I. Comprendre les définitions du RGPD
1. Le responsable du traitement : définition et rôle
Le Responsable de Traitement (RT) est défini à l’article 4(7) du RGPD comme étant « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
Il s’agit de celui qui décide du « pourquoi » les données personnelles sont traitées et du « comment » elles sont traitées. L’identification de cet acteur est primordiale, en particulier pour fixer ses obligations et responsabilités propres.
Dans ses lignes directrices, l’EDPB a analysé de manière approfondie cette définition1, en détaillant les éléments suivants :
- Il est « la personne physique ou morale, l’autorité publique, le service ou autre organisme » :
Cela désigne toute entité, quelle que soit sa forme juridique, pouvant endosser la responsabilité du traitement des données personnelles. Cela comprend aussi bien une entreprise, administration publique, qu’une ou plusieurs personnes. En pratique, bien que les personnes puissent être impliquées dans la gestion d’un traitement, la responsabilité incombe généralement à l’entité dans son ensemble (organisation, société, administration). - Il « détermine » :
Ce point se réfère à l’entité qui exerce un pouvoir décisionnel sur le traitement des données personnelles. Cela sous-entend que cette entité prend les décisions essentielles sur comment les données sont traitées et pourquoi elles le sont. Cette capacité à « déterminer » les finalités et les moyens du traitement peut découler de deux sources principales : i) Dans certains cas, la loi confère à une entité la responsabilité de déterminer le traitement des données. Par exemple, un organisme public peut être désigné par la loi pour collecter et traiter des données dans le cadre de ses missions de service public (ex : hôpitaux). ii) En l’absence de désignation légale, la responsabilité est attribuée au regard des circonstances factuelles et pratiques. Ainsi, une entité sera responsable si elle exerce une influence sur les finalités et les moyens du traitement. Par exemple, une entreprise qui décide pourquoi et comment les données de ses clients seront utilisées, comme dans le cas d’un service marketing, est considérée comme responsable de traitement. - « seul ou conjointement avec d’autres » :
Ces termes renvoient à la possibilité pour plusieurs entités de déterminer les finalités et les moyens du traitement de données ensemble. Ainsi, la responsabilité d’un traitement peut être partagée entre plusieurs acteurs, chacun ayant un rôle à jouer dans la prise de décision. On les nomme « responsables conjoints du traitement ». Ils sont définis à l’article 26 du RGPD et partagent la responsabilité juridique du traitement de données personnelles. L’article 26(1), leur impose d’ailleurs de définir de manière transparente leurs obligations respectives.
La CJUE a rappelé et clarifié dans l’arrêt du 7 mars 2024 (IAB Europe) que même si une organisation n’a pas accès directement aux données personnelles, elle peut néanmoins être qualifiée de responsable de traitement dès lors qu’elle influe sur le traitement à des fins qui lui sont propres et participe donc à la détermination des finalités et moyens du traitement. - « les finalités et les moyens » :
Ces aspects permettent de décrire pourquoi les données sont collectées (finalités : objectifs du traitement) et comment elles sont traitées (moyens essentiels : méthodes et ressources utilisées pour réaliser ce traitement). Le RT ne peut se limiter à déterminer uniquement la finalité ; il doit aussi établir les moyens essentiels pour garantir la légalité et la proportionnalité du traitement. Les moyens essentiels incluent des décisions majeures, telles que le type de données collectées, leur durée de conservation ou les catégories de personnes concernées. En revanche, les moyens qualifiés de « non essentiels » peuvent être laissés à la discrétion du sous-traitant, comme le choix des outils ou des mesures de sécurité spécifiques. - « du traitement » :
Ce terme évoque les opérations effectuées sur des données à caractère personnel (ex : collecte, utilisation, transfert, suppression, conservation, modification, extraction, croisement, etc.). Un RT peut être impliqué dans une ou plusieurs opérations et son contrôle peut s’étendre à l’ensemble du traitement ou se limiter à une étape spécifique. Même sans accéder aux données, une entité peut être responsable si elle détermine les finalités et les moyens du traitement.
