2. TERMINOLOGIE DE LA PROTECTION DES DONNÉES
2.3. Les utilisateurs de données à caractère personnel
2.3.1. Responsables du traitement et sous-traitants
La conséquence la plus importante de la fonction de responsable du traitement ou de sous-traitant est l’obligation légale de respecter les obligations respectives pré-vues par le droit en matière de protection des données. Seules les personnes qui peuvent être tenues responsables en vertu du droit applicable peuvent donc exer-cer cette fonction. Dans le secteur privé, il s’agit habituellement d’une personne physique ou morale ; dans le secteur public, d’une autorité. D’autres entités, telles que des organes ou institutions sans personnalité juridique, ne peuvent être res-ponsables du traitement ou agir en tant que sous-traitants que si des dispositions légales particulières le permettent.
Exemple : si le service marketing de la société Sunshine envisage de traiter des données pour une étude de marché, c’est la société Sunshine, et non le service marketing, qui sera le responsable de ce traitement. Le service marketing ne peut pas être le responsable du traitement parce qu’il n’a pas de personnalité juridique distincte.
Dans des groupes de sociétés, la société-mère et chaque société affiliée, dans la mesure où il s’agit de personnes morales distinctes, constituent des responsables du traitement et des sous-traitants distincts. Du fait de ce statut juridiquement distinct, le transfert de données entre les membres d’un groupe de sociétés requiert une base légale particulière. Il n’existe aucun privilège permettant l’échange de données à caractère personnel en tant que tel entre les entités légales distinctes au sein du groupe.
Le rôle de particuliers doit être mentionné dans ce contexte. Dans le droit de l’UE, les particuliers qui traitent des données relatives à des tiers dans le cadre d’une acti-vité purement personnelle ou domestique ne relèvent pas des règles de la directive relative à la protection des données ; ils ne sont pas considérés comme des respon-sables du traitement78.
Toutefois, la jurisprudence a retenu que le droit en matière de protection des don-nées doit néanmoins s’appliquer lorsqu’une personne privée publie des dondon-nées sur des tiers dans le cadre de l’utilisation d’Internet.
78 Directive relative à la protection des données, considérant 12 et art. 3, para. 2, dernier tiret.
Exemple : dans l’affaire Bodil Lindqvist79, la CJUE a retenu que :
« L’opération consistant à faire référence, sur une page internet, à diverses per-sonnes et à les identifier soit par leur nom, soit par d’autres moyens (...) consti-tue un “traitement de données à caractère personnel, automatisé en tout ou en partie”, au sens de l’article 3, paragraphe 1, de la directive 95/4680 ».
Un tel traitement de données ne relève pas d’activités purement personnelles ou domestiques, qui échappent au champ d’application de la directive relative à la protection des données, dans la mesure où cette exception « doit (...) être interprétée comme visant uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers, ce qui n’est manifestement pas le cas du traitement de données à caractère personnel consistant dans leur publi-cation sur Internet de sorte que ces données sont rendues accessibles à un nombre indéfini de personnes81 ».
Responsable du traitement
Dans le droit de l’UE, un responsable du traitement est défini comme une personne qui « seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel82 ». La décision d’un responsable du traitement explique pourquoi et comment des données doivent être traitées.
Dans le droit du CdE, la définition du responsable du traitement (appelé « maître du fichier ») mentionne, en outre, que celui-ci décide des catégories de données à caractère personnel qui doivent être enregistrées83.
Dans sa définition du responsable du traitement, la Convention 108 fait référence à un autre aspect de la responsabilité qu’il convient de relever. Cette définition pose la question de la personne légalement autorisée à traiter certaines données à une certaine fin. Toutefois, en cas de traitements prétendument illicites, lorsqu’il faut identifier le responsable du traitement, c’est la personne ou l’entité, telle qu’une entreprise ou une autorité, qui a décidé que les données devaient être traitées,
79 CJUE, C-101/01, Bodil Lindqvist, 6 novembre 2003.
80 Ibid., para. 27.
81 Ibid., para. 47.
82 Directive relative à la protection des données, art. 2, point d).
83 Convention 108, art. 2, point d).
peu importe qu’elle soit légalement habilitée à le faire ou non84, qui est considérée comme le responsable du traitement. Une demande de suppression doit donc tou-jours être adressée au responsable « de fait » du traitement.
