Qui est qui dans le RGPD : responsable versus sous-traitant

Afin de protéger les droits des personnes concernées, il est essentiel de désigner un responsable du traitement et un sous-traitant car ces personnes ou équipes sont en charge des activités de traitement aux différentes étapes de la gestion des données. Compte tenu de la complexité des structures des affaires d'aujourd'hui, il est facile de confondre les obligations juridiques de ces deux rôles. À première vue, les fonctions du responsable et du sous-traitant semblent similaires. Cependant, ils ont des caractéristiques et des obligations légales différentes et chacun peut être assisté par un logiciel de conformité efficace. Dans ce billet, nous présenterons brièvement les deux concepts et décrirons les obligations de chacun.

Qui est le responsable du traitement selon le RGPD ?

Comme son nom l’indique, le responsable du traitement est la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données.

Qui est le sous-traitant selon le RGPD ?

Le sous-traitant est la personne physique ou morale qui traite les données personnelles au nom du responsable du traitement. Les sous-traitants ne peuvent traiter les données personnelles que sur la base des instructions du responsable. Par conséquent, une personne ne peut pas remplir les deux rôles pour la même activité de traitement: vous pouvez être responsable ou sous-traitant.

Cependant, s'il s'agit d'activités de traitement différentes, il est possible que les deux rôles soient concentrés chez la même personne. Par exemple, pour l’administration des salaires de ses employés, votre organisation agira en tant que responsable, mais pour les services logiciels offerts à d'autres organisations, votre organisation agira probablement en tant que sous-traitant.

rgpd

 

Quelles sont les différences entre un responsable et un sous-traitant ?

En premier lieu, le responsable du traitement est le responsable principal de se conformer aux demandes de la personne concernée. En outre, il exécute ou coordonne l'exécution des droits de la personne concernée, tels que le droit d'accès et le droit à l'effacement (et bien d'autres conformément aux articles 15 à 22).

Deuxièmement, le responsable détermine les finalités du traitement et il est le principal décideur sur des données personnelles. En plus, il assume les obligations liées à la finalité légitime du traitement et garantit que le traitement ait un objectif concret et bien défini et une base juridique appropriée.

Troisièmement, le responsable doit engager les sous-traitants qui prennent les mesures techniques et organisationnelles pour que le traitement réponde aux exigences du RGPD et protège ainsi les droits de la personne concernée. Cela se fait par contrat (un contrat de traitement) ou un instrument juridique similaire. Les exigences à inclure dans le contrat sont explicitement mentionnées à l'article 28.

Il est important de noter que, conformément à l’article 28 (4), le sous-traitant qui engage d’autres sous-traitants (appelés sous-sous-traitants) doit satisfaire aux mêmes exigences. Les obligations applicables au sous-traitant principal s'appliquent également aux sous-sous-traitants. En d'autres termes, les sous-sous-traitants doivent également mettre en œuvre des mesures techniques et organisationnelles afin que le traitement soit effectué conformément au RGPD (y compris l'utilisation d'un logiciel de conformité). Toutefois, le principal sous-traitant est celui qui aura la pleine responsabilité pour les sous-sous-traitants qui ont été embauchés.

D'autre part, il existe également des différences entre les responsables et les sous-traitants en ce qui concerne les obligations administratives du RGPD :

  • L'article 30 exige un inventaire des activités de traitement, mais les informations requises varient entre les responsables et les sous-traitants : les registres tenus par les sous-traitants ont moins de détails.
  • Les articles 33 et 34 traitent de la violation de la sécurité des données personnelles. Le responsable du traitement doit notifier l'autorité de contrôle ou la personne concernée, mais le sous-traitant doit informer sans tarder le responsable du traitement.
  • Les articles 35 et 36 décrivent les analyses d'impact relatives à la protection des données et les consultations préalables. Celles-ci sont étroitement liées à la détermination des moyens et à la finalité de l’activité de traitement et, par conséquent, il s’agit d’obligations qui incombent au responsable du traitement.

Comment les responsables et les sous-traitants s'intègrent-ils dans le système RGPD?

Le RGPD exige un lien contractuel fort entre les sous-traitants et les sous-sous-traitants. Bien que, de toute évidence, le responsable du traitement joue un rôle de premier plan, le RGPD assigne des obligations juridiques aux sous-traitants et aux sous-sous-traitants pour créer un     « système étanche » évitant les fuites de responsabilité.

Le système RGPD fonctionne comme une « clause perpétuelle » : le responsable attribue des obligations au sous-traitant, qui à son tour, doit attribuer les mêmes obligations à tout sous-sous-traitant, etc., à l'infini. Ainsi, la chaîne responsable-sous-traitant ne peut échapper à la responsabilité.

En conclusion, il est important de comprendre ces deux concepts et leurs différences pour identifier les obligations légales de votre organisation et servir de guide pour les activités futures de traitement des données personnelles.

 

Laurens Mommers et Elif Kaya

PrivacyPerfect