Les principales obligations du responsable de traitement sont :
Conformément à l’article 5(2) et au considérant 74 du RGPD, le RT est soumis à un principe de « responsabilité » qui l’oblige à assurer continuellement le respect des principes et obligations du RGPD. Il doit être en mesure de démontrer cette conformité, y compris lors de contrôle par les autorités compétentes (ex : CNIL).
2. Le sous-traitant : définition et rôle
Le « Sous-Traitant » (ST), quant à lui, est défini par l’article 4(8) du RGPD comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
Contrairement au responsable de traitement, le sous-traitant est une entité distincte qui n’a pas de pouvoir de détermination sur les finalités et les moyens du traitement. Son but est d’effectuer un ou plusieurs opérations de traitement pour le compte et sur instructions du RT.
Par exemple, une organisation de santé (RT) conserve des dossiers médicaux contenant des données sensibles de patients. Elle sous-traite la maintenance et la gestion de son système informatique à une entreprise privée de services informatiques (ST) pour assurer la sécurité des données (ex : prestation d’infogérance).
- Une entité au sein d’un groupe d’entreprise peut être ST d’une autre entité du groupe qui est RT, car les deux entités sont distinctes. En revanche, un service d’une entité ne peut pas être ST d’un autre service au sein de la même entité2.
- Le personnel, les employés, les intérimaires et autres personnes physiques agissant sous l’autorité directe d’un RT ne peuvent être considérés comme ST du RT.3
L’article 28 RGPD4 impose que les relations entre le RT et le ST soient régies par un contrat écrit, qui définit les instructions que doit suivre le ST, les obligations qu’il doit respecter, l’objet du traitement, la nature et la finalité du traitement, ainsi que le type de données personnelles et de personnes concernées, etc.
Exemples d’obligations du ST :
| Instructions du RT |
| + Il traite les données du RT pour le seul compte de ce dernier et selon ses instructions/conditions contractuelles |
| Droits des personnes concernées |
| + Il transmet au RT les demandes d’exercice de droit (ex : accès, rectification, effacement) des personnes dont les données personnelles sont concernées par le contrat. + Il prête assistance dans la mesure du possible au RT pour l’accomplissement des tâches relatives à l’exercice des droit, conformément aux instructions du RT. |
| Non-respect du RGPD par le RT |
| + Il informe le RT qu’en cas d’instruction contraire au RGPD, qu’il se réserve le droit de refuser cette instruction. Il documente à l’écrit ce refus. |
| Sécurité |
| + Il met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles. Il tient compte de l’état des connaissances, des coûts et de la nature, portée et contexte des objectifs de traitement, ainsi que des risques pour les droits et libertés des personnes.+ Il met en place des contrôles et audits internes réguliers pour vérifier les dispositifs et procédures de protection. |
| Violation de données |
| + Il prend toute mesure de correction pour faire cesser la violation identifiée et informe le RT dans les meilleurs délais+ Il informe par écrit le RT sous 24h, la nature de la violation, les catégories et nombre de personnes concernées, le nom et coordonnées du DPO ou autre point de contact, les conséquences probables de la violation, les mesures prises ou proposées pour remédier à la violation. |
| Sous-traitance ultérieure |
| + Si le ST dispose d’une autorisation générale pour recruter des ST ultérieurs sur la base d’une liste convenue, le ST doit informer le RT par écrit, au moins 15 jours avant tout changement dans la liste des sous-traitants ultérieurs, afin que ce dernier puisse exercer son droit d’opposition. + Le ST ne peut sous-traiter ses opérations de traitement qu’avec l’autorisation écrite préalable du RT, en fournissant toutes les informations nécessaires pour permettre une décision éclairée.+ Le ST doit conclure un contrat avec le ST ultérieur imposant les mêmes obligations de protection des données (auxquelles le ST est soumis avec le RT) et veiller à leur respect. |
II. Enjeux de conformité RGPD et cas pratiques
1. La distinction entre RT et ST : une clé de la conformité RGPD
La distinction entre RT et ST est fondamentale puisqu’elle permet de définir les responsabilités et obligations de chaque partie prenante, impactant directement la gestion des données, leur sécurité et les droits des personnes.
