Le Comité européen de la protection des données (« CEPD ») a adopté, le 7 juillet 2021 des lignes directrices sur les notions de responsable du traitement et de sous-traitant (accessibles ici).
Pour mémoire, le 2 septembre 2020, le CEPD avait adopté des premières lignes directrices sur ces notions, ayant vocation à remplacer l’avis du G29 sur ces notions, adopté en 2010.
Ces lignes directrices ont pour objectif d’accompagner les acteurs dans la qualification de leur rôle au sens du RGPD, ce qui représente un élément central dans leur conformité au RGPD.
Ainsi, les lignes directrices précisent :
- les notions de responsable de traitement, responsable de traitement conjoint, sous-traitant, destinataire et tiers ainsi que leurs critères de qualification, en les illustrant par de nombreux exemples ;
- les obligations attachées à ces qualifications et, en particulier, la formalisation contractuelle de ces obligations.
Les lignes directrices étaient soumises à une consultation publique, ouverte jusqu’au 19 octobre 2020.
A l’issue de l’analyse des résultats de la consultation publique, le CEPD a procédé à la revue du document et a adopté une version définitive.
Parmi les modifications apportées :
- Le CEPD précise qu’un département ou un salarié d’une entreprise, même s’il agit de manière indépendante dans la détermination des moyens et des finalités du traitement, ne sera pas considéré comme responsable de traitement si le traitement est réalisé dans le cadre de l’activité de l’entreprise. C’est cette dernière qui sera qualifiée de responsable de traitement. En revanche, le salarié pourrait être qualifié de responsable de traitement s’il a excédé ses fonctions et traité les données dans son propre intérêt.
- A titre d’illustration de la notion de sous-traitant, le CEPD indique que les prestataires de services cloud qui offrent un service standardisé à leurs clients qui n’ont aucune marge de négociation des termes contractuels ou de personnalisation du service, sont qualifiés de sous-traitant au sens du RGPD.
- Des précisions sont apportées sur le contenu de l’accord entre responsable de traitement et sous-traitant. Le CEPD indique que si l’article 28 du RGPD prévoit une liste de « points obligatoires » devant figurer dans l’accord, les parties disposent tout de même d’une marge de négociation. Dans le cas où l’une des parties seraient en position de faiblesse pour la négociation de cet accord, le CEPD recommande d’avoir recours aux récentes clauses contractuelles types adoptées par la Commission européenne afin de rééquilibrer les négociations.
