Le 7 novembre 2019, le Contrôleur Européen de la Protection des Données (CEPD) a publié des lignes directrices destinées aux institutions, organes et organismes de l’Union européenne sur les notions de responsable du traitement, de sous-traitant et de responsables conjoints.
Le CEPD a rendu publiques des lignes directrices adressées aux institutions, organes et organismes de l’Union européennes. Ces derniers sont, en effet, soumis, s’agissant des traitements de données à caractère personnel qu’ils réalisent, à une règlementation particulière, à savoir le Règlement 2018/1725.
Ces lignes directrices se concentrent sur les obligations et responsabilités des institutions, organes et organismes de l’UE en tant que responsable du traitement, sous-traitants et responsables conjoints.
Si les exemples figurant dans ces lignes directrices contiennent des spécificités propres aux institutions, organes et organismes de l’Union européenne, le document liste également une série de critères permettant de déterminer si l’entité étudiée est responsable du traitement ou sous-traitant.
Ainsi, si la majorité des affirmations suivantes est vraie, l’entité étudiée est sans doute un responsable du traitement :
- l’entité a décidé de traiter les données ou a conduit une autre entité à les traiter ;
- l’entité a décidé quel but ou quel résultat les opérations de traitement devaient atteindre ;
- l’entité a décidé des éléments essentiels des opérations de traitement (quelles données sont collectées, quelles sont les personnes concernées, quelle est la durée de conservation, qui a accès aux données, qui sont les destinataires) ;
- les personnes concernées par les opérations de traitement sont les salariés de l’entité ;
- l’entité utilise son expertise professionnelle pour prendre des décisions dans le cadre du traitement des données à caractère personnel ;
- l’entité est en contact direct avec les personnes concernées ;
- l’entité a une autonomie et une indépendance dans la façon de traiter les données à caractère personnel ;
- l’entité a nommé un sous-traitant pour mener les opérations de traitement en son nom.
De la même façon, si la majorité des affirmations suivantes est vraie, l’entité est sans doute un sous-traitant:
- l’entité suit les instructions données par un tiers s’agissant du traitement des données à caractère personnel ;
- l’entité ne décide pas de collecter des données à caractère personnel de personnes concernées ;
- l’entité ne décide pas de la base légale pour la collecte et l’utilisation des données à caractère personnel ;
- l’entité ne décide pas du ou des but(s) pour le(s)quel(s) les données sont traitées ;
- l’entité ne prend pas la décision de communiquer les données et, le cas échéant, ne décide pas à qui ;
- l’entité ne décide pas de la durée de conservation ;
- l’entité prend des décisions sur la façon de traiter les données, mais implémente ces décisions sous un contrat ou un autre acte juridique avec le responsable du traitement ;
- l’entité n’a pas d’intérêt propre au résultat du traitement de données.
Les définitions de responsable du traitement, sous-traitant et responsables conjoints au sens du Règlement 2018/1725 étant identiques à celles du RGPD, ces critères pourraient être transposés à des entités de droit privé.
Lien vers les lignes directrices : https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf