Qu’est-ce qu’un responsable du traitement des données ou un sous-traitant des données?

Réponse

Le responsable du traitement des données détermine les finalités et les moyens du traitement des données à caractère personnel. Ainsi, si votre entreprise/organisation décide «pourquoi» et «comment» les données à caractère personnel devraient être traitées, elle est  le responsable du traitement. Les employés traitant les données à caractère personnel au sein de votre organisation agissent pour exécuter vos missions en tant que responsable du traitement.

Votre entreprise/organisation est  un responsable conjoint du traitement si elle s'associe à une ou plusieurs organisations pour déterminer conjointement «pourquoi» et «comment» les données à caractère personnel devraient être traitées. Les responsables conjoints du traitement doivent conclure un accord déterminant leurs responsabilités respectives pour se conformer aux règles du RGPD. Les principaux aspects de cet accord doivent être communiqués aux personnes dont les données sont traitées.

Le sous-traitant des données traite les données à caractère personnel uniquement pour le compte du responsable du traitement. Le sous-traitant des données est généralement un tiers extérieur à l’entreprise. Toutefois, dans le cas des groupes d’entreprises, une des entreprises peut être le sous-traitant d’une autre.

Les devoirs du sous-traitant envers le responsable du traitement doivent être précisés dans un contrat ou dans un autre acte juridique. Par exemple, le contrat doit préciser ce que deviennent les données à caractère personnel quand le contrat prend fin. Une activité typique des sous-traitants est de proposer des solutions informatiques, dont le stockage dans le nuage. Le sous-traitant des données ne peut recruter un autre sous-traitant ou nommer un sous-traitant conjoint pour effectuer une partie de sa mission que lorsqu’il a reçu une autorisation écrite préalable du responsable du traitement des données.

Dans certaines situations, une entité peut être un responsable du traitement des données, ou un sous-traitant des données, voire les deux.

Exemples

Responsable du traitement et sous-traitant

Une brasserie compte de nombreux employés. Elle signe un contrat avec une entreprise de traitement de la paie pour le versement des salaires. La brasserie informe l’entreprise de traitement de la paie quand les salaires doivent être versés, quand un employé démissionne ou reçoit une augmentation de salaire, et lui fournit toutes les autres informations nécessaires à la fiche de paie et au paiement. L’entreprise de traitement de la paie fournit le système informatique et conserve les données des employés. La brasserie est le responsable du traitement des données et l’entreprise de traitement de la paie est le sous-traitant des données.

Responsables conjoints du traitement

Votre entreprise /organisation propose des services de garde d’enfants par le biais d’une plateforme en ligne. En même temps, votre entreprise/organisation a un contrat avec une autre entreprise qui vous permet de proposer des services à valeur ajoutée. Ces services comprennent la possibilité pour les parents de choisir la personne qui garde leur(s) enfant(s), mais aussi de louer des jeux et des DVD que la personne apportera. Les deux entreprises sont impliquées dans la partie technique du site internet. Dans ce cas, elles ont décidé d’utiliser la plateforme pour servir leurs deux finalités (services de garde d’enfants ainsi que location de DVD et jeux) et elles partageront très souvent les noms de leurs clients. Ainsi, les deux entreprises sont des responsables conjoints du traitement, car non seulement elles acceptent de proposer des «services combinés», mais elles conçoivent et utilisent aussi une plateforme commune.

Références

• Références: Articles 4(7), 4(8), 24, 26, 28, 29; Considérants 74, 79, 81
• Groupe de travail «Article 29». Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant» (WP 169)

Controller and processor

A brewery has many employees. It signs a contract with a payroll company to pay the wages. The brewery tells the payroll company when the wages should be paid, when an employee leaves or has a pay rise, and provides all other details for the salary slip and payment. The payroll company provides the IT system and stores the employees’ data. The brewery is the data controller and the payroll company is the data processor.

Joint controllers

Your company/organisation offers babysitting services via an online platform. At the same time your company/organisation has a contract with another company allowing you to offer value-added services. Those services include the possibility for parents not only to choose the babysitter but also to rent games and DVDs that the babysitter can bring. Both companies are involved in the technical set-up of the website. In that case, the two companies have decided to use the platform for both purposes (babysitting services and DVD/games rental) and will very often share clients’ names. Therefore, the two companies are joint controllers because not only do they agree to offer the possibility of ‘combined services’ but they also design and use a common platform.

• References: Article 4(7) and (8), Articles 24, 26, 28 and 29 and Recitals (74), (79) and (81) of the GDPR
• Article 29 Working Party Opinion 1/2010 on the concepts of 'controller' and 'processor' (WP 169)