RGPD: La sous-traitance (notion, conditions, obligations)

La question de la sous-traitance des traitements de données à caractère personnel a été introduite à l’article 35 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés lors de la transposition de la directive 95/46/CE du 24 octobre 1995 par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

==> La loi informatique et libertés

L’article 35 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés prévoyait que les données personnelles ne peuvent faire l’objet d’un traitement par un sous-traitant que « sur instruction du responsable du traitement ».

Plusieurs garanties étaient prévues pour encadrer ces opérations :

  • Le sous-traitant doit présenter des « garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité » ;
  • Le contrat entre le sous-traitant et le responsable du traitement doit indiquer les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et que celui-ci ne peut agir que sur instruction du responsable du traitement ;
  • En tout état de cause, les garanties offertes par le sous-traitant ne déchargent pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

==> Le RGPD

Le règlement 2016/679 du 27 avril 2016 a eu pour conséquence d’étendre le champ des obligations applicables aux sous-traitants.

Son chapitre IV fixe un ensemble d’obligations aussi bien aux responsables de traitements qu’aux sous-traitants susceptibles d’intervenir dans les opérations de traitement :

  • La mise en œuvre de mesures techniques et organisationnelles appropriées de nature à démontrer que le traitement respecte le règlement et la protection des droits de la personne concernée, par exemple à travers l’application d’un code de conduite ou d’un mécanisme de certification approuvés (articles 24 et 28) ;
  • La tenue d’un registre des activités de traitement effectuées, selon le cas, sous leur responsabilité ou pour le compte du responsable du traitement (87) (article 30) ;
  • La coopération avec l’autorité de contrôle (article 31) ;
  • La mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (88), par exemple à travers l’application d’un code de conduite ou d’un mécanisme de certification approuvés (article 32) ;
  • La notification, selon le cas, à l’autorité de contrôle ou au responsable de traitement de toute violation de données à caractère personnel (article 33) ;
  • La désignation d’un délégué à la protection des données dès lors que le sous-traitant entre dans le champ des organismes pour lesquels cette désignation est obligatoire (article 37).

L’article 28 prévoit des obligations spécifiques pour les sous-traitants :

  • En premier lieu, il s’agit de l’obligation de recueillir l’autorisation écrite préalable du responsable du traitement pour le recrutement d’un autre sous-traitant.
  • En second lieu, le contrat liant le responsable du traitement au sous-traitant doit comporter un certain nombre de garanties.

Afin, de savoir si un opérateur qui manipule des données à caractère personnel est soumis à ces obligations, il convient de déterminer s’il endosse le statut de responsable du traitement ou de sous-traitant.

I) Définitions

A) La notion de responsable du traitement

Selon le groupe de l’article 29 la notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application du RGPD, car elles déterminent la ou les personnes chargées de faire respecter les règles en matière de protection des données et la manière dont les personnes concernées peuvent exercer leurs droits dans la pratique.

Ainsi, en présence d’un traitement de données à caractère personnel il convient de déterminer le responsable à qui il échoit de respecter les règles de protection des droits et libertés et de supporter d’éventuelles sanctions administratives, civiles voire pénales.

Le rôle premier de la notion de responsable du traitement est donc de déterminer qui est chargé de faire respecter les règles de protection des données, et comment les personnes concernées peuvent exercer leurs droits dans la pratique. En d’autres termes, il s’agit d’attribuer les responsabilités.

L’article 3 de la loi informatique et libertés définit le responsable du traitement comme « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».

Dans une approche plus restrictive, la convention 108 désigne le responsable du traitement comme le « «maître du fichier» lequel est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées. »

Cette définition n’a pas été retenue par le RGPD qui prévoit, en son article 4, 7), que le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».

À l’examen, la définition du responsable du traitement énoncée dans la directive s’articule, selon le G29, autour de trois composantes principales :

  • L’aspect individuel: « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme »
  • La possibilité d’une responsabilité pluraliste: « qui seul ou conjointement avec d’autres »
  • Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs: « détermine les finalités et les moyens du traitement de données à caractère personnel »

Afin de déterminer la ou les personnes responsables d’un traitement de données à caractère personne, il convient de se reporter à la méthodologie élaborée par le G29 dans son avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant».

  1. L’aspect personnel

Le premier élément de la définition a trait à l’aspect personnel: qui peut être responsable du traitement, et donc considéré comme responsable en dernier ressort des obligations découlant de la directive.

La définition reproduit exactement le libellé de l’article 2 de la convention 108 et n’a fait l’objet d’aucun débat particulier lors du processus d’adoption de la directive. Elle renvoie à un vaste éventail de sujets susceptibles de jouer le rôle de responsable du traitement, de la personne physique à la personne morale, en passant par «tout autre organisme».

