RGPD – L’épineuse qualification des acteurs d’un traitement de données

Responsable, sous-traitant ou co-responsables ?

Quatre ans après l'entrée en application du Règlement Général de Protection des Données[1] (« RGPD »), 26% des entreprises sont encore en discussion au sujet de sa mise en œuvre et seulement la moitié ce celles qui l'ont intégré estime avoir un niveau de conformité avancé[2].

Ces chiffres peuvent s'expliquer en partie en raison de la technicité du RGPD et de ses zones d'ombres.

Autorités de contrôle ou de tutelle, collectivités publiques, partenaires commerciaux, places de marché, fournisseurs, hébergeurs, professions de conseils, etc. Bien qu'il n'existe en principe que trois catégories, la qualification de certains partenaires des traitements de données de l'entreprise, n'est pas toujours une mince affaire.

- Que choisir : responsables de traitement, sous-traitants ou responsables conjoints ?

Les personnes morales qui effectuent ou participent à un traitement de données personnelles sont qualifiées, selon leur niveau d'implication, de responsable de traitement, de sous-traitant ou de responsables conjoints.

Nous écarterons rapidement la question des « Tiers Autorisés », auxquels la CNIL a dédié un guide pratique[3]. Il s'agit d'entités, généralement publiques ou dotées d'une mission de service public, qui sont, de par la loi, autorisées à accéder à certaines données personnelles : le Fisc, les administrations de la justice, de police et gendarmerie, les autorités publiques de contrôle, les auxiliaires de justice (huissiers, avocats…), etc. Ces Tiers Autorisés, lorsqu'ils agissent dans le cadre de leur mission légale, n'entrent donc pas dans le débat de la qualification dans un rapport de prestation de services.

La CNIL et son homologue européen, le CEPD  (« Comité Européen de Protection des Données »), ont publié différents guides et lignes directrices[4] prévoyant les critères de qualification.

Ainsi, le responsable de traitement est celui qui détermine le « pourquoi » (les finalités) et le « comment » (les moyens) du traitement dont il a l'initiative. Il a un pouvoir décisionnel et de contrôle sur les données. Dans la plupart des cas, dans un rapport entre un client et son fournisseur (accédant à des données du client), c'est le client qui est responsable de traitement.

Le sous-traitant (ou fournisseur) est un exécutant : entité nécessairement distincte du responsable de traitement, il effectue des traitements pour le compte de ce dernier, dans le cadre d'une prestation (ainsi, un prestataire informatique). Il tient notamment un registre des traitements sous-traités par ses clients.

Cependant, dans certaines situations, il n'est pas aisé de déterminer lequel des deux partenaires est responsable de traitement, et lequel est sous-traitant. Chacun des acteurs dispose notamment souvent d'une certaine autonomie, qui rend difficile cette qualification.

Des critères ont donc été dégagés afin de mieux les identifier.

• le niveau d'instructions données au partenaire ;  
• le degré de contrôle du traitement effectué par le partenaire ;
• la valeur ajoutée et l'expertise du partenaire ; et
• le fait que le partenaire soit connu ou non des personnes dont les données sont traitées.

Comme le démontrent ces critères, l'appréciation des rôles est assez subjective et très casuistique. La qualification de certains acteurs du traitement ne saurait donc être binaire.

C'est pourquoi, dans certaines hypothèses et pour certains traitements, les deux partenaires pourront être responsables conjoints, c'est-à-dire qu'ils détermineront conjointement les moyens et finalités du traitement, à deux niveaux d'intervention parfois différents, à charge pour eux de répartir, par contrat, leurs rôles et responsabilités. La CNIL rappelle cependant que si l'intervention d'une entité se limite à la définition de moyens non essentiels au traitement, elle ne sera pas qualifiée de responsable conjoint[5].

Dans cette dernière hypothèse, chacune des entités est responsable du traitement, en fonction de son propre rôle dans l'opération.

La CJUE (« Cour de Justice de l'Union Européenne ») a rendu un arrêt intéressant[6] en la matière,  qualifiant l'éditeur d'un site internet de responsable conjoint avec Facebook, alors même qu'il n'avait pas accès aux données collectées en vue d'une exploitation quelconque.