La responsabilité peut être partagée en cas de non-conformité, les deux parties peuvent être tenues responsables, ce qui les exposent à des sanctions. Ainsi, une mauvaise qualification des rôles peut entraîner des litiges et des manquements aux obligations RGPD, notamment en matière de sécurité.
En trois étapes il convient donc :
- D’analyser rigoureusement les rôles en les examinant au cas par cas, afin d’identifier clairement les rôles de RT et ST, ainsi que leurs responsabilités propres ;
- Formaliser les relations dans un second temps avec la rédaction d’un contrat ou l’insertion d’une clause « RGPD » dans un contrat préexistant. Le but étant de fixer explicitement les rôles, obligations et responsabilités de chaque partie prenante ;
- Enfin, effectuer des contrôles/audits/inspections réguliers tout au long de la relation contractuelle pour s’assurer du respect effectif des obligations par le ST.
2. Violation de données : le cas de DEDALUS BIOLOGIE et sa responsabilité en tant que sous-traitant
Le 23 février 20215, la société DEDALUS BIOLOGIE a été victime d’une violation de données personnelles affectant près de 500 000 personnes. Les données compromises comprenaient des données sensibles (noms, prénoms, numéros de sécurité sociale, noms des médecins prescripteurs, dates des examens, ainsi que des données médicales : VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par les patients et des données génétiques).
Le 24 février 2021, la CNIL a lancé plusieurs contrôles, notamment auprès de DEDALUS BIOLOGIE, qui commercialise des solutions logicielles destinées aux laboratoires d’analyses médicales en tant que sous-traitant.
A la suite de ses contrôles, la CNIL en a conclu que DEDALUS BIOLOGIE avait enfreint plusieurs obligations prévues par le RGPD, notamment :
- Lors de la migration d’un logiciel vers un nouvel outil demandé par deux laboratoires. DEDALUS BIOLOGIE, en sa qualité de ST, n’avait pas respecté les instructions de ces derniers et a traité des données au-delà de ce qui était nécessaire ;
- La société n’avait pas mis en place des mesures suffisantes pour assurer la sécurité des données personnelles. Aucune procédure spécifique pour les migrations de données n’était en place, les données stockées sur le serveur n’étaient pas chiffrées, il n’y avait pas d’effacement automatique des données après leur migration vers le second logiciel, aucune authentification n’était exigée pour accéder à la zone publique du serveur et plusieurs comptes utilisateurs étaient partagés entre plusieurs employés sur la zone privée du serveur. De plus, il n’existait aucune procédure pour la gestion et la remontée des alertes de sécurité.
- Les conditions générales de vente proposées par la société ne contenaient pas les mentions requises par l’article 28(3) du RGPD.
3. Les points clés à retenir :
- La sous-traitance est élément clé de la conformité au RGPD et son encadrement est indispensable. Il est primordial d’inclure une clause RGPD détaillée et complète, tout en veillant à ce qu’elle soit réellement appliquée. En effet, en pratique, un contrat ou une clause RGPD seuls ne suffisent pas à assurer une conformité optimale. Ils devront être accompagné d’actions proactives d’inspections et audits réalisés par le RT auprès de son ST pour vérifier le respect des obligations contractuelles, y compris en matière de sécurité des données. A ce propos, la CNIL exige un contrôle « satisfaisant et régulier » de ces mesures.