Il importe que l’interprétation de ce point garantisse la bonne application de la directive, en favorisant autant que possible une identification claire et univoque du responsable du traitement en toutes circonstances, même si aucune désignation officielle n’a été faite et rendue publique.

Il convient avant tout de s’écarter le moins possible de la pratique établie dans les secteurs public et privé par d’autres domaines du droit, tels que le droit civil, le droit administratif et le droit pénal.

Dans la plupart des cas, ces dispositions indiqueront à quelles personnes ou à quels organismes les responsabilités doivent être attribuées et permettront, en principe, d’identifier le responsable du traitement.

==> Principe : le responsable du traitement est une personne morale

Dans la perspective stratégique d’attribution des responsabilités, et afin que les personnes concernées puissent s’adresser à une entité plus stable et plus fiable lorsqu’elles exercent les droits qui leur sont conférés par la directive, il est préférable de considérer comme responsable du traitement la société ou l’organisme en tant que tel, plutôt qu’une personne en son sein.

C’est en effet la société ou l’organisme qu’il convient de considérer, en premier ressort, comme responsable du traitement des données et des obligations énoncées par la législation relative à la protection des données, à moins que certains éléments précis n’indiquent qu’une personne physique doive être responsable.

D’une manière générale, on partira du principe qu’une société ou un organisme public est responsable en tant que tel des opérations de traitement qui se déroulent dans son domaine d’activité et de risques.

Parfois, les sociétés et les organismes publics désignent une personne précise pour être responsable de l’exécution des opérations de traitement.

Cependant, même lorsqu’une personne physique est désignée pour veiller au respect des principes de protection des données ou pour traiter des données à caractère personnel, elle n’est pas responsable du traitement mais agit pour le compte de la personne morale (société ou organisme public), qui demeure responsable en cas de violation des principes, en sa qualité de responsable du traitement.

==> Exception : le responsable du traitement peut être une personne physique

Une analyse distincte s’impose dans le cas où une personne physique agissant au sein d’une personne morale utilise des données à des fins personnelles, en dehors du cadre et de l’éventuel contrôle des activités de la personne morale.

Dans ce cas, la personne physique en cause serait responsable du traitement décidé, et assumerait la responsabilité de cette utilisation de données à caractère personnel. Le responsable du traitement initial pourrait néanmoins conserver une certaine part de responsabilité si le nouveau traitement a eu lieu du fait d’une insuffisance des mesures de sécurité.

Ainsi, le rôle du responsable du traitement est décisif et revêt une importance particulière lorsqu’il s’agit de déterminer les responsabilités et d’infliger des sanctions.

Même si celles-ci varient d’un État membre à l’autre parce qu’elles sont imposées selon les droits nationaux, la nécessité d’identifier clairement la personne physique ou morale responsable des infractions à la législation sur la protection des données est sans nul doute un préalable indispensable à la bonne application de la loi informatique et libertés.

2. La possibilité d’une personne pluraliste

La possibilité que le responsable du traitement agisse «seul ou conjointement avec d’autres» n’avait pas été prévue initialement par les textes.

Ainsi, n’était-il pas envisagé le cas où tous les responsables du traitement décident de façon égale et sont responsables de façon égale d’un même traitement.

Pourtant, la réalité montre qu’il ne s’agit là que d’une des facettes de la «responsabilité pluraliste». Dans cette optique, «conjointement» doit être interprété comme signifiant «ensemble avec» ou «pas seul», sous différentes formes et associations.

Il convient tout d’abord de noter que la probabilité de voir de multiples acteurs participer au traitement de données à caractère personnel est naturellement liée à la multiplicité des activités qui, selon la loi, peuvent constituer un «traitement» devenant, au final, l’objet de la «coresponsabilité».

La définition du traitement énoncée à l’article 2 de la loi informatique et libertés n’exclut pas la possibilité que différents acteurs participent à plusieurs opérations ou ensembles d’opérations appliquées à des données à caractère personnel.

Ces opérations peuvent se dérouler simultanément ou en différentes étapes.

Dans un environnement aussi complexe, il importe d’autant plus que les rôles et les responsabilités puissent facilement être attribués, pour éviter que les complexités de la coresponsabilité n’aboutissent à un partage des responsabilités impossible à mettre en œuvre, qui compromettrait l’efficacité de la législation sur la protection des données.

Ainsi, une coresponsabilité naît lorsque plusieurs parties déterminent, pour certaines opérations de traitement :

  • soit la finalité
  • soit les éléments essentiels des moyens qui caractérisent un responsable du traitement

Cependant, dans le cadre d’une coresponsabilité, la participation des parties à la détermination conjointe peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale.