Dans cette affaire, il s'agissait d'un exploitant de site, qui avait choisi d'installer un bouton de partage Facebook (le fameux bouton « J'aime ») sur son site afin d'optimiser sa publicité sur ce réseau social. L'installation de ce plugiciel Facebook entrainait la transmission systématique des données à caractère personnel des visiteurs du site à Facebook, et ce indépendamment du fait qu'ils soient, ou non, membres de ce réseau social ou qu'ils aient cliqué, ou non, sur le bouton de partage.

La CJUE a jugé qu'en insérant un tel module social, l'éditeur avait eu une influence déterminante sur la collecte et la transmission des données à Facebook, qui n'auraient pas eu lieu en l'absence d'une telle insertion, et devait par conséquent être qualifié de responsable conjoint avec Facebook.

Cette décision, qui peut étonner par sa sévérité, a le mérite de dessiner les contours de la notion de responsable conjoint, pour laquelle la Cour rappelle qu'elle est limitée à l'opération ou à l'ensemble d'opérations de traitement dont un co-responsable détermine effectivement, conjointement, les finalités et les moyens. En l'espèce la collecte et la communication par transmission des données.

Enfin, lorsque les entités concernées ne sont pas dans un rapport de sous-traitance ou de projet commun en coresponsabilité, mais doivent néanmoins échanger certaines données personnelles qu'elles traitent dans le cadre de leur activité, notamment au titre d'une obligation légale ou contractuelle (ex : une université et le Crous, une société mère et sa filiale…), chacune est responsable autonome de son propre traitement, l'une étant simplement « destinataire » des données collectées par l'autre. Nous n'aborderons pas davantage cette catégorie des « Destinataires », définie par le RGPD, chaque entité devant simplement mettre son traitement propre en conformité. N'oublions pas, cependant que, dans le cadre de l'information due aux personnes concernées, l'entreprise qui collecte les données en premier doit informer celles-ci que le traitement mis en place requiert la communication de tout ou partie de leurs données à une autre structure destinataire, en en explicitant notamment les finalités et la base légale applicable.

Malgré tous ces critères et une répartition, a priori, assez claire des qualifications envisageables, des difficultés subsistent. Exemple très fréquent, les éditeurs de logiciels et autres fournisseurs de services informatiques. Leur qualification, tantôt sous-traitants, tantôt responsables conjoints, est délicate et illustre les zones d'ombre du RGPD.

- L'exemple des éditeurs de logiciel

Il est généralement admis que, lorsqu'une entreprise (ou autre personne morale) fait appel à un prestataire de services (et si ce dernier peut accéder à certaines des données personnelles de ladite entreprise), la première est le responsable du traitement et le second le sous-traitant, qui se contente d'exécuter, pour le compte du premier[7], tout ou partie des traitements mis en place par son client.

Dans cette hypothèse, et hors cas d'anonymisation des données, l'éditeur d'un logiciel qui hébergerait ou utiliserait les données de salariés ou de clients personnes physiques (logiciel de paie, CRM, vidéosurveillance…), est présumé avoir la qualité de sous-traitant. C'est notamment le cas pour un logiciel métier, outil personnalisé qui doit faire l'objet d'une phase d'intégration au sein du système d'information de l'entreprise cliente et d'adaptation à des besoins spécifiques.

Toutefois, la plupart des éditeurs proposent des logiciels standards « sur l'étagère » ou « clés en mains », proposés à l'ensemble de leurs clients sans adaptation spécifique, autre qu'un paramétrage. Ces solutions sont accessibles en téléchargement sur les serveurs de l'entreprise, ou à distance, par connexion à un site ou une plateforme Internet. C'est principalement le cas des solutions PaaS (plateform as a service) ou SaaS (software as a service). Les éditeurs de ces logiciels standard sont aussi souvent des groupes internationaux, proposant des conditions de licence non négociables. On citera par exemple à la suite Microsoft Office 365, ou de nombreux logiciels de comptabilité ou de CRM.