Responsabilité conjointe
La définition du « responsable du traitement » dans la directive relative à la protec-tion des données dispose qu’il peut également y avoir plusieurs entités légalement distinctes qui agissent ensemble ou conjointement avec des tiers comme respon-sables du traitement. Cela signifie qu’elles décident ensemble de traiter des données à des fins communes85. Toutefois, cela n’est légalement possible que dans les cas où une base légale spéciale prévoit le traitement des données de façon conjointe à des fins communes.
Exemple : une base de données tenue conjointement par plusieurs établis-sements de crédit au sujet de leurs clients défaillants est un exemple courant de responsabilité conjointe. Lorsqu’une personne sollicite une ligne de crédit auprès d’une banque qui est l’un des responsables conjoints du traitement, les banques consultent la base de données pour les aider à prendre des décisions avisées sur la solvabilité du demandeur.
La réglementation ne précise pas explicitement si la responsabilité conjointe requiert que la finalité commune soit la même pour chaque responsable du traitement ou s’il suffit que leurs finalités coïncident en partie. Toutefois, il n’existe encore aucune jurisprudence au niveau européen et les conséquences en matière de responsabilité ne sont pas claires. Le groupe de travail Article 29 plaide en faveur d’une interpré-tation plus large de la notion de responsabilité conjointe afin de créer une certaine flexibilité permettant de faire face à la complexité croissante de la réalité actuelle du traitement de données86. Une affaire impliquant la Société de télécommunications interbancaires mondiales (SWIFT) illustre la position du groupe de travail.
Exemple : dans l’affaire « SWIFT », des établissements bancaires européens avaient employé SWIFT, initialement comme sous-traitant, pour procéder à
84 Voir également groupe de travail Article 29 (2010), Avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant », WP 169, Bruxelles, 16 février 2010, p. 15.
85 Directive relative à la protection des données, art. 2, point d).
86 Groupe de travail Article 29 (2010), Avis 1/2010 sur les notions de « responsable du traitement » et de
« sous-traitant », WP 169, Bruxelles, 16 février 2010, p. 19.
des transferts de données dans le cadre de transactions bancaires. SWIFT avait divulgué ces données, conservées dans un centre informatique aux États-Unis, au département du Trésor des États-Unis, sans en avoir reçu l’instruction expli-cite des établissements bancaires européens qui l’employaient. Examinant la légalité de cette situation, le groupe de travail Article 29 était parvenu à la conclusion que les établissements bancaires européens employant SWIFT, ainsi que la société SWIFT elle-même, devaient être considérés comme des respon-sables conjoints du traitement, et devaient à ce titre répondre auprès des clients européens de la divulgation de leurs données aux autorités américaines87. Lors de la décision de divulguer les données, SWIFT avait assumé (illégalement) le rôle de responsable du traitement ; les établissements bancaires n’avaient manifestement pas honoré leur obligation de superviser leur sous-traitant et, par conséquent, ne pouvaient être totalement exonérés de leur responsabilité.
Cette situation emporte responsabilité conjointe.
Sous-traitant
Un sous-traitant est défini dans le droit de l’UE comme une personne qui traite des données à caractère personnel pour le compte du responsable du traitement88. Les activités confiées à un sous-traitant peuvent être limitées à une tâche ou un contexte très spécifique ou peuvent être très générales et complètes.
Dans le droit du CdE, la notion de sous-traitant a la même signification que dans le droit de l’UE.
Les sous-traitants, en plus de traiter des données pour des tiers, seront aussi des responsables du traitement de plein droit à l’égard du traitement qu’ils réalisent à leurs propres fins, par exemple la gestion de leurs propres salariés, ventes et comptabilité.
Exemples : la société Everready est spécialisée dans le traitement de données pour la gestion de données de ressources humaines d’autres sociétés. À ce titre, Everready est un sous-traitant.
87 Groupe de travail Article 29 (2006), Avis 10/2006 sur le traitement des données à caractère personnel par la Société de télécommunications interbancaires mondiales (SWIFT), WP 128, Bruxelles, 22 novembre 2006.
88 Directive relative à la protection des données, art. 2, point e).
Quand Everready traite les données de ses propres salariés, elle est le res-ponsable du traitement de ces données aux fins de remplir ses obligations d’employeur.
Relation entre responsable du traitement et sous-traitant
Comme nous l’avons vu, le responsable du traitement est défini comme celui qui détermine la finalité et les moyens du traitement.
