8944
4.1.1. Maîtriser les obligations des responsables de traitement de données personnelles et des sous-traitants


1. Les principales notions


1.1. La notion de responsable de traitement


Selon le 7) de l’article 4 du
RGPD
, le responsable de traitement se définit comme suit :
Df.« La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre. »

1.2. La notion de responsabilité conjointe


L’article 26 du RGPD précise :
Tx.«  Responsables conjoints du traitement.
  1. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d'accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l'Union ou par le droit de l'État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l'accord.
  2. L'accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l'accord sont mises à la disposition de la personne concernée.
  3. Indépendamment des termes de l'accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard de et contre chacun des responsables du traitement. »

Ex.Exemple jurisprudentiel.

CJUE, 5 juin 2018, C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH :

« 41. Au demeurant, il importe de souligner que les pages fan hébergées sur Facebook peuvent être visitées également par des personnes qui ne sont pas utilisateurs de Facebook et qui ne disposent donc pas d'un compte utilisateur sur ce réseau social. Dans ce cas, la responsabilité de l'administrateur de la page fan à l'égard du traitement des données à caractère personnel de ces personnes apparaît encore plus importante, car la simple consultation de la page fan par des visiteurs déclenche automatiquement le traitement de leurs données à caractère personnel.

42. Dans ces conditions, la reconnaissance d'une responsabilité conjointe de l'exploitant du réseau social et de l'administrateur d'une page fan hébergée sur ce réseau en relation avec le traitement des données personnelles des visiteurs de cette page fan contribue à assurer une protection plus complète des droits dont disposent les personnes qui visitent une page fan, conformément aux exigences de la directive 95/46.

43. Cela étant, il y a lieu de préciser, ainsi que l'a relevé M. l'avocat général aux points 75 et 76 de ses conclusions, que l'existence d'une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d'entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d'espèce.

44. Au regard des considérations qui précèdent, il y a lieu de répondre aux première et deuxième questions que l'article 2, sous d), de la directive 95/46 doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l'administrateur d'une page fan hébergée sur un réseau social. »

1.3. La notion de sous-traitant


Selon le 8) de l’article 4 du RGPD, le sous-traitant se définit comme suit :
Df.« La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement

 Le troisième acteur du traitement des données est le destinataire, défini comme la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. »

En savoir plus


Vous pouvez consulter l’avis 1/2010 du G29 sur les notions de responsable de traitement et de sous-traitant

Cet avis comporte des exemples concrets, par exemple celui-ci (p. 14 du document) :

« La société ABC passe des contrats avec différentes organisations pour réaliser ses campagnes de publipostage et gérer la paie. Elle donne des instructions claires (quels documents publicitaires envoyer et à qui, et qui payer, quels montants, à quelle date etc.). Même si les organisations disposent d'une certaine latitude (y compris pour les logiciels à utiliser), leurs tâches sont clairement et précisément définies. En outre, si la société de publipostage peut proposer ses conseils (en recommandant, par exemple, de ne pas faire d'envois au mois d'août), elle est clairement tenue d'agir selon les instructions d'ABC. De plus, une seule entité, à savoir la société ABC, a le droit d'utiliser les données qui sont traitées. Toutes les autres entités doivent s'appuyer sur la base juridique de la société ABC si leur habilitation juridique à traiter les données est mise en cause. Dans cet exemple, il apparaît donc clairement que la société ABC est le responsable du traitement et que chacune des structures distinctes peut être considérée comme un sous-traitant en ce qui concerne le traitement spécifique des données réalisé pour son compte. »


A noter :
  • Le responsable de traitement doit aussi s’assurer de la conformité de ses sous-traitants.
    Tx.Art. 28 du RGPD sur les contrats RDT – sous traitants :
    « 1. Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.(...)

    3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant : (...)     »
    Le responsable de traitement choisit donc des sous-traitants qui peuvent garantir la sécurité des données qu’il leur confiera, et documente par écrit toute instruction concernant le traitement des données par le sous-traitant.

