de sanction et de la responsabilité, bien que le choix stratégique de cette qualification a fortement perdu de son utilité depuis l’application du RGPD. (Extrait de Bulletin des assurances, dossier 28, p.35) |
| Note de contenu : |
Responsable du traitement (données à caractère personnel)
Sous-traitant des données à caractère personnel |
Exemplaires (1)
| Localisation | Section | Support | Cote de rangement | Statut | Disponibilité |
|---|---|---|---|---|---|
| Bibliothèque IESN | _Périodiques | Périodique | 34 BA 28 | Non empruntable | Exclu du prêt |
