Fil d'actualité du Service Informatique et libertés du CNRS

Correspondant Informatique et Libertés

Centre national de la recherche scientifique

Accueil du siteGuides, rapports et documentsLes notions de « responsable du traitement » et de « sous-traitant »

Les notions de « responsable du traitement » et de « sous-traitant »

Page publiée le 3 mars 2015, mise à jour le 20 mars 2015

Les notions de « responsable du traitement » et de « sous-traitant »

Source ec.europa.eu/


Avis 1/2010 du groupe de travail "article 29" sur les notions de « responsable du traitement » et de « sous-traitant » WP169 Adopté le 16 février 2010

Résumé

La notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application de la directive 95/46/CE, car elles déterminent la ou les personnes chargées de faire respecter les règles de protection des données, la manière dont les personnes concernées peuvent exercer leurs droits, le droit national applicable, et le degré d’efficacité des autorités chargées de la protection des données.

Les modes d’organisation différenciés dans les secteurs public et privé, le développement des TIC ainsi que la mondialisation du traitement des données rendent plus complexe le traitement des données à caractère personnel et appellent à préciser ces notions, pour garantir la bonne application et le respect de la directive dans la pratique.

La notion de responsable du traitement est autonome, en ce sens que son interprétation relève principalement de la législation européenne sur la protection des données, et fonctionnelle, car elle vise à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle repose par conséquent sur une analyse factuelle plutôt que formelle.

La définition énoncée dans la directive s’articule en trois volets :
- l’aspect individuel (« la personne physique ou morale, l’autorité publique, le service ou tout autre organisme ») ;
- la possibilité d’une responsabilité pluraliste (« qui seul ou conjointement avec d’autres ») ; et
- les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs (« détermine les finalités et les moyens du traitement de données à caractère personnel »).

L’analyse de ces volets conduit à plusieurs conclusions, résumées au point IV de l’avis.

Le présent avis analyse également la notion de sous-traitant, dont l’existence dépend d’une décision prise par le responsable du traitement, lequel peut choisir de traiter les données au sein de son organisation ou de déléguer tout ou partie des activités de traitement à une organisation extérieure. Pour agir en qualité de sous-traitant, il convient, d’une part, d’être une personne morale distincte du responsable du traitement et, d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier.

Le groupe de travail reconnaît la difficulté d’appliquer les définitions de la directive dans un environnement complexe, qui permet d’envisager maints scénarios faisant intervenir des responsables du traitement et des sous-traitants, seuls ou conjointement avec d’autres, avec différents degrés d’autonomie et de responsabilité.

Dans son analyse, il souligne la nécessité d’attribuer les responsabilités de sorte à garantir comme il se doit le respect des règles de protection des données dans la pratique. Il estime cependant n’avoir aucune raison de penser que la distinction actuelle entre responsables du traitement et sous-traitants n’est plus pertinente ni réaliste dans cette perspective.

Par conséquent, le groupe de travail espère que les explications figurant dans le présent avis, illustrées par des exemples concrets tirés de l’expérience quotidienne des autorités chargées de la protection des données, donneront des indications utiles pour l’interprétation de ces définitions fondamentales de la directive.

Table des matières

I. Introduction

II. Observations générales et principaux enjeux

II.1. Rôle des notions

II.2. Contexte

II.3. Quelques enjeux clés

III. Analyse des définitions

III.1. Définition du responsable du traitement

III.1.a) Élément préliminaire : « détermine »

III.1.b) Troisième élément : « finalités et moyens du traitement »

III.1.c) Premier élément : « personne physique, personne morale ou tout autre organisme »

III.1.d) Deuxième élément : « seul ou conjointement avec d’autres »

III.2. Définition du sous-traitant

III.3. Définition des tiers

IV. Conclusions

Télécharger le document

PDF - 184.1 ko

Document en ligne
http://ec.europa.eu/justice/policie...