Publicité en cours de chargement...
RGPD : de la difficulté d’identifier le responsable de traitement
La définition d’un RT est courte : selon l’article 4 du RGPD, il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Dans pas mal de cas, l’identification d’un RT est assez simple. Une entreprise publique ou privée est bien évidemment responsable de son traitement RH : qui d’autre qu’elle-même pourrait en déterminer les finalités (payer ses agents et gérer leur carrière) ainsi que les moyens associés (logiciels, équipements, équipe RH, etc.) ?
D’autres cas s’avèrent plus complexes. Une entreprise peut ainsi se retrouver en situation de déterminer une finalité avec d’autres acteurs, cas qui apparaît fréquemment dans le domaine de la recherche – d’où la notion de responsabilité conjointe. Autre contexte : celui d’un groupement d’entreprises qui confie à une structure cofinancée le soin de mettre en place un traitement (la plupart du temps un logiciel commun) pour le bénéfice du groupement. Cette structure (GIE, GCS, GIP, etc.) peut alors se trouver en position de RT par délégation, à moins que tous les membres du groupement ne décident de se positionner en coresponsabilité – aucune des deux solutions n’est simple à mettre en œuvre, et il convient d’y réfléchir en amont sous peine de devoir régler une semaine avant la mise en production une situation réglementaire compliquée sur l’analyse de laquelle personne ne s’accordera.
Le problème de la définition de l’article 4 susnommé concerne à la fois l’usage des termes « finalités » et « moyens ». Selon le groupe de travail « Article 29 » sur la protection des données , il consiste à déterminer le « pourquoi » et le « comment », ce qui est une autre formulation de la MOA et de la MOE. Or, traditionnellement, MOA et MOE sont séparées – dans certains secteurs tels que le BTP, il est même impossible d’assumer les deux rôles sous peine de conflit d’intérêts. De fait, mélanger ces deux notions dans un même article introduit une forme d’ambiguïté : par définition, un ST est autonome sur les moyens techniques qu’il mobilise (jusqu’à un certain stade en tout cas). Pourquoi alors faire figurer le terme « moyens » dans la définition d’un RT ?
Les réponses sont apportées dans les Guidelines de juin 2021 et largement commentées sur plusieurs sites de cabinets spécialisés : en substance, il conviendrait de distinguer les moyens « essentiels » des moyens « opérationnels ». Les premiers se réfèrent à des éléments plutôt high level (tels que le type de données traitées, la durée du traitement, etc.), alors que les seconds font référence au volet opérationnel (logiciel utilisé, personnels agissant, etc.). Au final, il semble que ce qui l’emporte sur la qualification RT/ST soit plutôt la capacité de définir la finalité. Un exemple donné sur le site Europa concerne une sous-traitance auprès d’une société de marketing, qui assure la totalité de la prestation depuis la collecte des données jusqu’à la distribution publicitaire sans que le RT soit impliqué dans le processus, mais qui conserve son statut de ST du fait que c’est bien son client (donneur d’ordre) qui détermine les aspects stratégiques (la finalité) du traitement : dans un tel exemple, la société de marketing agit sur ordre et non pas de son seul fait ; elle est donc bien ST.
Globalement, concernant les critères permettant d’établir avec précision les rôles respectifs de RT/ST, la relation directe avec la personne dont les données sont traitées n’est pas déterminante, comme le montre l’exemple ci-dessus. Le critère principal semble être celui de l’autonomie : un ST n’est en rien autonome puisqu’il traite les données qu’on lui demande de gérer, et le RT peut parfaitement changer de ST pour un traitement donné (alors que l’inverse n’est pas vrai).
Avez-vous apprécié ce contenu ?
A lire également.

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025
08 avril 2025 - 07:19,
Tribune
-Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital
24 mars 2025 - 20:32,
Actualité
- DSIH,Afin de garantir au plus grand nombre d’établissements de santé l’accès aux mises à jour financées par le Ségur numérique, le calendrier des dispositifs dédiés aux logiciels Dossier Patient Informatisé (DPI) et Plateforme d’Interopérabilité (PFI) a été étendu par un arrêté modificatif, publié ce jou...

Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC
10 mars 2025 - 19:33,
Tribune
-Vous n’avez pas pu le rater : sous couvert de lutte contre le trafic de stupéfiants, la proposition de loi d’Étienne Blanc et de Jérôme Durain, déjà adoptée à l’unanimité au Sénat, sera débattue au mois de mars à l’Assemblée nationale. Baptisée « loi Narcotrafic », elle vise à obliger les services d...