L’insaisissabilité de la résidence principale et des biens immobiliers non affectés à l’usage professionnel

Parce que la personnalité juridique est indivisible et que le patrimoine est une émanation de cette personnalité, une même personne ne peut, par principe, être titulaire que d’un seul patrimoine. Aussi, parle-t-on, d’unicité ou d’indivisibilité du patrimoine.

  • Positivement, il en résulte que le passif répond du passif et que l’ensemble des dettes sont exécutoires sur l’ensemble des biens, conformément aux articles 2284 et 2285 du Code civil
  • Négativement, il se déduit qu’il est interdit d’isoler certains éléments du patrimoine, pour constituer une universalité distincte du reste du patrimoine

Ainsi, une personne qui affecterait certains biens à l’exercice d’une activité professionnelle n’aurait, par principe, pas pour effet de créer un ensemble de biens et de dettes séparé de son patrimoine personnel, sauf à créer une personne morale ou à accomplir les formalités aux fins de constituer un patrimoine professionnel.

Le principe d’unicité du patrimoine est assorti de plusieurs exceptions qui tiennent :

  • Au régime juridique de la fiducie
  • Au statut de l’entrepreneur individuel à responsabilité limitée
  • A l’insaisissabilité des biens immobiliers non affectés à l’activité professionnelle de l’entrepreneur individuel
  • Au statut de l’agent des sûretés

Nous nous focaliserons ici sur l’insaisissabilité dont font l’objet certains biens détenus par l’entrepreneur individuel.

I) Principe de l’insaisissabilité

A partir de 2003, le législateur a adopté plusieurs textes qui visent à rendre insaisissable de la résidence principale et plus généralement les biens immobiliers détenus par l’entrepreneur individuel.

Les biens couverts par cette insaisissabilité sont, en effet, exclus du gage général des créanciers, ce qui revient à créer une masse de biens protégée au sein même du patrimoine de l’entrepreneur individuel.

Cette protection patrimoniale dont jouit ce dernier a été organisée par une succession de lois qui, au fil des réformes, ont non seulement assoupli les conditions de l’insaisissabilité de la résidence principale, mais encore ont étendu son assiette aux autres biens immobiliers non affectés à l’activité professionnelle.

  • Première étape : la loi n° 2003-271 du 1er août 2003 sur l’initiative économique avait permis à l’entrepreneur individuel de rendre insaisissables les droits qu’il détient sur l’immeuble lui servant de résidence principale.
  • Deuxième étape: la loi n° 2008-776 du 4 août 2008, dite loi de modernisation de l’économie (LME) a étendu le bénéfice de l’insaisissabilité aux droits détenus par l’entrepreneur individuel sur tout bien foncier bâti ou non bâti non affecté à un usage professionnel.
  • Troisième étape: la loi n° 2013-1117 du 6 décembre 2013 relative à la lutte contre la fraude fiscale et la grande délinquance économique et financière a limité les effets de la déclaration d’insaisissabilité en prévoyant que celle-ci n’est pas opposable à l’administration fiscale lorsqu’elle relève, à l’encontre du déclarant, soit des manœuvres frauduleuses, soit l’inobservation grave et répétée de ses obligations fiscales au sens de l’article 1729 du code général des impôts.
  • Quatrième étape: la loi n°2015-990 du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques a rendu, de plein droit, insaisissable la résidence principale de l’entrepreneur individuel

Ainsi, cette dernière loi a-t-elle renforcé la protection de ce dernier qui n’est plus obligé d’accomplir une déclaration pour bénéficier du dispositif d’insaisissabilité.

Reste que cette insaisissabilité, de droit, ne vaut que pour la résidence principale. S’agissant, en effet, des autres biens immobiliers détenus par l’entrepreneur et non affectés à son activité professionnelle, leur insaisissabilité est subordonnée à l’accomplissement d’un acte de déclaration.

II) Domaine

En application de l’article L. 526-1 du Code de commerce le dispositif ne bénéficie qu’aux seuls entrepreneurs immatriculés à un registre de publicité légale à caractère professionnel ou exerçant une activité professionnelle agricole ou indépendante.

Il convient ainsi d’opérer une distinction entre les entrepreneurs individuels pour lesquels le texte exige qu’ils soient immatriculés et ceux qui ne sont pas assujettis à cette obligation

  • Les entrepreneurs assujettis à l’obligation d’immatriculation
    • Les commerçants doivent s’immatriculer au Registre du commerce et des sociétés
    • Les artisans doivent s’immatriculer au Répertoire des métiers
    • Les agents commerciaux doivent s’immatriculer au registre national des agents commerciaux s’il est commercial.
    • Concomitamment à cette immatriculation, l’article L. 526-4 du Code de commerce prévoit que « lors de sa demande d’immatriculation à un registre de publicité légale à caractère professionnel, la personne physique mariée sous un régime de communauté légale ou conventionnelle doit justifier que son conjoint a été informé des conséquences sur les biens communs des dettes contractées dans l’exercice de sa profession. »
  • Les entrepreneurs non assujettis à l’obligation d’immatriculation
    • Les agriculeurs n’ont pas l’obligation de s’immatriculer au registre de l’agriculture pour bénéficier du dispositif d’insaisissabilité
    • Il en va de même pour les professionnels exerçant à titre indépendant, telles que les professions libérales (avocats, architectes, médecins etc.)

 Au total, le dispositif d’insaisissabilité bénéficie aux entrepreneurs individuels, au régime réel comme au régime des microentreprises, aux entrepreneurs individuels à responsabilité limitée propriétaires de biens immobiliers exerçant une activité commerciale, artisanale, libérale ou agricole, ainsi qu’aux entrepreneurs au régime de la microentreprise et aux entrepreneurs individuels à responsabilité limitée (EIRL).

III) Régime

Désormais, le régime de l’insaisissabilité des biens immobiliers détenus par l’entrepreneur individuel diffère, selon qu’il s’agit de sa résidence principale ou de ses autres biens immobiliers.

==> L’insaisissabilité de la résidence principale

L’article L. 526-1, al. 1er du Code de commerce dispose désormais en ce sens que « les droits d’une personne physique immatriculée à un registre de publicité légale à caractère professionnel ou exerçant une activité professionnelle agricole ou indépendante sur l’immeuble où est fixée sa résidence principale sont de droit insaisissables par les créanciers dont les droits naissent à l’occasion de l’activité professionnelle de la personne ».

Il ressort de cette disposition que l’insaisissabilité de la résidence principale est de droit, de sorte qu’elle n’est pas subordonnée à l’accomplissement d’une déclaration.

Le texte précise que lorsque la résidence principale est utilisée en partie pour un usage professionnel, la partie non utilisée pour un usage professionnel est de droit insaisissable, sans qu’un état descriptif de division soit nécessaire.

==> L’insaisissabilité des biens immobiliers autres que la résidence principale

L’article L. 526-1, al. 2e du Code de commerce prévoit que « une personne physique immatriculée à un registre de publicité légale à caractère professionnel ou exerçant une activité professionnelle agricole ou indépendante peut déclarer insaisissables ses droits sur tout bien foncier, bâti ou non bâti, qu’elle n’a pas affecté à son usage professionnel. »

Ainsi, si les biens immobiliers autres que la résidence principale peuvent bénéficier du dispositif de l’insaisissabilité, c’est à la double condition que l’entrepreneur individuel accomplisse, outre les formalités d’immatriculation le cas échéant requises, qu’il accomplisse une déclaration d’insaisissabilité et qu’il procède aux formalités de publication.