Le client se voit alors proposer un contrat cadre, incluant plusieurs services type, selon les cas (licence, mises à jour, hotline, mais aussi hébergement de données, etc.), laissant rarement place à une négociation individuelle. Il s'agit alors d'un contrat dit 'd'adhésion', le client (responsable de traitement) acceptant les conditions (hors financières) imposées par son fournisseur-éditeur.

Le client ne décide donc pas seul de l'environnement de ce logiciel tiers, dans lequel il va pourtant stocker ou faire transiter des données personnelles, cryptées ou non. Il n'est pas davantage en mesure de donner des instructions à son fournisseur ou d'exiger un niveau de conformité personnalisé. Le rapport de force, dans la négociation contractuelle, ne joue d'ailleurs pas souvent en faveur du client.

Dans ces hypothèses, la qualification de sous-traitant pourrait alors être écartée en ce qui concerne l'éditeur, alors même que, parfois, ses propres conditions générales de vente le qualifient de sous-traitant.

Pour autant, l'éditeur n'en deviendrait pas seul responsable du traitement du client, puisque c'est bien ce dernier qui sélectionne tel logiciel pour les finalités du traitement qu'il a mis en place et, partant, les moyens que lui proposent cet outil[8].

Il s'agira donc, pour les parties concernées, d'examiner leur rapport respectif au traitement pour déterminer si le fournisseur reste sous-traitant ou s'il peut être qualifié de responsable conjoint, avec son client.

Rappelons que cette troisième qualification doit être évaluée au cas par cas et requiert de la prudence, dans la mesure où les partenaires ont rarement anticipé cette coresponsabilité et où la jurisprudence, rare en la matière, est encore assez naissante.

Dans l'affaire évoquée plus haut[9], la CJUE a retenu la qualification de responsable conjoint pour l'éditeur de site internet et Facebook, alors même qu'il s'agissait de l'insertion d'un plugiciel standard, mis à disposition par Facebook, dont l'éditeur du site s'est borné à accepter les conditions générales.

En raison du déséquilibre contractuel manifeste existant entre ces deux sociétés, et dès lors que l'outil de collecte n'a pas été conçu conjointement par l'éditeur et Facebook, il était permis de douter du degré réel d'implication et de décision de l'éditeur dans la détermination des moyens et des finalités de ce bouton-traitement.

La Cour justifiait cependant cette qualification de responsabilité conjointe par le fait que « l'objectif de l'article 2, sous d), de la directive 95/46 [(aujourd'hui remplacée par le RGPD)] étant d'assurer, par une définition large de la notion de « responsable », une protection efficace et complète des personnes concernées, l'existence d'une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d'entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d'espèce ».

En l'espèce, le moyen du traitement est le plug-in que l'éditeur a décidé d'insérer sur son site, et l'une des finalités de ce traitement est l'optimisation, au profit de cet éditeur, de la publicité sur ses produits en les rendant plus visibles sur le réseau social Facebook lorsqu'un visiteur de son site Internet clique sur ledit bouton. Dans ces conditions, il y aurait donc eu détermination conjointe de ces deux éléments par l'éditeur et Facebook.

A l'inverse, la CNIL, dont on ne relève qu'une seule décision de sanction récente à ce sujet, a retenu la qualification de sous-traitant concernant la société Dedalus Biologie, éditrice d'un logiciel d'analyses médicales standardisé à destination des laboratoires[10].

Dans cette affaire, la CNIL a rappelé le principe, à savoir que « les notions de responsable de traitement et de sous-traitant doivent faire l'objet d'une appréciation concrète prenant en compte l'ensemble des éléments permettant d'attribuer l'une ou l'autre de ces qualités à une entité ».

Analysant les faits mais arbitrant de manière un peu lapidaire, l'Autorité relève « qu'il ressort des éléments communiqués que la société DEDALUS BIOLOGIE agit en qualité de sous-traitant des traitements mis en œuvre pour le compte de ses clients, les laboratoires, qui sont responsables de traitement, dans la mesure où elle met à disposition des laboratoires des outils informatiques leur permettant de mettre en œuvre leurs traitements et qu'elle agit, de manière générale, uniquement sur la base de leurs instructions ».

