Responsable de traitement ou sous-traitant, quelle qualification ?
Le responsable de traitement détermine les finalités et les moyens du traitement. Le sous-traitant est la personne qui traite des données à caractère personnel pour le compte de ce dernier.
Le responsable de traitement
Le responsable de traitement est la personne physique ou morale qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
Lorsque deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont responsables conjoints. Ils doivent alors définir de manière transparente leurs obligations respectives visant à assurer le respect du RGPD, notamment en ce qui concerne leurs obligations respectives quant à la communication des informations.
Ceci est une modification du texte
Deux entités qui déterminent ensemble un traitement de données personnelles, chacune pour son propre compte, seront considérées comme co-responsables de traitement. Tel est le cas, selon la Cour de justice de l'Union européenne, de l'administrateur d'une fan page Facebook, par exemple.
Le sous-traitant
Le sous-traitant est la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. Sont notamment concernés :
- les prestataires de services informatiques (hébergement, maintenance...)
- les intégrateurs de logiciels ;
- les sociétés de sécurité informatique ;
- les entreprises de service du numérique ou anciennement sociétés de services et d'ingénierie en informatique (SSII) qui ont accès aux données ;
- les agences de marketing ou de communication qui traitent des données personnelles pour le compte d'un client ;
A noter qu'un sous-traitant est responsable de traitement pour les traitements qu'il réalise pour son propre compte (gestion du personnel, des fournisseurs et prestataires, des clients...). La qualification de responsable de traitement ou de sous-traitant doit toujours être déterminée au regard des traitements réalisés et de l'implication des acteurs.
Il est recommandé de s'appuyer sur les documents CNIL, notamment sur le « guide du sous-traitant », et de reprendre les clauses contractuelles fournies dans le RGPD ou par la CNIL.
Cette contribution a été fournie par Alexandra Basset, Responsable des affaires juridiques, AACC