Responsable ou sous-traitant pour le traitement des données, deux rôles différents

L'entrée en vigueur du Règlement général sur la protection des données (RGPD) a entraîné de nombreux changements dans le monde de l'entreprise, notamment en matière de gestion et conservation des documents. L'arrivée de cette nouvelle législation européenne a généré un débat sur le rôle que doivent jouer respectivement les responsables du traitement des données et les sous-traitants pour le traitement des données. C'est en effet la première fois que des obligations légales sont imposées aux responsables du traitement des données. Il est donc particulièrement important de bien délimiter ces deux rôles et de comprendre à la fois ce qui les différencie et ce qui les rapproche, ainsi que les relations que les deux fonctions entretiennent entre elles.

D'après l'article 4 du RGPD de l'UE, le responsable du contrôle des données est l'entité (personne, organisation, etc.) qui détermine les finalités et les moyens du traitement des données personnelles. Quant au sous-traitant pour le traitement des données, il s'agit de l'entité qui traite les données à caractère personnel pour le compte du responsable du traitement. 

Responsable du traitement des données : les finalités et les moyens du traitement des données

L'entrée en vigueur du RGPD a entraîné une évolution de ces deux rôles. Dans la plupart des cas, c'est au responsable du traitement des données que le RPGD assigne la responsabilité d'obtenir le consentement des individus concernés et de gérer l'accès aux données personnelles. Il a ainsi la possibilité de prendre des décisions de façon plus indépendante, mais le revers de la médaille est que sa responsabilité est engagée en cas de problème. En vertu du RGPD, comme dans le cas d'autres lois en matière de respect de la vie privée, c'est au responsable du traitement des données que revient la plus grande responsabilité en matière de confidentialité et de droit d'accès aux données.

D'après l'article 5 du RGPD, c'est le responsable du traitement des données qui doit veiller à ce que les données à caractère personnel soient traitées de manière licite, loyale et transparente au regard de la personne concernée. C'est également lui qui est chargé de veiller à l'exactitude des données à caractère personnel, à la limitation de leur conservation et à leur confidentialité. En conséquence, il lui revient de privilégier pour le traitement des données des sous-traitants capables de garantir leur conformité au RGPD, afin d'éviter tout type d'amende et de pénalité.

Rien n'oblige un responsable du traitement des données à traiter les données collectées selon des procédures qu'il n'a pas choisies lui-même, mais dans certains cas, il devra collaborer avec une tierce partie ou un autre service pour l'analyse des données. Par exemple, un prestataire de service de paie est une tierce partie responsable du traitement des données, parce que c'est lui qui spécifie exactement ce qu'il faut faire avec la paie.

4% La non-conformité au RGPD peut entraîner des conséquences majeures, parmi lesquelles des amendes pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires total de la société (le montant le plus élevé des deux).

Sous-traitant pour le traitement des données : tenir à jour un registre d'activités

Il n'est pas toujours facile de déterminer exactement qui doit être considéré comme un sous-traitant pour le traitement des données à caractère personnel. On retrouve souvent dans ce rôle des cabinets d'avocats, de médecins ou d'experts-comptables. Un sous-traitant pour le traitement des données est tenu de tenir à jour un registre de ses activités de traitement des données. Pour vous repérer, vous pouvez retenir que si une organisation suit des ordres et obéit à des consignes en matière de traitement des données et de confidentialité, alors il s'agit d'un sous-traitant pour le traitement des données. Les organisations qui détruisent ou stockent des informations peuvent entrer dans cette catégorie.

D'une manière générale, les sous-traitants pour le traitement des données ont la possibilité, et cela leur est fortement conseillé, de transférer à des prestataires tiers la responsabilité associée au risque des données. Pour l'activité du sous-traitant pour le traitement des données, la principale conséquence du RGPD réside dans l'énumération de ses devoirs, auxquels est associée une responsabilité légale.

La zone d'ombre

Depuis le RGPD, on constate régulièrement que certaines entreprises ou organisations ne tombent pas clairement dans l'une ou l'autre de ces catégories. Par exemple, les entreprises de messagerie se retrouvent dans cette zone d'ombre entre les deux statuts, parce qu'elles n'analysent pas de données spécifiquement liées à des individus.

Si la responsabilité du traitement des informations personnelles est partagée entre plusieurs organisations, alors on peut sans doute parler de co-responsabilité du traitement des données. Il convient alors d'identifier clairement les responsabilités de chaque partie, les sous-traitants servant alors de principal point de contact.

Les responsables et les sous-traitants pour le traitement des données assument des rôles et responsabilités différents dans le cadre du RGPD. C'est pourquoi il est si important que ces rôles soient bien compris et correctement délimités. Le fait d'identifier précisément les services rendus par chacun à votre organisation contribue à la protection des données personnelles et à la conformité au RGPD.