  • Sur l’établissement de la déclaration d’insaisissabilité
    • L’article L. 526-2 du Code de commerce précise qu’elle doit être reçue par notaire sous peine de nullité.
    • C’est donc par acte notarié que la déclaration d’insaisissabilité doit être établie
    • En outre, elle doit contenir la description détaillée des biens et l’indication de leur caractère propre, commun ou indivis.
    • Par ailleurs, l’article L. 526-1 du Code de commerce prévoit que lorsque le bien foncier n’est pas utilisé en totalité pour un usage professionnel, la partie non affectée à un usage professionnel ne peut faire l’objet de la déclaration qu’à la condition d’être désignée dans un état descriptif de division.
  • Sur la publicité de la déclaration d’insaisissabilité
    • Une fois établie, la déclaration d’insaisissabilité doit faire l’objet de deux formalités de publicité
      • En premier lieu, elle doit être publiée au fichier immobilier ou, dans les départements du Bas-Rhin, du Haut-Rhin et de la Moselle, au livre foncier, de sa situation.
      • En second lieu, elle doit :
        • Soit, lorsque la personne est immatriculée dans un registre de publicité légale à caractère professionnel, y être mentionnée.
        • Soit, lorsque la personne n’est pas tenue de s’immatriculer dans un registre de publicité légale, être publié sous la forme d’extrait dans un support habilité à recevoir des annonces légales dans le département dans lequel est exercée l’activité professionnelle pour que cette personne puisse se prévaloir du bénéfice de l’insaisissabilité.

Enfin, il convient d’observer que la déclaration d’insaisissabilité ne peut porter que sur les biens immobiliers non affectés à l’usage professionnel.

Aussi, elle se distingue de la déclaration d’affection du patrimoine du régime de l’entrepreneur individuel à responsabilité limitée, laquelle porte obligatoirement sur les biens, droits, obligations ou sûretés nécessaires à l’exercice de l’activité professionnelle et facultativement sur les biens, droits, obligations ou sûretés utilisés dans ce cadre (cette dernière, permet d’exclure du patrimoine professionnel tous les biens mobiliers et les droits qui ne peuvent être protégés par la déclaration d’insaisissabilité).

Il en résulte que, l’entrepreneur d’une EIRL peut limiter l’étendue de la responsabilité en constituant un patrimoine d’affectation, destiné à l’activité professionnelle, sans constituer de société, étant précisé que les deux déclarations peuvent être cumulées.

IV) Effets

S’agissant de la résidence principale de l’entrepreneur individuel, l’article L. 526-1 du Code de commerce prévoit que l’insaisissabilité, qui est ici de droit, ne produit ses effets qu’à l’encontre des créanciers dont les droits naissent à l’occasion de l’activité professionnelle de la personne.

Dès lors que la dette est contractée dans le cadre de l’activité professionnelle de l’entrepreneur individuel, il bénéficie du dispositif d’insaisissabilité de sa résidence principale. La date de la créance est ici indifférente.

 S’agissant des biens immobiliers autres que la résidence principale, l’article L. 526-1 du Code de commerce prévoit que la déclaration d’insaisissabilité n’a d’effet qu’à l’égard des créanciers dont les droits naissent, après sa publication, à l’occasion de l’activité professionnelle du déclarant.

Il en résulte que les dettes à caractère professionnel contractées antérieurement à la publication de la déclaration d’insaisissabilité, elles demeurent exécutoires sur l’ensemble des biens immobiliers détenus par l’entrepreneur individuel, y compris sur sa résidence principale.

En toute hypothèse, seules les dettes contractées dans le cadre d’une activité professionnelle autorisent l’entrepreneur individuel à se prévaloir de l’insaisissabilité de ses biens  immobiliers.

En outre, en application de l’article L. 526-1, al. 3 du Code de commerce, l’insaisissabilité n’est jamais opposable à l’administration fiscale lorsque celle-ci relève, à l’encontre de la personne, soit des manœuvres frauduleuses, soit l’inobservation grave et répétée de ses obligations fiscales, au sens de l’article 1729 du code général des impôts.

Par ailleurs, les effets de l’insaisissabilité et ceux de la déclaration subsistent après la dissolution du régime matrimonial lorsque l’entrepreneur est attributaire du bien. Ils subsistent également en cas de décès jusqu’à la liquidation de la succession.

Enfin, en cas de cession des droits immobiliers sur la résidence principale, le prix obtenu demeure insaisissable, sous la condition du remploi dans le délai d’un an des sommes à l’acquisition par l’entrepreneur individuel d’un immeuble où est fixée sa résidence principale.

V) La renonciation

À l’analyse le dispositif d’insaisissabilité mis en place par le législateur peut avoir un impact sur l’accès au crédit, dans la mesure où la résidence principale ne fait plus d’emblée partie du gage de l’ensemble des créanciers.

C’est la raison pour laquelle le législateur a prévu que l’entrepreneur individuel puisse, afin de ne pas limiter ses capacités de financement, d’y renoncer.

==> Principe

L’article L. 526-3 du Code de commerce prévoit que « l’insaisissabilité des droits sur la résidence principale et la déclaration d’insaisissabilité portant sur tout bien foncier, bâti ou non bâti, non affecté à l’usage professionnel peuvent, à tout moment, faire l’objet d’une renonciation soumise aux conditions de validité et d’opposabilité prévues à l’article L. 526-2 ».

Il ressort de cette disposition que l’insaisissabilité qui protège les biens immobiliers de l’entrepreneur individuel peut, sur sa décision, être levée à la faveur de créanciers avec lesquels il aurait contracté dans le cadre de son activité professionnelle.

Cette faculté de renonciation dont jouit l’entrepreneur individuel peut porter sur tout ou partie des biens.

Elle peut également être faite au bénéfice d’un ou de plusieurs créanciers désignés par l’acte authentique de renonciation.

Afin d’obtenir un prêt, il est donc possible à l’entrepreneur individuel de renoncer au profit d’une banque à l’insaisissabilité de sa résidence principale.

==> Conditions

Tout d’abord, la renonciation au dispositif d’insaisissabilité doit être effectuée au moyen d’un acte notarié à l’instar de la déclaration d’insaisissabilité.

Ensuite, l’article R. 526-2 du Code de commerce prévoir que cette renonciation doit dans un délai d’un mois, faire l’objet d’une demande d’inscription modificative au registre du commerce et des sociétés.

Enfin, lorsque le bénéficiaire de cette renonciation cède sa créance, le cessionnaire peut se prévaloir de celle-ci.

==> Révocation

La renonciation peut néanmoins, à tout moment, être révoquée dans les mêmes conditions de validité et d’opposabilité que celles prévues pour la déclaration d’insaisissabilité.

Il s’agit là d’une faculté qui peut être exercée discrétionnairement par l’entrepreneur individuel, sans que les créanciers puissent former opposition.

Cette révocation n’aura toutefois d’effet qu’à l’égard des créanciers dont les droits sont nés postérieurement à sa publication.

L’entrepreneur individuel à responsabilité limitée (EIRL): régime juridique

==> Ratio legis

Lorsqu’un entrepreneur individuel exerce, en nom propre, son activité professionnelle, il s’expose à ce que la totalité de son patrimoine – professionnel et personnel – soit saisie en cas de difficultés financières.

Jusque récemment, le seul moyen pour un entrepreneur de préserver son patrimoine personnel en limitant le gage des créanciers aux biens exploitées à titre professionnel était de créer une société.

En effet, le recours à la forme sociétale répond parfaitement au souci de distinguer patrimoine professionnel et patrimoine personnel, dettes professionnelles et dettes personnelles.

Une société, personne morale distincte de l’entrepreneur, dispose d’un patrimoine propre et répond des dettes résultant de son activité. Quant au patrimoine personnel de l’entrepreneur, il demeure extérieur à l’activité professionnelle et, par conséquent, est protégé de ses aléas.

La création d’une personne morale se révèle néanmoins parfois inadaptée à l’exercice d’une activité professionnelle à titre individuel en raison de la lourdeur du formalisme et des obligations qui pèsent sur le chef d’entreprise.