  • Le sous-traitant est soumis à des obligations spécifiques à l’égard du responsable de traitement.
    • Obligation de transparence et de traçabilité : il met à disposition de son client toutes les informations nécessaires pour démontrer le respect de ses obligations de conformité.
    • Respect des instructions du responsable de traitement : le sous-traitant traite les données au nom et pour le compte de son client ; il doit donc se conformer aux instructions prévues contractuellement.
    • Obligation de suivi et de conseil : par exemple, il informe son client si ce dernier ne respecte pas les règles applicables en matière de protection des données.
    • En cas de violation de DACP, il doit prévenir sans délai le responsable de traitement.

2. Les obligations de conformité


Même si cela peut sembler évident, le responsable de traitement doit assurer une conformité totale au traitement, ce qui passe notamment par le respect des droits des personnes vu en 3.4.2 : le traitement doit avoir une finalité déterminée, être transparent et proportionné par rapport à cette finalité, les droits des personnes (accès, rectification, effacement, portabilité, etc.) assurés, les données doivent être sécurisées, etc.

Rq.Pour rappel : le traitement doit nécessairement reposer sur l’une des 6 bases légales prévues (consentement, intérêt légitime, exécution du contrat…), et disposer d’une finalité spécifique, déterminée et légitime.

2.1. Le droit des personnes et les obligations des responsables de traitement


Les personnes dont les données sont traitées disposent de droits, dont l’exercice doit être assuré par le responsable de traitement.

  • Le responsable du traitement doit les informer de ces droits.
  • Il doit leur expliquer comment exercer leurs droits, et donner accès à des modalités pratiques, par exemple en leur fournissant un formulaire ou une adresse à contacter.
  • Il doit mettre en place un parcours interne efficace pour le traitement des demandes de droit d’accès, afin d’être en mesure de traiter la demande dans les délais impartis.
  • Le responsable de traitement a un mois pour donner une réponse à la personne qui demande à exercer ses droits.
  • Il doit prévoir des modalités de réponse aux personnes concernées qui soient compréhensibles, accessibles, formulées en des termes clairs et simples.
  • Il doit aussi prévenir les destinataires à qui il a transmis les données, afin qu’elles puissent être effacées, rectifiées, ou les traitements limités à la demande de la personne concernée.
  • La personne qui veut exercer ses droits doit en faire la demande et justifier de son identité. Elle peut donner mandat.
  • Ce sont les parents ou les tuteurs qui peuvent faire ces demandes pour les mineurs et incapables majeurs.

2.2. Assurer la sécurité des données


Pour faire face aux risques de violation de données, les responsables de traitement doivent mettre en œuvre des mesures pour en diminuer l’impact. Il peut à ce titre être mis en place des mesures techniques (chiffrement, pseudonymisation, sauvegardes, séparation des bases de données) et organisationnelles (sensibilisation des employés, code de conduite, procédures).

La sécurité des données passe aussi par deux obligations du RGPD :
Privacy by design

Privacy by default

Dès le début développement d'un nouveau projet, il faut prévoir la protection de la vie privées et des DACP.Par défaut, les configurations doivent être les plus restrictives possible lorsqu'une action implique des DACP, et automatiquement les plus protectrices de la vie privée.
Il est plus efficace et sûr de mettre en place à la conception d'un traitement des mesures organisationnelles et techniques de protection des données, avant que les traitement ne soient commencés.Par exemple sur un réseau social, par défaut les paramètres ne doivent pas ouvrir le profil au public, mais limiter l'accès au maximum afin que l'utilisateur décide lui-même de l'accessibilité à son profil.


2.2.1. La privacy by design


Le responsable de traitement doit assurer lui-même la conformité de son traitement. Les responsables de traitement doivent donc maîtriser le cycle de vie des données, pouvoir les retrouver et les transmettre sur simple demande à la personne concernée, ainsi qu’assurer la sécurité de ces DACP.

Cela signifie maîtriser :
  • Quelles données sont collectées ? ;
  • Leur localisation ;
  • Leur mode de stockage, de transfert, d’effacement ;
  • Les traitements qui sont faits ;
  • Les sous-traitants impliqués.


Cela passe par trois exigences du RGPD, qui ont remplacé les mécanismes antérieurs d’autorisation ou de déclaration préalable à la CNIL :
  • La nomination – obligatoire dans certains cas - d’un délégué à la protection des données.
  • La tenue – souvent obligatoire – d’un registre des traitements.
  • La réalisation – obligatoire dans certains cas – d’une étude d’impact.


