Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

RGPD : de la difficulté d’identifier le responsable de traitement

28 sept. 2021 - 10:27,
Tribune - Cédric Cartau
Un des fondamentaux du RGPD concerne l’identification du responsable de traitement (RT), notion consubstantielle à celle de traitement. L’identification du RT et d’éventuels sous-traitants (ST) est indispensable pour la suite de la mise en conformité : appréciation des risques, clauses de sous-traitance, détermination des responsabilités, etc.

La définition d’un RT est courte : selon l’article 4 du RGPD, il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Dans pas mal de cas, l’identification d’un RT est assez simple. Une entreprise publique ou privée est bien évidemment responsable de son traitement RH : qui d’autre qu’elle-même pourrait en déterminer les finalités (payer ses agents et gérer leur carrière) ainsi que les moyens associés (logiciels, équipements, équipe RH, etc.) ?

D’autres cas s’avèrent plus complexes. Une entreprise peut ainsi se retrouver en situation de déterminer une finalité avec d’autres acteurs, cas qui apparaît fréquemment dans le domaine de la recherche – d’où la notion de responsabilité conjointe. Autre contexte : celui d’un groupement d’entreprises qui confie à une structure cofinancée le soin de mettre en place un traitement (la plupart du temps un logiciel commun) pour le bénéfice du groupement. Cette structure (GIE, GCS, GIP, etc.) peut alors se trouver en position de RT par délégation, à moins que tous les membres du groupement ne décident de se positionner en coresponsabilité – aucune des deux solutions n’est simple à mettre en œuvre, et il convient d’y réfléchir en amont sous peine de devoir régler une semaine avant la mise en production une situation réglementaire compliquée sur l’analyse de laquelle personne ne s’accordera.

Le problème de la définition de l’article 4 susnommé concerne à la fois l’usage des termes « finalités » et « moyens ». Selon le groupe de travail « Article 29 » sur la protection des données , il consiste à déterminer le « pourquoi » et le « comment », ce qui est une autre formulation de la MOA et de la MOE. Or, traditionnellement, MOA et MOE sont séparées – dans certains secteurs tels que le BTP, il est même impossible d’assumer les deux rôles sous peine de conflit d’intérêts. De fait, mélanger ces deux notions dans un même article introduit une forme d’ambiguïté : par définition, un ST est autonome sur les moyens techniques qu’il mobilise (jusqu’à un certain stade en tout cas). Pourquoi alors faire figurer le terme « moyens » dans la définition d’un RT ?

Les réponses sont apportées dans les Guidelines de juin 2021 et largement commentées sur plusieurs sites de cabinets spécialisés : en substance, il conviendrait de distinguer les moyens « essentiels » des moyens « opérationnels ». Les premiers se réfèrent à des éléments plutôt high level (tels que le type de données traitées, la durée du traitement, etc.), alors que les seconds font référence au volet opérationnel (logiciel utilisé, personnels agissant, etc.). Au final, il semble que ce qui l’emporte sur la qualification RT/ST soit plutôt la capacité de définir la finalité. Un exemple donné sur le site Europa concerne une sous-traitance auprès d’une société de marketing, qui assure la totalité de la prestation depuis la collecte des données jusqu’à la distribution publicitaire sans que le RT soit impliqué dans le processus, mais qui conserve son statut de ST du fait que c’est bien son client (donneur d’ordre) qui détermine les aspects stratégiques (la finalité) du traitement : dans un tel exemple, la société de marketing agit sur ordre et non pas de son seul fait ; elle est donc bien ST.

Globalement, concernant les critères permettant d’établir avec précision les rôles respectifs de RT/ST, la relation directe avec la personne dont les données sont traitées n’est pas déterminante, comme le montre l’exemple ci-dessus. Le critère principal semble être celui de l’autonomie : un ST n’est en rien autonome puisqu’il traite les données qu’on lui demande de gérer, et le RT peut parfaitement changer de ST pour un traitement donné (alors que l’inverse n’est pas vrai).

Avez-vous apprécié ce contenu ?

A lire également.

Illustration France 2030 : l’appel à projets “Pionniers de l’IA” ouvre de nouvelles perspectives pour les hôpitaux

France 2030 : l’appel à projets “Pionniers de l’IA” ouvre de nouvelles perspectives pour les hôpitaux

29 sept. 2025 - 13:08,

Communiqué

- Ministère de l'Enseignement supérieur et de la Recherche

Le programme France 2030 continue de stimuler l’innovation en France. Le ministère de l’Enseignement supérieur et de la Recherche a récemment lancé l’appel à projets “Pionniers de l’intelligence artificielle”, destiné à soutenir des technologies d’IA de rupture dans des secteurs stratégiques, dont l...

On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM

29 sept. 2025 - 10:43,

Tribune

-
Cédric Cartau

Alors OK, elle est hyperfacile, mais impossible de résister, d’autant que j’ai dû aller chercher quelques vieilles publicités de l’époque (ma préférée ici 1), quelle époque épique tout de même !

Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.

22 sept. 2025 - 22:16,

Tribune

-
Cédric Cartau

Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Illustration Philips SpeechMike Ambient : un nouvel assistant IA portable pour transformer la documentation clinique

Philips SpeechMike Ambient : un nouvel assistant IA portable pour transformer la documentation clinique

22 sept. 2025 - 11:46,

Communiqué

- Speech Processing Solutions

Speech Processing Solutions, leader mondial des solutions professionnelles de dictée sous la marque Philips, dévoile le Philips SpeechMike Ambient, un microphone intelligent de nouvelle génération qui place l’IA ambiante au service des soignants.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.