Exemple : le directeur de la société Sunshine décide que la société Moonlight, spécialisée dans l’analyse de marché, doit réaliser une analyse de marché des données clients de Sunshine. Par conséquent, même si la détermination des moyens du traitement est déléguée à Moonlight, la société Sunshine reste le responsable du traitement et Moonlight n’est qu’un sous-traitant puisque, aux termes du contrat, Moonlight ne peut utiliser les données clients de Sunshine qu’aux fins déterminées par Sunshine.
Si le pouvoir de déterminer les moyens du traitement est délégué à un sous-traitant, le responsable du traitement doit néanmoins être en mesure d’influer sur les déci-sions du sous-traitant concernant les moyens du traitement. La responsabilité géné-rale reste celle du responsable du traitement, qui doit superviser les sous-traitants afin de s’assurer que leurs décisions sont conformes au droit en matière de protec-tion des données. Un contrat interdisant au responsable du traitement d’influer sur les décisions du sous-traitant serait donc probablement interprété comme entraî-nant une responsabilité conjointe, les deux parties partageant les obligations légales d’un responsable du traitement.
En outre, si un sous-traitant ne respectait pas les limites de l’utilisation des données imposées par le responsable du traitement, le sous-traitant deviendrait un respon-sable du traitement, au moins dans la mesure du non-respect des instructions du responsable du traitement. Cela ferait probablement du sous-traitant un responsable du traitement agissant illégalement. À son tour, le responsable initial du traitement serait tenu d’expliquer comment le sous-traitant a pu ne pas honorer son mandat.
En effet, le groupe de travail Article 29 tend à présumer une responsabilité conjointe dans de telles situations, puisque c’est la solution qui assure la meilleure protection
des intérêts des personnes concernées89. Une conséquence importante du contrôle commun devrait être la responsabilité conjointe et solidaire pour tous les dom-mages, ce qui offrirait aux personnes concernées un plus large éventail de voies de recours.
Des problèmes peuvent également survenir quant à la répartition des obligations lorsqu’un responsable du traitement est une petite entreprise et le sous-traitant une grande entreprise ayant le pouvoir de dicter les conditions de ses services. Dans de telles circonstances, le groupe de travail Article 29 maintient toutefois que la norme de responsabilité ne devrait pas être abaissée au motif du déséquilibre économique, et que la compréhension de la notion de responsable du traitement devrait être maintenue90.
Dans un souci de clarté et de transparence, les détails des rapports entre un res-ponsable du traitement et un sous-traitant devraient être consignés dans un contrat écrit91. L’absence de contrat est une infraction à l’obligation du responsable du traite-ment de fournir une docutraite-mentation écrite sur les obligations mutuelles, et pourrait donner lieu à des sanctions92.
Certains sous-traitants pourraient vouloir déléguer certaines tâches à d’autres sous-traitants. La loi le permet et cette délégation dépendra, en détail, des clauses contractuelles convenues entre le responsable du traitement et le sous-traitant, y compris de la question de savoir si l’autorisation du responsable du traitement est nécessaire dans chaque cas, ou si une simple information suffit.
Dans le droit du CdE, l’interprétation des notions de responsable du traitement et de sous-traitant, comme expliqué ci-dessus, est pleinement applicable, ainsi qu’il ressort des recommandations qui ont été élaborées conformément à la Convention 10893.
89 Groupe de travail Article 29 (2010), Avis 1/2010 sur les notions de « responsable du traitement » et de
« soustraitant », WP 169, Bruxelles, 16 février 2010, p. 25 ; et groupe de travail Article 29 (2006), Avis 10/2006 sur le traitement des données à caractère personnel par la Société de télécommunications interbancaires mondiales (SWIFT), WP 128, Bruxelles, 22 novembre 2006.
90 Groupe de travail Article 29 (2010), Avis 1/2010 sur les notions de « responsable du traitement » et de
« soustraitant », WP 169, Bruxelles, 16 février 2010, p. 26.
91 Directive relative à la protection des données, art. 17, paras. 3 et 4.
92 Groupe de travail Article 29 (2010), Avis 1/2010 sur les notions de « responsable du traitement » et de
« soustraitant », WP 169, Bruxelles, 16 février 2010, p. 27.
93 Voir, par exemple, recommandation profilage, art. 1.