A. La nomination d’un délégué à la protection des données personnelles


Logo DPO. Source : https://www.cnil.fr/


La désignation d’un délégué à la protection des données (également appelé DPO pour data protection officer) est obligatoire tant pour le responsable de traitement que pour le sous-traitant dans trois cas (article 37 du RGPD) :
  • lorsque le traitement est effectué par une autorité publique ou un organisme public ;
  • lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques, convictions religieuses…) ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ;
  • lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées.
Le DPO peut être externe ou interne à l’entreprise, mais ses fonctions au sein de l’entreprise ne doivent pas entrer en conflit avec ses missions de DPO.
Ex.Par exemple, il ne peut pas être un dirigeant de l’entreprise, ou un responsable des ressources humaines, car son intérêt à collecter des données dans ces situations n’est pas compatible avec la neutralité attendue du DPO.

Il est l’interlocuteur privilégié de la CNIL, et doit lui communiquer une violation des données dans les 72 heures après en avoir pris connaissance (sauf si elle ne représente pas de risque pour les droits et les libertés des personnes concernées).

B. Le registre des traitements


Pour montrer qu’il maîtrise les traitement de données qu’il effectue, le responsable de traitement est dans l’obligation de tenir un registre des traitements (article 30 du RGPD).

Ce registre est obligatoire pour toute organisation de plus de 250 employés.

En dessous de 250 employés, il est obligatoire si le traitement de DACP n'est pas occasionnel, ou s'il porte notamment sur les catégories particulières de données (données sensibles) ou relatives à des condamnations pénales et à des infractions.

Dans ce registre, le responsable de traitement fait l’inventaire des traitements réalisés par l’organisme et ses sous-traitants, avec :
  • Leur base légale (consentement, intérêt légitime, exécution du contrat…) ;
  • La catégorie de données ;
  • Les personnes concernées par le traitement ;
  • Les destinataires des données ;
  • Les finalités ;
  • Les dispositifs de sécurité ;
  • Les transferts de données en dehors de l’UE et sous-traitants.

C. La réalisation d’un PIA (privacy impact assessment)


Egalement appelé en français EIVP (étude d’impact sur la vie privée), ou plus fréquemment AIPD (analyse d’impact relative à la protection des données).

L’article 35 du RGPD prévoit la conduite d’une analyse d’impact relative à la protection des données, lorsqu‘un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

1. Que signifie cette notion de risque élevé ?

En synthèse, doivent généralement faire l'objet d'une analyse d'impact, les traitements qui remplissent au moins deux des neuf critères suivants  :
  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d'une nouvelle technologie) ;
  • exclusion du bénéfice d'un droit/contrat.
Ex.Exemple : un EHPAD met en place un contrôle du déplacement de ses patients, ce traitement remplit le critère de la surveillance systématique et celui des données concernant des personnes vulnérables, donc la réalisation d'une AIPD sera nécessaire. Ce sera aussi probablement, selon les technologies déployées, un usage innovant, voire une collecte de données sensibles (données de santé).

En savoir plus


Vous pouvez consulter les lignes directrices relatives au PIA.
2. Comment effectuer un PIA ?

Un PIA doit être réalisé avant la mise en œuvre du traitement et contient à minima :
  • une description systématique des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ;
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • une évaluation des risques sur les droits et libertés des personnes concernées : juridiques et techniques ;
  • les mesures envisagées pour faire face aux risques.
Pour ce faire, le responsable de traitement est libre de choisir sa méthode, mais il est possible de conseiller l'utilisation de l'outil PIA CNIL.

2.2.2. La notification des failles de sécurité


Dans le cas d'une violation de DACP, si elle est susceptible d'engendrer un risque pour les droit et libertés des personnes physiques, le responsable de traitement doit notifier la CNIL dans les 72 heures au plus tard après en avoir pris connaissance (article 33 du RGPD).

En cas de risque élevé pour les droits et libertés de la personne concernée, cette dernière doit aussi être informée dans les meilleurs délais de la violation de données (article 34 du RGPD).