- Avant l’entrée en vigueur du RGPD, l’article 35 de la Loi Informatique et Libertés (LIL)6 laissait peu de responsabilité au ST dans la détermination des mesures de sécurité des données. En effet, il devait « présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité ». Ainsi, la responsabilité de veiller au respect des mesures de sécurité revenait principalement au RT. Or les articles 28 et 32 imposent désormais que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Conclusion : Anticiper les risques, garantir la conformité
La qualification correcte des rôles entre responsable de traitement et sous-traitant constitue une pierre angulaire de la conformité au RGPD. Au-delà des textes, c’est dans la mise en œuvre concrète – rédaction des contrats, documentation, contrôles, audits – que se joue l’effectivité de la protection des données personnelles. Chaque acteur, public ou privé, doit pouvoir démontrer qu’il respecte les principes essentiels du RGPD, y compris dans le cadre de relations contractuelles complexes ou transfrontalières.
Chez Aumans Avocats, nous accompagnons les entreprises, associations et institutions publiques dans l’analyse, la sécurisation et l’encadrement juridique de leurs traitements de données. Nous intervenons à vos côtés pour rédiger ou revoir vos contrats de sous-traitance (article 28 RGPD), clarifier vos responsabilités ou vous assister en cas de contrôle de la CNIL ou de litige relatif à la protection des données.
Contactez-nous pour bénéficier d’un accompagnement personnalisé en matière de gouvernance RGPD.
Sources:
- https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_fr.pdf – EDPB, Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD ↩︎
- Ibid, p29, pt 77, « Au sein d’un groupe d’entreprises, l’une d’entre elles peut être le sous-traitant d’une autre agissant en qualité de responsable du traitement, étant donné que les deux entreprises sont des entités distinctes. En revanche, un service d’une entreprise ne peut pas être le sous-traitant d’un autre service au sein de la même entité. » ↩︎
- Ibid, p29, pt 78, « Les employés et les autres personnes qui agissent sous l’autorité directe du responsable du traitement, tels que le personnel intérimaire, ne sont pas considérés comme des sous-traitants puisqu’ils traitent des données à caractère personnel dans le cadre de l’entité du responsable du traitement » ↩︎
- https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr – Règlement général sur la protection des données à caractère personnelle (RGPD), Article 28 ↩︎
- https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045614368 – CNIL, Délibération SAN-2022-009 du 15 avril 2022 (DEDALUS BIOLOGIE) ↩︎
- https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/ – Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (LIL) ↩︎
- https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32014R0536 – Règlement 536/2014 du 16 avril 2014 relatif aux essais cliniques de médicaments à usage humain
- https://www.sante.fr/les-intervenants-dans-un-essai-clinique-une-multiplicite-dacteurs-au-service-de-la-recherche – Ministère de la santé, Les intervenants dans un essai clinique. Une multiplicité d’acteurs au service de la recherche
- https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_opinionctrq_a_final_en.pdf – EDPB, Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR) (art. 70.1.b)), “The EDPB is of the opinion that the processing operations expressly provided by the CTR and by relevant national provisions, and which are related to reliability and safety purposes, can be considered as falling within “legal obligation(s) to which the controller is subject” under Article 6(1)(c) of the GDPR”
- Ibid, “Processing operations purely related to research activities in the context of a clinical trial cannot, however, be derived from a legal obligation. Depending on the whole circumstances of the trial and the concrete data processing activity, research related activities may either fall under the data subject’s explicit consent (Article 6(1)(a) in conjunction with Article 9(2)(a)), or a task carried out in the public interest (Article 6(1)(e)), or the legitimate interests of the controller (Article 6(1)(f)) in conjunction with Article 9(2)(i) or (j) of the GDPR.”
- https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000037187498 – Délibération n° 2018-155 du 3 mai 2018 portant homologation de MR-004
- https://www.cnil.fr/fr/declaration/methodologie-de-reference-04-recherches-nimpliquant-pas-la-personne-humaine-etudes-et-evaluations-dans-le-domaine-de-la-sante – MR-004