Par ailleurs, des études ont révélé que la vulnérabilité de leur statut ou plutôt de leur absence de statut, ne suffisait pas à inciter les entrepreneurs individuels à faire le choix systématique de la forme sociétale. Ils sont en proie à des « freins psychologiques », que l’on peut résumer en une réticence de l’entrepreneur à constituer une personne morale distincte.

==> De l’EURL à l’EIRL

Fort de ce constat, le législateur a cherché à encourager les entrepreneurs à se tourner vers la forme sociale en simplifiant les règles de création et de fonctionnement des sociétés :

  • La loi n° 85-697 du 11 juillet 1985 relative à l’entreprise unipersonnelle à responsabilité limitée et à l’exploitation agricole à responsabilité limitée a rompu avec le principe de l’affectio societatis, selon lequel une société résulte de la volonté de collaborer d’au moins deux associés, en permettant à un entrepreneur individuel de constituer seul une société ;
  • La loi n° 94-126 du 11 février 1994 relative à l’initiative et à l’entreprise individuelle a procédé à une refonte des formalités et obligations auxquelles étaient soumises les entreprises, dans le but de les simplifier ;
  • La loi du 1er août 2003 pour l’initiative économique a d’abord institué le mécanisme d’insaisissabilité de la résidence principale aux articles L. 526-1 à L. 526-5 du code de commerce, constituant une entorse au droit de gage général posé aux articles 2284 et 2285 du code civil. Elle a ensuite supprimé le capital minimum dans les SARL, rompant ainsi avec le principe de capitalisation des sociétés ;
  • La loi n° 2008-776 du 4 août 2008 de modernisation de l’économie a procédé à de nouvelles simplifications dans le fonctionnement des entreprises et étendu l’insaisissabilité à tous les biens fonciers non affectés à l’usage professionnel.

Nonobstant ces réformes successives qui visaient à encourager l’exercice de l’entreprenariat individuel au moyen d’une forme sociale, ni l’EURL ni l’insaisissabilité n’ont attiré les entrepreneurs.

Le législateur en a tiré la conséquence, qu’il convenait de changer de paradigme et d’ouvrir une brèche dans le sacro-saint principe de l’unicité du patrimoine.

Par souci de justice social et de protection de la famille des entrepreneurs exerçant en nom propre, la loi n° 2010-658 du 15 juin 2010 a créé le statut d’entrepreneur individuel à responsabilité limitée (EIRL).

La particularité de ce statut, et c’est la révolution opérée par ce texte, est qu’il permet à l’entrepreneur individuel qui exerce en nom propre de créer un patrimoine d’affectation.

==> Notion de patrimoine d’affectation

L’article L. 526-6 du Code de commerce dispose que « pour l’exercice de son activité en tant qu’entrepreneur individuel à responsabilité limitée, l’entrepreneur individuel affecte à son activité professionnelle un patrimoine séparé de son patrimoine personnel, sans création d’une personne morale, dans les conditions prévues à l’article L. 526-7. »

Ce texte autorise ainsi l’entrepreneur individuel, qui adopte le statut d’EIRL, à affecter un patrimoine à l’exercice de son activité professionnelle de façon à protéger son patrimoine personnel et familial, sans créer de personne morale distincte de sa personne.

La création d’un patrimoine d’affectation déroge manifestement aux règles posées aux articles 2284 et 2285 du Code civil, en établissant que les créances personnelles de l’entrepreneur ne sont gagées que sur le patrimoine non affecté, et les créances professionnelles sur le patrimoine affecté.

L’admission de la constitution d’un patrimoine d’affectation opère une rupture profonde avec le dogme de l’unicité du patrimoine organisé jusqu’alors par le droit civil français.

==> Conditions de création d’un patrimoine d’affectation

En application de l’article L. 526-6 du Code de commerce, la création d’un patrimoine d’affectation est subordonnée à la réunion de deux conditions cumulatives :

  • Première condition : exigence de déclaration d’affectation
    • L’article L. 526-7 prévoit que la constitution du patrimoine affecté résulte d’une déclaration effectuée :
      • Soit au registre de publicité légale auquel l’entrepreneur individuel est tenu de s’immatriculer ;
      • Soit au registre de publicité légale choisi par l’entrepreneur individuel en cas de double immatriculation ; dans ce cas, mention en est portée à l’autre registre ;
      • Soit, pour les personnes physiques qui ne sont pas tenues de s’immatriculer à un registre de publicité légale, à un registre tenu au greffe du tribunal statuant en matière commerciale du lieu de leur établissement principal ;
      • Soit, pour les exploitants agricoles, au registre de l’agriculture tenu par la chambre d’agriculture compétente.
    • L’article L. 526-8 précise que « lors de la constitution du patrimoine affecté, l’entrepreneur individuel mentionne la nature, la qualité, la quantité et la valeur des biens, droits, obligations ou sûretés qu’il affecte à son activité professionnelle sur un état descriptif déposé au registre où est effectuée la déclaration prévue à l’article L. 526-7 pour y être annexé. »
    • La composition du patrimoine affecté est alors opposable de plein droit aux créanciers dont les droits sont nés postérieurement à la déclaration d’affectation
  • Seconde condition ; exigence de tenue d’une comptabilité séparée
    • L’article L 526-13 du Code de commerce prévoit que « l’activité professionnelle à laquelle le patrimoine est affecté fait l’objet d’une comptabilité autonome»
    • Il en résulte que l’entrepreneur individuel à responsabilité limitée est tenu de faire ouvrir dans un établissement de crédit un ou plusieurs comptes bancaires exclusivement dédiés à l’activité à laquelle le patrimoine a été affecté.

==> Effets de la création d’un patrimoine d’affectation

La constitution d’un patrimoine d’affectation a pour effet la création d’un patrimoine professionnel séparé et distinct du patrimoine personnel de l’entrepreneur.

Ce patrimoine professionnel comportera alors un actif et un passif dont la délimitation sera déterminée par la déclaration d’affectation de l’entrepreneur individuel.

  • S’agissant de l’actif du patrimoine d’affectation
    • Il comprend l’ensemble des biens, droits, obligations ou sûretés dont l’entrepreneur individuel est titulaire, nécessaire à l’exercice de son activité professionnelle.
    • Il peut comprendre également les biens, droits, obligations ou sûretés dont l’entrepreneur individuel est titulaire, utilisés pour l’exercice de son activité professionnelle, qu’il décide d’y affecter et qu’il peut ensuite décider de retirer du patrimoine affecté.
  • S’agissant du passif du patrimoine d’affectation
    • Il comprend l’ensemble des dettes contractées par l’entrepreneur individuel dans le cadre de l’exercice de son activité professionnel.
    • L’article L. 526-12 du Code de commerce invite néanmoins à distinguer selon que les dettes contractées sont nées postérieurement à la déclaration d’’affectation ou antérieurement.
      • S’agissant des dettes nées postérieurement à la déclaration d’affectation
        • Elles sont exécutoires sur les biens affectés par l’entrepreneur individuel à son activité professionnelle à la condition que la déclaration d’affectation leur soit opposable, ce qui implique que les formalités requises par l’article L. 526-7 du Code de commerce aient été valablement accomplies
      • S’agissant des dettes nées antérieurement à la déclaration d’affectation
        • Elles sont exécutoires sur les biens affectés par l’entrepreneur individuel à son activité professionnelle à la double condition que :
          • D’une part, elles aient été mentionnées dans la déclaration
          • D’autre part, que cette déclaration ait été portée à la connaissance des créanciers concernés afin qu’ils soient en mesure d’exercer leur droit de former opposition
        • S’agissant des créanciers auxquels la déclaration d’affectation n’est pas opposable, ils ont, en application de l’article L. 526-12 du Code de commerce « pour seul gage général le patrimoine non affecté. »

Si, la création d’un patrimoine d’affectation permet à l’entrepreneur de circonscrire le gage général de ses créanciers professionnels, les textes n’interdisent nullement que des sûretés soient constituées sur son patrimoine personnel, et en particulier des établissements de crédit que l’entrepreneur solliciterait en vue du financement ou de la trésorerie de son activité.

