Accueil
Le quotidien du droit en ligne
-A+A
Article

Notions de responsable du traitement et de sous-traitant au sens du RGPD : éclairages du CEPD


Le Comité européen de la protection des données (CEPD) a adopté la version finale de ses lignes directrices qui précisent les critères permettant d’identifier les différents acteurs des traitements de données à caractère personnel.

par Jessica Eynard, co-directrice du master Droit du numérique de l'Université Toulouse 1 Capitole et chercheuse associée dans la Chaire Law, Accountability and Social Trust in AI, ANITI et Marine Monteil, docteur en droitle 21 juillet 2021
Guidelines 07/2020 on the concepts of controller and processor in the GDPR, version 2.0, 7 juill. 2021

Dans les lignes directrices adoptées le 7 juillet 2021, le CEPD revient sur des notions clés du RGPD. Faisant suite à un premier avis datant de 2010, adopté par son prédécesseur, le G29, et à trois arrêts de la CJUE (CJUE, gr. ch., 5 juin 2018, aff. C-210/16, Wirtschaftsakademie Schleswig-Holstein, Dalloz actualié, 25 juin 2018, obs. N. Nalepa ; D. 2018. 1208 ; ibid. 2270, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; ibid. 2019. 1016, obs. S. Clavel et F. Jault-Seseke ; ibid. 1673, obs. W. Maxwell et C. Zolynski ; gr. ch., 10 juill. 2018, aff. C-25/17, Jehovan todistajat, Dalloz actualité, 25 juill. 2018, obs. N. Nalepa ; AJDA 2018. 2280, chron. P. Bonneville, E. Broussy, H. Cassagnabère et C. Gänser ; D. 2018. 1493 ; ibid. 2019. 1673, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2018. 698, obs. R. Perray et J. Uzan-Naulin ; RTD eur. 2019. 393, obs. F. Benoît-Rohmer ; 29 juill. 2019, aff. C-40/17, Fashion ID, D. 2019. 1604 ; ibid. 2266, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; Dalloz IP/IT 2020. 126, obs. T. Douville ; Légipresse 2019. 448 et les obs. ; ibid. 613, obs. E. Drouard et J. Beaufour ; RTD eur. 2020. 319, obs. F. Benoît-Rohmer ), ces lignes directrices ont pour but de faciliter l’identification des différents acteurs impliqués dans un traitement de données personnelles de façon à déterminer les obligations et responsabilités de chacun. En ce sens, le CEPD qualifie les notions envisagées de « fonctionnelles ». Il les considère en outre comme des notions « autonomes » dans le sens où elles doivent être lues à la lumière des textes de l’Union européenne en matière de protection des données à caractère personnel uniquement.

L’identification des divers acteurs

Le CEPD commence par tracer les frontières de la notion de responsable du traitement, avant de s’atteler à celle de responsable conjoint et de sous-traitant.

Identification du responsable du traitement

Il est classiquement défini comme celui qui détermine les finalités et les moyens du traitement. Il s’agit traditionnellement de l’organisation dans laquelle le traitement est effectué. Quand bien même une personne, un service ou un département serait en charge de la mise en œuvre du traitement, l’organisation resterait en principe le responsable du traitement en vertu du RGPD. Néanmoins, le CEPD insiste sur le fait qu’une analyse au cas par cas est nécessaire pour identifier le responsable du traitement. Il indique que, dans la plupart des situations, il peut être facilement et clairement identifié par référence à certaines circonstances juridiques (la loi prévoit une obligation de traiter des données pour certaines personnes qui sont de ce fait considérées comme les responsables du traitement) et/ou factuelles. Dans ce dernier cas, il est possible de se référer par exemple au contrat conclu entre les parties....

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :

Sur le même thème