- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- > Travailleurs handicapés
- Avocat
Article

Notions de responsable du traitement et de sous-traitant au sens du RGPD : éclairages du CEPD
Notions de responsable du traitement et de sous-traitant au sens du RGPD : éclairages du CEPD
Le Comité européen de la protection des données (CEPD) a adopté la version finale de ses lignes directrices qui précisent les critères permettant d’identifier les différents acteurs des traitements de données à caractère personnel.
Dans les lignes directrices adoptées le 7 juillet 2021, le CEPD revient sur des notions clés du RGPD. Faisant suite à un premier avis datant de 2010, adopté par son prédécesseur, le G29, et à trois arrêts de la CJUE (CJUE, gr. ch., 5 juin 2018, aff. C-210/16, Wirtschaftsakademie Schleswig-Holstein, Dalloz actualié, 25 juin 2018, obs. N. Nalepa ; D. 2018. 1208 ; ibid. 2270, obs. J. Larrieu, C. Le Stanc et P. Tréfigny
; ibid. 2019. 1016, obs. S. Clavel et F. Jault-Seseke
; ibid. 1673, obs. W. Maxwell et C. Zolynski
; gr. ch., 10 juill. 2018, aff. C-25/17, Jehovan todistajat, Dalloz actualité, 25 juill. 2018, obs. N. Nalepa ; AJDA 2018. 2280, chron. P. Bonneville, E. Broussy, H. Cassagnabère et C. Gänser
; D. 2018. 1493
; ibid. 2019. 1673, obs. W. Maxwell et C. Zolynski
; Dalloz IP/IT 2018. 698, obs. R. Perray et J. Uzan-Naulin
; RTD eur. 2019. 393, obs. F. Benoît-Rohmer
; 29 juill. 2019, aff. C-40/17, Fashion ID, D. 2019. 1604
; ibid. 2266, obs. J. Larrieu, C. Le Stanc et P. Tréfigny
; Dalloz IP/IT 2020. 126, obs. T. Douville
; Légipresse 2019. 448 et les obs.
; ibid. 613, obs. E. Drouard et J. Beaufour
; RTD eur. 2020. 319, obs. F. Benoît-Rohmer
), ces lignes directrices ont pour but de faciliter l’identification des différents acteurs impliqués dans un traitement de données personnelles de façon à déterminer les obligations et responsabilités de chacun. En ce sens, le CEPD qualifie les notions envisagées de « fonctionnelles ». Il les considère en outre comme des notions « autonomes » dans le sens où elles doivent être lues à la lumière des textes de l’Union européenne en matière de protection des données à caractère personnel uniquement.
L’identification des divers acteurs
Le CEPD commence par tracer les frontières de la notion de responsable du traitement, avant de s’atteler à celle de responsable conjoint et de sous-traitant.
Identification du responsable du traitement
Il est classiquement défini comme celui qui détermine les finalités et les moyens du traitement. Il s’agit traditionnellement de l’organisation dans laquelle le traitement est effectué. Quand bien même une personne, un service ou un département serait en charge de la mise en œuvre du traitement, l’organisation resterait en principe le responsable du traitement en vertu du RGPD. Néanmoins, le CEPD insiste sur le fait qu’une analyse au cas par cas est nécessaire pour identifier le responsable du traitement. Il indique que, dans la plupart des situations, il peut être facilement et clairement identifié par référence à certaines circonstances juridiques (la loi prévoit une obligation de traiter des données pour certaines personnes qui sont de ce fait considérées comme les responsables du traitement) et/ou factuelles. Dans ce dernier cas, il est possible de se référer par exemple au contrat conclu entre les parties....
Sur le même thème
-
Petite pause
-
Affaire Rolex : le Tribunal judiciaire de Paris remet-il les pendules à l’heure sur l’usage des marques renommées par des tiers dans le pop art ?
-
Panorama rapide de l’actualité « Technologies de l’information » des semaines du 12 mai 2025
-
[PODCAST] Journalisme vs désinformation : les apports de la recherche en source ouverte
-
Constat d’achat : le stagiaire du cabinet d’avocat peut décidément être tiers acheteur !
-
Le rôle du Comité européen de la protection des données, entre avis consultatifs et décisions contraignantes : nouvel épisode de la saga « Consent or pay »
-
Quelles perspectives pour la liberté de la presse ? Entretien avec le professeur Evan Raschel
-
Affaire Thaler : confirmation de l’absence de protection par le copyright américain d’une œuvre présentée comme générée uniquement par l’intelligence artificielle
-
Panorama rapide de l’actualité « Technologies de l’information » des semaines des 5 au 11 mai 2025
-
L’obligation d’exploitation permanente et suivie suppose un effort continu de diffusion et de promotion