Ainsi, une banque peut toujours exiger, par exemple, une sûreté réelle sur la résidence principale ou la caution personnelle du conjoint de l’entrepreneur. Ce type de garanties ne s’exerce pas à la demande des fournisseurs.

Dans ces conditions, l’étanchéité des patrimoines ne peut pas être complète et les patrimoines sont distincts et non étanches l’un pour l’autre, sauf à ce que l’entrepreneur n’ait pas besoin de crédit ou bien soit en mesure de présenter des garanties suffisantes au sein de son patrimoine affecté.

Aussi, cette circonstance plaide-t-elle en faveur de la possibilité d’affecter plus que les seuls biens nécessaires, de façon à offrir aux créanciers le gage le plus étendu possible, de sorte que celui-ci puisse se suffire à lui-même.

RGPD: La sous-traitance (notion, conditions, obligations)

La question de la sous-traitance des traitements de données à caractère personnel a été introduite à l’article 35 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés lors de la transposition de la directive 95/46/CE du 24 octobre 1995 par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

==> La loi informatique et libertés

L’article 35 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés prévoyait que les données personnelles ne peuvent faire l’objet d’un traitement par un sous-traitant que « sur instruction du responsable du traitement ».

Plusieurs garanties étaient prévues pour encadrer ces opérations :

  • Le sous-traitant doit présenter des « garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité » ;
  • Le contrat entre le sous-traitant et le responsable du traitement doit indiquer les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et que celui-ci ne peut agir que sur instruction du responsable du traitement ;
  • En tout état de cause, les garanties offertes par le sous-traitant ne déchargent pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

==> Le RGPD

Le règlement 2016/679 du 27 avril 2016 a eu pour conséquence d’étendre le champ des obligations applicables aux sous-traitants.

Son chapitre IV fixe un ensemble d’obligations aussi bien aux responsables de traitements qu’aux sous-traitants susceptibles d’intervenir dans les opérations de traitement :

  • La mise en œuvre de mesures techniques et organisationnelles appropriées de nature à démontrer que le traitement respecte le règlement et la protection des droits de la personne concernée, par exemple à travers l’application d’un code de conduite ou d’un mécanisme de certification approuvés (articles 24 et 28) ;
  • La tenue d’un registre des activités de traitement effectuées, selon le cas, sous leur responsabilité ou pour le compte du responsable du traitement (87) (article 30) ;
  • La coopération avec l’autorité de contrôle (article 31) ;
  • La mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (88), par exemple à travers l’application d’un code de conduite ou d’un mécanisme de certification approuvés (article 32) ;
  • La notification, selon le cas, à l’autorité de contrôle ou au responsable de traitement de toute violation de données à caractère personnel (article 33) ;
  • La désignation d’un délégué à la protection des données dès lors que le sous-traitant entre dans le champ des organismes pour lesquels cette désignation est obligatoire (article 37).

L’article 28 prévoit des obligations spécifiques pour les sous-traitants :

  • En premier lieu, il s’agit de l’obligation de recueillir l’autorisation écrite préalable du responsable du traitement pour le recrutement d’un autre sous-traitant.
  • En second lieu, le contrat liant le responsable du traitement au sous-traitant doit comporter un certain nombre de garanties.

Afin, de savoir si un opérateur qui manipule des données à caractère personnel est soumis à ces obligations, il convient de déterminer s’il endosse le statut de responsable du traitement ou de sous-traitant.

I) Définitions

A) La notion de responsable du traitement

Selon le groupe de l’article 29 la notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application du RGPD, car elles déterminent la ou les personnes chargées de faire respecter les règles en matière de protection des données et la manière dont les personnes concernées peuvent exercer leurs droits dans la pratique.

Ainsi, en présence d’un traitement de données à caractère personnel il convient de déterminer le responsable à qui il échoit de respecter les règles de protection des droits et libertés et de supporter d’éventuelles sanctions administratives, civiles voire pénales.

Le rôle premier de la notion de responsable du traitement est donc de déterminer qui est chargé de faire respecter les règles de protection des données, et comment les personnes concernées peuvent exercer leurs droits dans la pratique. En d’autres termes, il s’agit d’attribuer les responsabilités.

L’article 3 de la loi informatique et libertés définit le responsable du traitement comme « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».

Dans une approche plus restrictive, la convention 108 désigne le responsable du traitement comme le « «maître du fichier» lequel est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées. »

Cette définition n’a pas été retenue par le RGPD qui prévoit, en son article 4, 7), que le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».

À l’examen, la définition du responsable du traitement énoncée dans la directive s’articule, selon le G29, autour de trois composantes principales :

  • L’aspect individuel: « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme »
  • La possibilité d’une responsabilité pluraliste: « qui seul ou conjointement avec d’autres »
  • Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs: « détermine les finalités et les moyens du traitement de données à caractère personnel »

Afin de déterminer la ou les personnes responsables d’un traitement de données à caractère personne, il convient de se reporter à la méthodologie élaborée par le G29 dans son avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant».

  1. L’aspect personnel

Le premier élément de la définition a trait à l’aspect personnel: qui peut être responsable du traitement, et donc considéré comme responsable en dernier ressort des obligations découlant de la directive.

La définition reproduit exactement le libellé de l’article 2 de la convention 108 et n’a fait l’objet d’aucun débat particulier lors du processus d’adoption de la directive. Elle renvoie à un vaste éventail de sujets susceptibles de jouer le rôle de responsable du traitement, de la personne physique à la personne morale, en passant par «tout autre organisme».

Il importe que l’interprétation de ce point garantisse la bonne application de la directive, en favorisant autant que possible une identification claire et univoque du responsable du traitement en toutes circonstances, même si aucune désignation officielle n’a été faite et rendue publique.

Il convient avant tout de s’écarter le moins possible de la pratique établie dans les secteurs public et privé par d’autres domaines du droit, tels que le droit civil, le droit administratif et le droit pénal.

Dans la plupart des cas, ces dispositions indiqueront à quelles personnes ou à quels organismes les responsabilités doivent être attribuées et permettront, en principe, d’identifier le responsable du traitement.

==> Principe : le responsable du traitement est une personne morale

Dans la perspective stratégique d’attribution des responsabilités, et afin que les personnes concernées puissent s’adresser à une entité plus stable et plus fiable lorsqu’elles exercent les droits qui leur sont conférés par la directive, il est préférable de considérer comme responsable du traitement la société ou l’organisme en tant que tel, plutôt qu’une personne en son sein.

C’est en effet la société ou l’organisme qu’il convient de considérer, en premier ressort, comme responsable du traitement des données et des obligations énoncées par la législation relative à la protection des données, à moins que certains éléments précis n’indiquent qu’une personne physique doive être responsable.

D’une manière générale, on partira du principe qu’une société ou un organisme public est responsable en tant que tel des opérations de traitement qui se déroulent dans son domaine d’activité et de risques.

Parfois, les sociétés et les organismes publics désignent une personne précise pour être responsable de l’exécution des opérations de traitement.

Cependant, même lorsqu’une personne physique est désignée pour veiller au respect des principes de protection des données ou pour traiter des données à caractère personnel, elle n’est pas responsable du traitement mais agit pour le compte de la personne morale (société ou organisme public), qui demeure responsable en cas de violation des principes, en sa qualité de responsable du traitement.

==> Exception : le responsable du traitement peut être une personne physique

Une analyse distincte s’impose dans le cas où une personne physique agissant au sein d’une personne morale utilise des données à des fins personnelles, en dehors du cadre et de l’éventuel contrôle des activités de la personne morale.

Dans ce cas, la personne physique en cause serait responsable du traitement décidé, et assumerait la responsabilité de cette utilisation de données à caractère personnel. Le responsable du traitement initial pourrait néanmoins conserver une certaine part de responsabilité si le nouveau traitement a eu lieu du fait d’une insuffisance des mesures de sécurité.