Dans tous les cas, les évènements susceptibles de porter atteinte aux DACP doivent faire l'objet d'une documentation en interne.

3. Les sanctions


Sy.En synthèse :
Le responsable de traitement est, comme son nom l'indique, juridiquement responsable de la licéité du traitement.
C'est une responsabilité très lourde, administrative et (beaucoup plus rarement) pénale.

Depuis l'entrée en vigueur du RGPD, le sous-traitant est lui aussi directement responsable du respect des principes de protection des données.

Ces deux acteurs sont soumis à des obligations de conformité concernant le respect des principes fondamentaux (licéité, transparence, accountability, conservation, minimisation, respect des droits des personnes, sécurité), et parfois assujettis à une obligation de nommer un délégué à la protection des données, ou de réaliser une étude d'impact préalablement à la mise en place de traitements présentant des risques.

Le non-respect de ces obligations peut aboutir à une sanction parfois sévère.


Les principales sanctions prévues par le RGPD :

3.1. Un droit à réparation


Tx.Article 82 du RGPD : « Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n'est tenu pour responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu'il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci (...) »

Ce droit à réparation peut s'articuler comme suit entre responsable de traitement et sous-traitant :
Tx.Article 82 du RGPD : « (...) Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d'un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.

Lorsqu'un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2. »

C'est donc une solution très ferme, qui facilite la réparation.

A l'issue de contrôles ou de plaintes, en cas de violation des dispositions du RGPD ou de la loi, de la part des responsables de traitement ou des sous-traitants, la CNIL peut prononcer des sanctions, qui peuvent être rendues publiques.

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la CNIL peut :
  • Prononcer un rappel à l'ordre ;
  • Enjoindre de mettre le traitement en conformité, y compris sous astreinte, c'est a dire en imposant le paiement d'une somme par jour de retard ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;
  • Prononcer une amende administrative, dont le montant est versé au Trésor public.

3.2. Des sanctions administratives (le plus connu)


Tx.Article 83 du RGPD :

«  4. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu :

a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43 ;

b) les obligations incombant à l'organisme de certification en vertu des articles 42 et 43 ;

c) les obligations incombant à l'organisme chargé du suivi des codes de conduite en vertu de l'article 41, paragraphe 4 ; (...)

5. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu :

a) les principes de base d'un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9 ;

b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22 ;

c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49 ;

d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX ;

e) le non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, ou le fait de ne pas accorder l'accès prévu, en violation de l'article 58, paragraphe 1. »

En résumé, selon la gravité du manquement, la sanction administrative peut atteindre :
  • soit jusqu'à 10 000 000 euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu ;
  • soit 20 000 000 euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Ex.Voici quelques exemples de motifs de sanctions :
2 % du CA annuel mondial ou 10 millions d'€

4 % du CA annuel mondial ou 20 millions d'€

 Manquement relatif au consentement des mineurs Non respect des principes de base de la protections des DACP
 Absence de registre des traitements Non respect des droits des personnes
 Manquement aux principes de privacy by design et by default Non respect de la règlementation concernant les transferts hors UE
 Non-respect de l'obligation de notification d'une violation de données dans les 72 h Non-respect d'une limitation de traitement ordonnée par la CNIL

3.3. Le RGPD renvoi également aux législations nationales pour compléter l’arsenal répressif


S’agissant de la France, la
LIL
prévoit ainsi d’autres sanctions (articles 20 et s.), moins médiatisées mais qui sont aussi dissuasives, comme :
  • le prononcé d’un avertissement public ;
  • l'interruption provisoire de la mise en œuvre du traitement ;
  • l’injonction de mettre en conformité le traitement, éventuellement sous astreinte (qui peut atteindre 100 000 euros par jour).

Ex.Quelques exemples d’amendes administratives :


Pour consulter la décision, cliquez ici.



Pour consulter la décision, cliquez ici.


Dans d’autres pays, des sanctions sévères sont aussi prononcées.
Ex.

Pour consulter la décision, cliquez ici.



A noter : l’existence d’une sanction pénale en droit français.
La CNIL peut dénoncer au Procureur de la République les infractions pénales à la loi informatique et libertés.

L’article 226-16 du Code pénal dispose ainsi que :
Tx.« Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. »
Fermer