Bien qu'un débat plus fouillé eût été possible, s'agissant d'un logiciel standard, on perçoit ici que la caractérisation d'une prestation exécutée suivant des « instructions » données par un client a abouti à une qualification classique. Preuve du caractère très casuistique de chaque affaire.

Enfin, il reste nécessaire de bien distinguer les traitements que les parties effectuent conjointement, ou en sous-traitance, de ceux qu'elles effectuent seules, pour leur propre compte, et pour lesquels leur qualification ne sera plus la même.

• Quel est l'intérêt de procéder à la bonne qualification ?

Quelle que soit la qualification finalement retenue, les acteurs du traitement sont solidairement responsables, vis-à-vis des personnes dont les données personnelles sont traitées, de la conformité des traitements en cause au RGPD.

La victime d'une violation de ses données, qui trouverait son origine dans une faille du traitement en question, pourra donc en principe se tourner alternativement vers l'une ou l'autre des parties pour obtenir réparation, même si, en pratique, elle se tournera plus logiquement vers l'entité avec laquelle elle est en contact direct, généralement le responsable de traitement.

Tout l'enjeu de la qualification réside donc dans le contrat que les deux entités concluent entre elles, qui doit nécessairement être écrit et prévoir la manière dont les responsabilités de chacune sont partagées. Comme la CNIL l'a rappelé dans la décision Dedalus susmentionnée, « l'obligation résultant de l'article 28, paragraphe 3, du RGPD[11] incombe tant au responsable de traitement qu'au sous-traitant est sans incidence sur l'existence d'une responsabilité propre du sous-traitant ».

A défaut d'une répartition claire et négociée des responsabilités, il sera plus difficile d'établir à quelle partie le dommage est imputable et, par conséquent, laquelle doit voir sa responsabilité exonérée, entièrement ou partiellement.

Le risque est alors que la CNIL ou la Justice se saisisse de cet arbitrage et prononce des sanctions, faute pour les partenaires d'avoir anticipé le sujet. Or la responsabilité en la matière est lourde. En sus du montant de dommages et intérêt qui pourraient être alloués aux victimes d'une faille dans le traitement des données, les sanctions administratives encourues peuvent aller jusqu'à 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial.

Les nombreux sujets de conformité dont nous sommes saisis montrent que, malheureusement, ces partenaires de traitement mettent rarement en place les accords nécessaires, ou le font a minima, sans vraiment examiner la situation in concreto, ce qui est parfois pire.

La conformité au RGPD, lorsqu'un traitement implique un partage de données entre plusieurs acteurs, n'est donc pas à prendre à la légère et les entreprises doivent être assistées dans la rédaction de leurs accords et négociations relatifs aux traitements de données personnelles.

Vous avez des questions ? Contactez-nous !

Rödl vous accompagne dans toutes vos problématiques relatives à la mise en conformité aux normes françaises et européennes, et notamment le RGPD.

Frederic BOURGUET                                                                

Avocat, responsable du département IP/IT/Data  

Margaux SCHAEFFER

Avocate

[1] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Baromètre RGPD 2022, établi par Data Legal Drive en partenariat avec à partir des témoignages de 500 professionnels de la données, dont 70 % sont issus d'entreprises privées et 30 % d'entreprises publiques.

[3] Guide pratique « tiers autorisés » de la CNIL

[4] Lignes directrices sur les concepts de responsable de traitement et de sous-traitant du CEPD ; Guide du sous-traitant de la CNIL

[5] CNIL, form. restr., délib. n° SAN-2018-001, 8 janv. 2018

[6] CJUE 29 juill. 2019, aff. C-40/17, Fashion ID GmbH & Co. KG 

[7] Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud Computing de la CNIL (2012)

[8]Jurisclasseur Communication, Fasc. 961 CLOUD COMPUTING – Bourgeois Matthieu, Marion Moine (Lexis 360)

[9] Ibid, 5.

[10] Délibération SAN-2022-009 du 15 avril 2022

[11] Cet article prévoit notamment que « Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. »