Ainsi, le rôle du responsable du traitement est décisif et revêt une importance particulière lorsqu’il s’agit de déterminer les responsabilités et d’infliger des sanctions.

Même si celles-ci varient d’un État membre à l’autre parce qu’elles sont imposées selon les droits nationaux, la nécessité d’identifier clairement la personne physique ou morale responsable des infractions à la législation sur la protection des données est sans nul doute un préalable indispensable à la bonne application de la loi informatique et libertés.

2. La possibilité d’une personne pluraliste

La possibilité que le responsable du traitement agisse «seul ou conjointement avec d’autres» n’avait pas été prévue initialement par les textes.

Ainsi, n’était-il pas envisagé le cas où tous les responsables du traitement décident de façon égale et sont responsables de façon égale d’un même traitement.

Pourtant, la réalité montre qu’il ne s’agit là que d’une des facettes de la «responsabilité pluraliste». Dans cette optique, «conjointement» doit être interprété comme signifiant «ensemble avec» ou «pas seul», sous différentes formes et associations.

Il convient tout d’abord de noter que la probabilité de voir de multiples acteurs participer au traitement de données à caractère personnel est naturellement liée à la multiplicité des activités qui, selon la loi, peuvent constituer un «traitement» devenant, au final, l’objet de la «coresponsabilité».

La définition du traitement énoncée à l’article 2 de la loi informatique et libertés n’exclut pas la possibilité que différents acteurs participent à plusieurs opérations ou ensembles d’opérations appliquées à des données à caractère personnel.

Ces opérations peuvent se dérouler simultanément ou en différentes étapes.

Dans un environnement aussi complexe, il importe d’autant plus que les rôles et les responsabilités puissent facilement être attribués, pour éviter que les complexités de la coresponsabilité n’aboutissent à un partage des responsabilités impossible à mettre en œuvre, qui compromettrait l’efficacité de la législation sur la protection des données.

Ainsi, une coresponsabilité naît lorsque plusieurs parties déterminent, pour certaines opérations de traitement :

  • soit la finalité
  • soit les éléments essentiels des moyens qui caractérisent un responsable du traitement

Cependant, dans le cadre d’une coresponsabilité, la participation des parties à la détermination conjointe peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale.

En effet, lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche (en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les moyens, ou une partie de ceux-ci).

Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données.

Par exemple, le simple fait que différentes parties coopèrent dans le traitement de données à caractère personnel, par exemple dans une chaîne, ne signifie pas qu’elles sont coresponsables dans tous les cas. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble commun d’opérations, doit être considéré uniquement comme un transfert de données entre des responsables distincts.

L’appréciation peut toutefois être différente si plusieurs acteurs décident de créer une infrastructure commune afin de poursuivre leurs propres finalités individuelles. En créant cette infrastructure, ces acteurs déterminent les éléments essentiels des moyens à utiliser et deviennent coresponsables du traitement des données, du moins dans cette mesure, même s’ils ne partagent pas nécessairement les mêmes finalités.

À cet égard, l’article 26 du RGPD prévoit que :

  • D’une part, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.
  • D’autre part, l’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
  • Enfin, indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

3. Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs

Le responsable du traitement est celui qui « détermine les finalités et les moyens du traitement de données à caractère personnel ».

Cette composante comporte deux éléments qu’il convient d’analyser séparément :

  • Détermine
  • Les finalités et les moyens du traitement

a) Détermine

La notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc sur une analyse factuelle plutôt que formelle.

Par conséquent, un examen long et approfondi sera parfois nécessaire pour déterminer cette responsabilité. L’impératif d’efficacité impose cependant d’adopter une approche pragmatique pour assurer une prévisibilité de la responsabilité.

À cet égard, des règles empiriques et des présomptions concrètes sont nécessaires pour guider et simplifier l’application de la législation en matière de protection des données.

Ceci implique une interprétation de la directive garantissant que «l’organisme qui détermine» puisse être facilement et clairement identifié dans la plupart des cas, en s’appuyant sur les éléments de droit et/ou de fait à partir desquels l’on peut normalement déduire une influence de fait, en l’absence d’indices contraires.

Ces contextes peuvent être analysés et classés selon les trois catégories de situations

suivantes, qui permettent d’aborder ces questions de façon systématique:

==> Responsabilité découlant d’une compétence explicitement donnée par la loi

Il s’agit notamment du cas visé dans la seconde partie de la définition, à savoir lorsque le responsable du traitement ou les critères spécifiques pour le désigner sont fixés par le droit national ou communautaire.

La désignation explicite du responsable du traitement par le droit n’est pas courante et ne présente généralement pas de grandes difficultés. Dans certains pays, le droit national prévoit que les pouvoirs publics assument la responsabilité du traitement des données à caractère personnel effectué dans le cadre de leurs fonctions

Il est cependant plus fréquent que la législation, plutôt que de désigner directement le responsable du traitement ou de fixer les critères de sa désignation, charge une personne, ou lui impose, de collecter et traiter certaines données.

Cela pourrait être le cas d’une entité qui se voit confier certaines missions publiques (par exemple, la sécurité sociale) ne pouvant être réalisées sans collecter au moins quelques données à caractère personnel, et qui crée un registre afin de s’en acquitter.

Dans ce cas, c’est donc le droit qui détermine le responsable du traitement. De façon plus générale, la loi peut obliger des entités publiques ou privées à conserver ou fournir certaines données. Ces entités seraient alors normalement considérées comme responsables de tout traitement de données à caractère personnel intervenant dans ce cadre.

==> Responsabilité découlant d’une compétence implicite

Il s’agit du cas où le pouvoir de déterminer n’est pas explicitement prévu par le droit, ni la conséquence directe de dispositions juridiques explicites, mais découle malgré tout de règles juridiques générales ou d’une pratique juridique établie relevant de différentes matières (droit civil, droit commercial, droit du travail, etc.).

Dans ce cas, les rôles traditionnels qui impliquent normalement une certaine responsabilité permettront d’identifier le responsable du traitement: par exemple, l’employeur pour les informations sur ses salariés, l’éditeur pour les informations sur ses abonnés, l’association pour les informations sur ses membres ou adhérents.

Dans tous ces exemples, le pouvoir de déterminer les activités de traitement peut être considéré comme naturellement lié au rôle fonctionnel d’une organisation (privée), entraînant au final également des responsabilités en matière de protection des données.

Du point de vue juridique, peu importe que le pouvoir de déterminer soit confié aux entités juridiques mentionnées, qu’il soit exercé par les organes appropriés agissant pour leur compte, ou par une personne physique dans le cadre de fonctions similaires.

==> Responsabilité découlant d’une influence de fait

Il s’agit du cas où la responsabilité du traitement est attribuée après une évaluation des circonstances factuelles. Un examen des relations contractuelles entre les différentes parties concernées sera bien souvent nécessaire.

Cette évaluation permet de tirer des conclusions externes, attribuant le rôle et les obligations de responsable du traitement à une ou plusieurs parties.

Il peut arriver qu’un contrat ne désigne aucun responsable du traitement mais qu’il contienne suffisamment d’éléments pour attribuer cette responsabilité à une personne qui exerce apparemment un rôle prédominant à cet égard. Il se peut également que le contrat soit plus explicite en ce qui concerne le responsable du traitement.

S’il n’y a aucune raison de penser que les clauses contractuelles ne reflètent pas exactement la réalité, rien ne s’oppose à leur application. Les clauses d’un contrat ne sont toutefois pas toujours déterminantes, car les parties auraient alors la possibilité d’attribuer la responsabilité à qui elles l’entendent.

Le fait même qu’une personne détermine comment les données à caractère personnel sont traitées peut entraîner la qualification de responsable du traitement, même si cette qualification sort du cadre d’une relation contractuelle ou si elle est expressément exclue par un contrat.

b) Les finalités et les moyens du traitement

La détermination des finalités et des moyens revient à établir respectivement le «pourquoi» et le «comment» de certaines activités de traitement.

