Toute personne physique ou organisme doit s’interroger sur son rôle et ses obligations avant de collecter et de traiter des données personnelles. Responsable du traitement, seul ou conjointement avec d’autres organismes ou sous-traitant, les acteurs doivent déterminer leur qualification au cas par cas. La qualification ne dépend pas d’un choix contractuel mais des faits : qui décide de quoi ? qui exécute quoi ?, etc.

Cette qualification détermine concrètement les obligations de chacun. Bien identifier son rôle, c’est mieux comprendre ce que l’on doit faire pour respecter le RGPD, mais aussi ce dont on est légalement responsable. En cas de doute, il est important de documenter la réflexion qui a été menée pour aboutir à cette qualification et d’être en mesure de la justifier.

Déterminer le rôle des acteurs impliqués

Le Comité européen de la protection des données (CEPD) a dégagé certains critères permettant de déterminer si un organisme intervient en qualité de responsable, de responsable conjoint ou de sous-traitant dans ses lignes directrices du 7 juillet 2021.

L’organisme est responsable du traitement si…

Le responsable du traitement est la personne physique ou morale qui détermine à la fois les objectifs et les moyens du traitement, c’est-à-dire qui décide du « pourquoi » et du « comment » de l’utilisation de données personnelles.

Lorsqu’on parle des moyens d’un traitement de données, il faut distinguer les « moyens essentiels », décidés par le responsable du traitement, et les « moyens non essentiels », qui peuvent être laissés au sous-traitant :

• Les moyens essentiels concernent les décisions clés : quelles données personnelles sont collectées et utilisées, pendant combien de temps, quelles sont les destinataires, etc.
• Les moyens non essentiels, eux, relèvent plutôt de la mise en œuvre technique, comme le choix d’un logiciel.

Même si un acteur choisit un « traitement sur étagère », défini à l’avance, il peut être considéré comme responsable du traitement dès lors qu’il effectue ce choix au regard de ses besoins et des caractéristiques du dispositif, dont il aura connaissance, par exemple dans un processus de commande publique. Dans certains cas, le prestataire ne sera pas juste un sous-traitant mais pourra être vu comme co-responsable du traitement, par exemple s’il est établi que son rôle dépasse la seule prestation de service.

À noter : il n’est pas nécessaire que le responsable du traitement ait réellement accès aux données pour être considéré comme un responsable du traitement.

Exemples de responsables de traitement :

• Un assureur est responsable des traitements liés à l’exécution d’un contrat individuelle d’assurance ou d’assistance.
  
• Un employeur est considéré comme responsable du traitement dès lors qu’il décide de la création et de la mise en œuvre du traitement constitué pour répondre à son propre besoin de recrutement en recueillant, classant, conservant et, à terme, en supprimant les données des candidats et en déterminant les modalités de ce traitement (par exemple : nature des données collectées sur les candidats – CV, lettres de motivation, certificats de travail -, durée de conservation des données, définition des personnes autorisées à accéder aux informations sur les candidats).
  
• Un développeur d’applications est responsable du traitement lorsqu’il croise des données issues de différentes applications dans le but de proposer de nouveaux services.

L’organisme est co-responsable du traitement si…

Lorsque deux responsables du traitement, ou plus, déterminent ensemble les finalités et les moyens du traitement, ils sont responsables conjoints du traitement.

Cette responsabilité conjointe peut se traduire par :

• une décision prise en commun ;
• ou des décisions séparées mais complémentaires, qui aboutissent à un traitement commun.

Ce qui compte, c’est que le traitement n’aurait pas lieu sans la participation active de chacun : le traitement par chacune des parties est indissociable de celui de l’autre, c’est-à-dire étroitement lié.

Exemples de co-responsables de traitement :

• Des centres hospitaliers universitaires développant un système d’IA pour l’analyse de données d’imagerie médicale choisissent de recourir à un même protocole d’apprentissage fédéré. Ce dernier leur permet d’exploiter des données pour lesquelles ils sont initialement des responsables de traitement distincts, afin de ne pas s’en rendre mutuellement destinataires. Ils déterminent ensemble l’objectif (entraîner un système d’IA d’imagerie médicale) et les moyens de ce traitement (à travers le choix du protocole et la détermination des données qu’ils exploitent) : ils sont donc responsables conjoints de ce traitement d’apprentissage.
  
• Plusieurs collectivités territoriales décident de développer ensemble une plateforme commune et locale d’ouverture de leurs données, destinées à favoriser, par la mise à disposition d’un point d’accès unique aux informations publiques qu’elles détiennent, la réutilisation de celles-ci et la création de nouvelles offres de services sur le territoire. Elles sont, dans ce cas, co-responsables de traitement.

L’organisme est sous-traitant si…

Le sous-traitant est une personne ou un organisme qui traite les données personnelles pour le compte du responsable du traitement. Il doit toujours respecter les instructions données par le responsable du traitement. Parfois, il peut choisir les moyens techniques qui lui semblent les plus adaptés, tant que cela respecte les objectifs fixés par le responsable du traitement.

En revanche, si le sous-traitant décide lui-même des objectifs et des moyens du traitement, sans respecter les consignes du responsable, il dépasse son rôle. Dans ce cas, il est considéré comme responsable du traitement et peut être sanctionné.

Sous certaines conditions, le sous-traitant peut réutiliser les données qui lui sont confiées pour des finalités qui lui sont propres.

• Pour aller plus loin : Sous-traitants : la réutilisation de données confiées par un responsable de traitement

Exemples de sous-traitants :

• Le développeur d’une application mobile doit être qualifié de sous-traitant lorsqu’il réalise des opérations sur des données hébergées sur le serveur de l’application à des fins de maintenance ou d’infogérance de l’application.
  
• Une société organisant un salon professionnel peut être considéré comme un sous-traitant lorsqu’elle lance une campagne d’e-mailing de remerciements à destination des candidats ayant déposé leur CV directement auprès d’une entreprise présente à ce salon, à la demande de cette dernière et à partir du fichier que l’entreprise à constitué à partir des CV directement déposés par les candidats sur son stand. L’entreprise peut, quant à elle, être considérée comme responsable de traitement du fichier recensant tous les candidats ayant déposé leur CV.