- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Institution administrative
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Loi et traité
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Société et association
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Toute la matière
- > Bien - Propriété
- > Citoyenneté - Nationalité - Étranger
- > Contrat et obligations - Responsabilité
- > Convention - Traité - Acte
- > Droit économique
- > Droit public
- > Environnement - Agriculture
- > Famille - Personne
- > Pénal
- > Principes - Généralités
- > Procédure
- > Propriété intellectuelle
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Propriété intellectuelle
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Droit international et communautaire
- > Etrangers
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- Avocat
Article
Notions de responsable du traitement et de sous-traitant au sens du RGPD : éclairages du CEPD
Notions de responsable du traitement et de sous-traitant au sens du RGPD : éclairages du CEPD
Le Comité européen de la protection des données (CEPD) a adopté la version finale de ses lignes directrices qui précisent les critères permettant d’identifier les différents acteurs des traitements de données à caractère personnel.
Dans les lignes directrices adoptées le 7 juillet 2021, le CEPD revient sur des notions clés du RGPD. Faisant suite à un premier avis datant de 2010, adopté par son prédécesseur, le G29, et à trois arrêts de la CJUE (CJUE, gr. ch., 5 juin 2018, aff. C-210/16, Wirtschaftsakademie Schleswig-Holstein, Dalloz actualié, 25 juin 2018, obs. N. Nalepa ; D. 2018. 1208 
; ibid. 2270, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; ibid. 2019. 1016, obs. S. Clavel et F. Jault-Seseke ; ibid. 1673, obs. W. Maxwell et C. Zolynski ; gr. ch., 10 juill. 2018, aff. C-25/17, Jehovan todistajat, Dalloz actualité, 25 juill. 2018, obs. N. Nalepa ; AJDA 2018. 2280, chron. P. Bonneville, E. Broussy, H. Cassagnabère et C. Gänser ; D. 2018. 1493 ; ibid. 2019. 1673, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2018. 698, obs. R. Perray et J. Uzan-Naulin ; RTD eur. 2019. 393, obs. F. Benoît-Rohmer ; 29 juill. 2019, aff. C-40/17, Fashion ID, D. 2019. 1604 ; ibid. 2266, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; Dalloz IP/IT 2020. 126, obs. T. Douville ; Légipresse 2019. 448 et les obs. ; ibid. 613, obs. E. Drouard et J. Beaufour ; RTD eur. 2020. 319, obs. F. Benoît-Rohmer ), ces lignes directrices ont pour but de faciliter l’identification des différents acteurs impliqués dans un traitement de données personnelles de façon à déterminer les obligations et responsabilités de chacun. En ce sens, le CEPD qualifie les notions envisagées de « fonctionnelles ». Il les considère en outre comme des notions « autonomes » dans le sens où elles doivent être lues à la lumière des textes de l’Union européenne en matière de protection des données à caractère personnel uniquement.
L’identification des divers acteurs
Le CEPD commence par tracer les frontières de la notion de responsable du traitement, avant de s’atteler à celle de responsable conjoint et de sous-traitant.
Identification du responsable du traitement
Il est classiquement défini comme celui qui détermine les finalités et les moyens du traitement. Il s’agit traditionnellement de l’organisation dans laquelle le traitement est effectué. Quand bien même une personne, un service ou un département serait en charge de la mise en œuvre du traitement, l’organisation resterait en principe le responsable du traitement en vertu du RGPD. Néanmoins, le CEPD insiste sur le fait qu’une analyse au cas par cas est nécessaire pour identifier le responsable du traitement. Il indique que, dans la plupart des situations, il peut être facilement et clairement identifié par référence à certaines circonstances juridiques (la loi prévoit une obligation de traiter des données pour certaines personnes qui sont de ce fait considérées comme les responsables du traitement) et/ou factuelles. Dans ce dernier cas, il est possible de se référer par exemple au contrat conclu entre les parties....