Dans cette optique, et puisque ces deux éléments sont indissociables, il est nécessaire de donner des indications sur le degré d’influence qu’une entité doit avoir sur le «pourquoi» et le «comment» pour être qualifiée de responsable du traitement.

Lorsqu’il s’agit d’évaluer la détermination des finalités et des moyens en vue d’attribuer le rôle de responsable du traitement, la question centrale qui se pose est donc le degré de précision auquel une personne doit déterminer les finalités et les moyens afin d’être considérée comme un responsable du traitement et, en corollaire, la marge de manœuvre que la directive laisse à un sous-traitant.

Ces définitions prennent tout leur sens lorsque divers acteurs interviennent dans le traitement de données à caractère personnel et qu’il est nécessaire de déterminer lesquels d’entre eux sont responsables du traitement (seuls ou conjointement avec d’autres) et lesquels sont à considérer comme des sous-traitants, le cas échéant.

L’importance à accorder aux finalités ou aux moyens peut varier en fonction du contexte particulier dans lequel intervient le traitement.

Il convient d’adopter une approche pragmatique mettant davantage l’accent sur le pouvoir discrétionnaire de déterminer les finalités et sur la latitude laissée pour prendre des décisions.

Les questions qui se posent alors sont celle du motif du traitement et celle du rôle d’éventuels acteurs liés, tels que les sociétés d’externalisation de services: la société qui a confié ses services à un prestataire extérieur aurait-elle traité les données si le responsable du traitement ne le lui avait pas demandé, et à quelles conditions?

Un sous-traitant pourrait suivre les indications générales données principalement sur les finalités et ne pas entrer dans les détails en ce qui concerne les moyens.

S’agissant de la détermination des «moyens», ce terme comprend de toute évidence des éléments très divers, ce qu’illustre d’ailleurs l’évolution de la définition.

En effet, «moyens» ne désigne pas seulement les moyens techniques de traiter des données à caractère personnel, mais également le «comment» du traitement, qui comprend des questions comme «quelles données seront traitées», «quels sont les tiers qui auront accès à ces données», «à quel moment les données seront-elles effacées», etc.

La détermination des «moyens» englobe donc à la fois des questions techniques et d’organisation, auxquelles les sous-traitants peuvent tout aussi bien répondre (par exemple, «quel matériel informatique ou logiciel utiliser?»), et des aspects essentiels qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable du traitement, tels que «quelles sont les données à traiter?», «pendant combien de temps doivent-elles être traitées?», «qui doit y avoir accès», etc.

Dans ce contexte, alors que la détermination de la finalité du traitement emporterait systématiquement la qualification de responsable du traitement, la détermination des moyens impliquerait une responsabilité uniquement lorsqu’elle concerne les éléments essentiels des moyens.

Dans cette optique, il est tout à fait possible que les moyens techniques et d’organisation soient déterminés exclusivement par le sous-traitant des données.

Dans ce cas, lorsque les finalités sont bien définies mais qu’il existe peu, voire aucune indication sur les moyens techniques et d’organisation, les moyens devraient représenter une façon raisonnable d’atteindre la ou les finalités, et le responsable du traitement devrait être parfaitement informé des moyens utilisés.

Si un contractant avait une influence sur la finalité et qu’il procédait au traitement (également) à des fins personnelles, par exemple en utilisant les données à caractère personnel reçues en vue de créer des services à valeur ajoutée, il deviendrait alors responsable du traitement (ou éventuellement coresponsable du traitement) pour une autre activité de traitement et serait donc soumis à toutes les obligations prévues par la législation applicable en matière de protection des données.

B) La notion de sous-traitant

Alors que la notion de sous-traitant n’était pas définie dans la convention 108, elle figure désormais en bonne place dans le RGPD.

L’article 4 de ce texte prévoit que le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Selon le G29 tout comme la définition du responsable du traitement, celle du sous-traitant envisage un large éventail d’acteurs pour tenir ce rôle («… une personne physique ou morale, une autorité publique, un service ou tout autre organisme …»).

L’existence d’un sous-traitant dépend du responsable du traitement, qui peut décider :

  • soit de traiter les données au sein de son organisation, par exemple en habilitant des collaborateurs à traiter les données sous son autorité directe
  • soit de déléguer tout ou partie des activités de traitement à une organisation extérieure, comme l’indique l’exposé des motifs de la proposition modifiée de la Commission, par «une personne juridiquement distincte du responsable mais agissant pour son compte»

Par conséquent, les deux conditions fondamentales pour agir en qualité de sous-traitant sont :

  • d’une part, d’être une entité juridique distincte du responsable du traitement
  • d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier.

L’activité de traitement peut se limiter à une tâche ou un contexte bien précis, ou être plus générale et étendue.

En outre, le rôle de sous-traitant ne découle pas de la nature de l’entité traitant des données mais de ses activités concrètes dans un cadre précis.

En d’autres termes, la même entité peut agir à la fois en qualité de responsable du traitement pour certaines opérations de traitement et en tant que sous-traitant pour d’autres opérations, et la qualification de responsable ou de sous-traitant doit être évaluée au regard d’un ensemble spécifique de données ou d’opérations.

L’aspect le plus important est l’exigence que le sous-traitant agisse «…pour le compte du responsable de traitement…». «Agir pour le compte de» signifie servir les intérêts d’un tiers et renvoie à la notion juridique de délégation.

Dans le cas de la législation relative à la protection des données, un sous-traitant est amené à exécuter les instructions données par le responsable du traitement, au moins en ce qui concerne la finalité du traitement et les éléments essentiels des moyens.

Dans cette perspective, la licéité de l’activité de traitement de données du sous-traitant est déterminée par le mandat donné par le responsable du traitement. Un sous-traitant qui outrepasse son mandat et acquiert un rôle important dans la détermination des finalités ou des moyens essentiels du traitement est davantage un (co)responsable qu’un sous-traitant.

A cet égard, l’article 35 de la loi informatique et libertés prévoit que « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

Ainsi, est-il fait obligation pour le responsable du traitement de définir contractuellement la mission confiée au sous-traitant.

II) Les conditions de recours à la sous-traitance

Deux conditions doivent être remplies pour que le responsable d’un traitement de données à caractère personnel puisse avoir recours à un sous-traitant.

Une condition additionnelle s’ajoute lorsque c’est le sous-traitant qui souhaite sous-traiter tout ou partie de la mission qui lui est confiée.

==> Première condition : la présentation de garanties suffisantes

L’article 28, §1 du RGPD prévoit que lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

Le considérant 81 précise que le responsable du traitement ne doit faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement.

Pratiquement, afin de fournir au responsable du traitement les garanties suffisantes, cela signifie pour le sous-traitant que :

  • Dès la conception de ses outils, applications et services ils intègrent de façon effective les principes relatifs à la protection des données
  • Par défaut ses outils, applications et services garantissent que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès.

Selon la CNIL, la constitution de ces garanties peut, par exemple, impliquer :

  • De permettre au responsable du traitement de paramétrer par défaut et a minima la collecte de données et ne pas rendre techniquement obligatoire le renseignement d’un champ facultatif
  • De ne collecter que les données strictement nécessaires à la finalité du traitement (minimisation des données) de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée
  • De gérer des habilitations et droits d’accès informatiques « donnée par donnée » ou sur demande des personnes concernées (pour les réseaux sociaux par exemple)

Le §5 de l’article 28 ajoute que l’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes.

==> Seconde condition : l’établissement d’un contrat de sous-traitance

L’article 28, §3 du RGPD subordonne le recours à un sous-traitant au respect d’une seconde condition, soit à l’établissement d’un contrat de sous-traitance.

Cette disposition prévoit en ce sens que le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement.

Ce contrat doit définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées.

Il doit, en outre, se présenter sous une forme écrite, y compris au format électronique.

Le considérant 81 précise qu’il doit être tenu compte, pour ce faire, des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée.

A cet égard, le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission.

Outre ces informations qui doivent figurer au contrat, l’article 28, §3 dispose que le contrat de sous-traitance doit prévoir, notamment, que le sous-traitant :

  • Ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;
  • Veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
  • Prend toutes les mesures requises en vertu de l’article 32, soit celles relatives à la sécurité du traitement des données
  • Respecte les conditions visées aux paragraphes 2 et 4 de l’article 28 du RGPD pour recruter un autre sous-traitant, ce qui signifie notamment que le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement.
  • Tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;
  • Aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant (sécurité du traitement, notification des violations de données et analyse d’impact) ;
  • Selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel ;
  • Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. En ce qui concerne ce dernier point, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

==> Condition additionnelle en cas de sous-traitance par un sous-traitant

L’article 28, §2 du RGPD dispose que « le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. »

Ainsi, le recours par un sous-traitant à un sous-traitant est-il subordonné à l’autorisation préalable du responsable du traitement.

Cette autorisation peut être, au choix des parties, spécifique, c’est-à-dire accordée pour un sous-traitant particulier, ou générale.

Dans ce dernier cas, un certain nombre de règles devront être observées par le sous-traitant.

L’article 28 précise, en effet, que « dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements ».

Le responsable du traitement doit dès lors, en tout état de cause, être informé de tout changement intervenant dans la sous-traitance de la mission qu’il a confiée à son sous-traitant.

Surtout, il pourra s’opposer ou poser des conditions dans l’hypothèse où le prestataire retenu par son sous-traitant pour exécuter tout ou partie de la mission confiée ne lui conviendrait pas.

III) Les obligations qui incombent au sous-traitant

Deux sortes de sous-traitant peuvent être distinguées :

  • Le sous-traitant du responsable du traitement
  • Le sous-traitant du sous-traitant

A) Les obligations qui incombent au sous-traitant du responsable du traitement

Depuis l’adoption du RGPD, l’obligation qui incombe au sous-traitant ne se limite pas seulement au respect des conditions de sécurité du traitement, comme tel était le cas sous l’empire du droit antérieur.

Désormais, les obligations qui s’imposent à lui sont bien plus nombreuses et contraignantes.

A cet égard, il ressort du RGPD que ces obligations sont au nombre de trois :

==> L’obligation de transparence et de traçabilité

L’obligation de transparence et de traçabilité qui échoit au sous-traitant s’infère de plusieurs devoirs que le RGPD met à sa charge :

  • Devoir d’établir avec le responsable du traitement un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du règlement européen.
  • Devoir de recenser par écrit les instructions adressées au sous-traitant afin de prouver qu’il agit « sur instruction documentée du responsable de traitement»
  • Devoir de demander l’autorisation écrite du responsable du traitement afin de déléguer la mission confiée à un sous-traitant
  • Devoir de mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations du sous-traitant et pour permettre la réalisation d’audits.
  • Devoir de tenir un registre qui recense les clients pour le compte desquels le sous-traitant opère et qui décrit les traitements effectués pour leur compte.

==> L’obligation de sécurité du traitement

L’obligation de sécurité du traitement implique, pour le sous-traitant :

  • D’assurer la confidentialité des données traitées pour le compte des responsables de traitement
  • De notifier au responsable du traitement toute violation de ses données
  • De prendre toute mesure utile pour garantir un niveau de sécurité adapté aux risques encourus par le traitement.
  • Au terme de la prestation et selon les instructions du responsable du traitement
    • De supprimer, toutes les données et les lui restituer.
    • De détruire les copies existantes sauf obligation légale de les conserver.

==> L’obligation d’assistance, d’alerte et de conseil

L’obligation d’assistance, d’alerte et de conseil implique pour le sous-traitant de :

  • Alerter le responsable du traitement si l’une de ses instructions est constitutive d’une violation des règles en matière de protection des données
  • Assister le responsable du traitement, dans la mesure du possible, quant à la prise en charge d’une demande formulée par la personne concernée d’exercice de ses droits (accès, rectification, effacement, portabilité, opposition, ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage)
  • Aider le responsable du traitement à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.

III) Les obligations qui incombent au sous-traitant du sous-traitant

L’article 28, § 4 du RGPD prévoit que « lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement ».

Ainsi, le sous-traitant du sous-traitant est-il soumis aux mêmes obligations que le sous-traitant du responsable du traitement.

Reste que lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

Pour rappel, il ressort des articles 82 et 83 du RGPD que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part, tant du responsable de traitement, que du sous-traitant.

Par ailleurs, le sous-traitant est susceptible de faire l’objet de sanctions administratives importantes pouvant s’élever, selon la catégorie de l’infraction, jusqu’à 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 2% ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.

Il convient, dans ces conditions, pour le sous-traitant de faire preuve d’une extrêmement vigilance lorsqu’il sous-traite la mission qui lui a été confiée par le responsable du traitement. Son statut ne l’exonère pas de sa responsabilité.

RGPD: Le droit à l’effacement ou le “droit à l’oubli”

Le droit à l’effacement, dit encore, droit à l’oubli se rattache à la protection classique de la vie privée, mais son intégration dans le RGPD est particulièrement poussée.

Alors que le droit au déréférencement avait été introduit par la CJUE dans un arrêt notoire du 13 mai 2014 (CJUE, GC, 13 mai 2014, Google Spain SL et Google Inc.), le RGPD met en place une double obligation pour les responsables du traitement et les sous-traitants : ils doivent effacer, dans les meilleurs délais, les données à caractère personnel qu’un citoyen leur demande de supprimer mais aussi, compte tenu de leurs capacités techniques et du coût que cela peut représenter, prendre toute mesure raisonnable pour informer, lorsqu’il a rendu les données publiques, les autres responsables de traitement de la demande d’effacement.

Le considérant 65 du RGPD précise à cet égard, que ce droit à l’effacement est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l’époque où elle était enfant et n’était pas pleinement consciente des risques inhérents au traitement, et qu’elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l’internet.

La personne concernée doit donc pouvoir exercer ce droit nonobstant le fait qu’elle n’est plus un enfant.

Afin de renforcer le «droit à l’oubli» numérique, le RGPD pose encore, en son considérant 66, que le droit à l’effacement doit également être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d’informer les responsables du traitement qui traitent ces données à caractère personnel qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci.

Ce faisant, ce responsable du traitement doit prendre des mesures raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques afin d’informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée.

§1 : Le principe du droit à l’effacement

L’article 40 de la LIL dispose que « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient […] effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. »

Dans le même sens, l’article 17 du RGPD prévoit que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais […] ».

Il ressort de ces deux textes que c’est un véritable droit à l’oubli qui a été consacré par le législateur.

§2 : Les conditions du droit à l’effacement

Le législateur a entendu limiter l’exercice du droit à l’effacement à certains cas. A cet égard, il ne peut être exercé que lorsque l’un des motifs suivants s’applique :

  • Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
  • La personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement;
  • La personne concernée s’oppose au traitement, et il n’existe pas de motif légitime impérieux pour le traitement
  • Les données à caractère personnel ont fait l’objet d’un traitement illicite;
  • Les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
  • Les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information, soit lorsque la personne était mineure au moment de la collecte de ses données

§3 : L’exercice du droit à l’effacement

  • Le destinataire de la demande
    • La demande d’effacement doit être adressée au responsable du traitement qui est le débiteur de l’obligation
    • Il est donc inopérant de formuler cette demande auprès de la CNIL
  • La justification de l’identité
    • Pour accéder à la demande de la personne concernée, le responsable du traitement sera fondé à exiger du demander qu’il justifie son identité.
    • Il ne devra pas, néanmoins, lui imposer des pièces justificatives qui seraient disproportionnées eu égard à la demande formulée

§4 : L’exécution du droit à l’effacement

  • Délai
    • A réception de la demande d’effacement, le responsable du traitement devra s’exécuter dans les meilleurs délais et, au plus tard, dans un délai d’un mois.
    • Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.
    • En cas de prorogation du délai de réponse, le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.
    • Dans l’hypothèse où le responsable du traitement ne donnerait pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
    • En cas de non-exécution de l’effacement des données à caractère personnel dans un délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.
  • Preuve
    • L’article 40, I de la LIL prévoit que lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées.
    • En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.
  • Cas particuliers des données rendues publiques
    • L’article 17 du RGPD prévoit que lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
    • L’obligation est ici, non pas de résultat, mais de moyen

§5 : Les limites du droit à l’effacement

Le législateur européen a assorti le droit à l’effacement de plusieurs limites énoncées à l’article 17 du RGPD.

Ainsi, le droit à l’oubli ne s’applique pas :

  • A l’exercice du droit à la liberté d’expression et d’information ;
  • Pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
  • Pour des motifs d’intérêt public dans le domaine de la santé publique ;
  • A des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ;
  • A la constatation, à l’exercice ou à la défense de droits en justice.

RGPD: le registre des activités de traitement

L’article 30 du RGPD dispose que « chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité ».

Ce registre participe de la documentation de la conformité. Document de recensement et d’analyse, il doit refléter la réalité des traitements de données personnelles mis en œuvre par le responsable du traitement et permettre d’identifier précisément :

  • Les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
  • Les catégories de données traitées,
  • A quoi servent ces données (ce que qu’on en fait), qui accède aux données et à qui elles sont communiquées,
  • Combien de temps les données collectées sont conservées,
  • Comment elles sont sécurisées.

Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de la conformité au RGPD. Il permet de documenter les traitements de données

I) Les personnes chargées de tenir le registre

Il ressort de l’article 30, 5 du RGPD que l’obligation de tenue d’un registre des activités de traitement ne s’applique pas à toutes les structures.

==> Principe

L’obligation de tenue d’un registre des activités de traitement incombe à toutes les structures qui comportent plus de 250 salariés.

Dès lors que ce seuil est dépassé, le responsable du traitement a l’obligation de constituer ce registre, quand bien même aucun DPD n’a été désigné.

Par ailleurs, l’obligation de tenir un registre s’applique, tant au responsable du traitement, qu’au sous-traitant.

L’article 30, 2 du RGPD énonce en ce sens que chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.

==>Exception

Par exception à l’obligation qui s’impose au responsable du traitement et au sous-traitant, l’article 30, 5 du RGPD prévoit que l’obligation de tenue d’un registre ne s’applique pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si :

  • Le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel

OU

  • Le traitement porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions.

II) Le contenu du registre

Avant l’entrée en vigueur du RGPD, la loi Informatique et Libertés imposait aux responsables de traitements de données personnelles, sauf exceptions, d’accomplir des formalités déclaratives auprès de la CNIL.

A cet égard, cette dernière recommande que le registre tenu par le responsable du traitement, en application de la nouvelle réglementation, fasse état, tant des traitements qui avaient donné lieu, avant l’entrée en vigueur du RGPD, à des déclarations préalables que de ceux intervenus après son adoption.

A) Les traitements antérieurs au 25 mai 2018

Pour les traitements intervenus avant le 25 mai 2018, il est possible d’intégrer au registre prévu par les formalités accomplies lors de la déclaration de ces traitements, soit :

  • Les déclarations simplifiées ;
  • Les déclarations ordinaires ;
  • Les déclarations normales ;
  • Les demandes d’avis ;
  • Les demandes d’autorisation ;
  • Les demandes d’autorisation recherches médicales ;
  • Les demandes d’autorisation évaluation de pratiques de soins.

Il peut être observé que les listes qui concernent les formalités accomplies entre 1979 et le 25 mai 2018 par les responsables publics et privés mettant en œuvre des fichiers, dispositifs ou applications traitant des données relatives à des personnes physiques sont mises à disposition pour une durée de 10 ans à compter du 25 mai 2018 : https://www.cnil.fr/fr/les-formalites-prealables-accomplies-aupres-de-la-cnil-avant-le-25-mai-2018

Reste que dans certains cas, le responsable du traitement était dispensé d’accomplir des formalités :

  • Les organismes, publics ou privés, qui avaient désigné un Correspondant Informatique et Libertés (CIL) étaient ainsi dispensés, depuis octobre 2005, d’accomplir certaines formalités (déclarations) auprès de la CNIL.
  • La CNIL avait également dispensé de déclaration certains traitements de données personnelles courants.

D’autres traitements étaient encore dispensés, non pas de déclaration, mais de la publication de l’acte réglementaire qui les autorise :

  • Les données relatives à certains traitements mis en œuvre par l’Etat (article 26 III de la loi Informatique et Libertés en vigueur avant le 25 mai 2018) étaient également dispensées de publication.
  • Les traitements mis en œuvre par des particuliers (ex. : vidéosurveillance de leur habitation dans laquelle interviennent des employés à domicile), susceptibles de comporter des informations relatives à leur vie privée, ne sont pas concernés par cette publication.

Pour ces traitements dispensés de déclaration ou de publication, s’il n’est pas nécessaire d’en faire mention sur le registre des activités, il doit, en revanche, être fait état de l’exemption dont ils bénéficient.

B) Les traitements postérieurs au 25 mai 2018

  1. Le registre du responsable du traitement

L’article 30, 1 du RGPD prévoit que le registre des activités de traitement doit mentionner les informations suivantes :

  • Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
  • Les finalités du traitement ;
  • Une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
  • Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

2. Le registre du sous-traitant

S’agissant du registre tenu par le sous-traitant, en application de l’article 30, 2 du RGPD il doit comporter :

  • Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;
  • Les catégories de traitements effectués pour le compte de chaque responsable du traitement (par exemple : pour la catégorie « service d’envoi de messages de prospection », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.)
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

III) Les modalités de tenue du registre

Compte tenu des informations qui doivent figurer sur le registre, celui-ci doit nécessairement prendre la forme d’un écrit.

L’article 30, 3 prévoit en ce sens que 3 le registre se présente « sous une forme écrite y compris la forme électronique. »

Pour faciliter la tenue de ce registre, la CNIL propose un modèle de registre de base, destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures (TPE-PME, associations, petites collectivités, etc.).

La CNIL recommande, dans la mesure du possible, d’enrichir le registre de mentions complémentaires afin d’en faire un outil plus global de pilotage de la conformité.

Le registre doit être mise à jour régulièrement au gré des évolutions fonctionnelles et techniques des traitements de données.

En pratique, toute modification apportée aux conditions de mise en œuvre de chaque traitement inscrit au registre (nouvelle donnée collectée, allongement de la durée de conservation, nouveau destinataire du traitement, etc.) doit être portée au registre.

IV) La mise à disposition du registre

==> La communication du registre à la CNIL

L’article 30, 4 du RGPD prévoit que le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant doivent metttre le registre à la disposition de l’autorité de contrôle sur demande.

Elle pourra en particulier l’utiliser dans le cadre de sa mission de contrôle des traitements de données.

==> La communication du registre aux personnes

La CNIL rappelle que selon que le registre est tenu par un organisme public ou privé, sa communication peut être autorisée ou interdite

  • S’agissant des organismes du secteur public
    • Ils sont tenus de communiquer le registre à toute personne qui en fait la demande, car il s’agit d’un document administratif, communicable à tous, au sens du code des relations entre le public et l’administration.
    • Toutefois, le registre communiqué doit être occulté de toute information dont la divulgation pourrait en particulier porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information.
  • S’agissant des organismes privés
    • Ils ne sont pas tenus de communiquer le registre au public.
    • Néanmoins, ils peuvent, s’ils l’estiment opportun, le communiquer aux personnes qui en font la demande.