En effet, lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche (en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les moyens, ou une partie de ceux-ci).

Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données.

Par exemple, le simple fait que différentes parties coopèrent dans le traitement de données à caractère personnel, par exemple dans une chaîne, ne signifie pas qu’elles sont coresponsables dans tous les cas. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble commun d’opérations, doit être considéré uniquement comme un transfert de données entre des responsables distincts.

L’appréciation peut toutefois être différente si plusieurs acteurs décident de créer une infrastructure commune afin de poursuivre leurs propres finalités individuelles. En créant cette infrastructure, ces acteurs déterminent les éléments essentiels des moyens à utiliser et deviennent coresponsables du traitement des données, du moins dans cette mesure, même s’ils ne partagent pas nécessairement les mêmes finalités.

À cet égard, l’article 26 du RGPD prévoit que :

  • D’une part, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.
  • D’autre part, l’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
  • Enfin, indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

3. Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs

Le responsable du traitement est celui qui « détermine les finalités et les moyens du traitement de données à caractère personnel ».

Cette composante comporte deux éléments qu’il convient d’analyser séparément :

  • Détermine
  • Les finalités et les moyens du traitement

a) Détermine

La notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc sur une analyse factuelle plutôt que formelle.

Par conséquent, un examen long et approfondi sera parfois nécessaire pour déterminer cette responsabilité. L’impératif d’efficacité impose cependant d’adopter une approche pragmatique pour assurer une prévisibilité de la responsabilité.

À cet égard, des règles empiriques et des présomptions concrètes sont nécessaires pour guider et simplifier l’application de la législation en matière de protection des données.

Ceci implique une interprétation de la directive garantissant que «l’organisme qui détermine» puisse être facilement et clairement identifié dans la plupart des cas, en s’appuyant sur les éléments de droit et/ou de fait à partir desquels l’on peut normalement déduire une influence de fait, en l’absence d’indices contraires.

Ces contextes peuvent être analysés et classés selon les trois catégories de situations

suivantes, qui permettent d’aborder ces questions de façon systématique:

==> Responsabilité découlant d’une compétence explicitement donnée par la loi

Il s’agit notamment du cas visé dans la seconde partie de la définition, à savoir lorsque le responsable du traitement ou les critères spécifiques pour le désigner sont fixés par le droit national ou communautaire.

La désignation explicite du responsable du traitement par le droit n’est pas courante et ne présente généralement pas de grandes difficultés. Dans certains pays, le droit national prévoit que les pouvoirs publics assument la responsabilité du traitement des données à caractère personnel effectué dans le cadre de leurs fonctions

Il est cependant plus fréquent que la législation, plutôt que de désigner directement le responsable du traitement ou de fixer les critères de sa désignation, charge une personne, ou lui impose, de collecter et traiter certaines données.

Cela pourrait être le cas d’une entité qui se voit confier certaines missions publiques (par exemple, la sécurité sociale) ne pouvant être réalisées sans collecter au moins quelques données à caractère personnel, et qui crée un registre afin de s’en acquitter.

Dans ce cas, c’est donc le droit qui détermine le responsable du traitement. De façon plus générale, la loi peut obliger des entités publiques ou privées à conserver ou fournir certaines données. Ces entités seraient alors normalement considérées comme responsables de tout traitement de données à caractère personnel intervenant dans ce cadre.

==> Responsabilité découlant d’une compétence implicite

Il s’agit du cas où le pouvoir de déterminer n’est pas explicitement prévu par le droit, ni la conséquence directe de dispositions juridiques explicites, mais découle malgré tout de règles juridiques générales ou d’une pratique juridique établie relevant de différentes matières (droit civil, droit commercial, droit du travail, etc.).

Dans ce cas, les rôles traditionnels qui impliquent normalement une certaine responsabilité permettront d’identifier le responsable du traitement: par exemple, l’employeur pour les informations sur ses salariés, l’éditeur pour les informations sur ses abonnés, l’association pour les informations sur ses membres ou adhérents.

Dans tous ces exemples, le pouvoir de déterminer les activités de traitement peut être considéré comme naturellement lié au rôle fonctionnel d’une organisation (privée), entraînant au final également des responsabilités en matière de protection des données.

Du point de vue juridique, peu importe que le pouvoir de déterminer soit confié aux entités juridiques mentionnées, qu’il soit exercé par les organes appropriés agissant pour leur compte, ou par une personne physique dans le cadre de fonctions similaires.

==> Responsabilité découlant d’une influence de fait

Il s’agit du cas où la responsabilité du traitement est attribuée après une évaluation des circonstances factuelles. Un examen des relations contractuelles entre les différentes parties concernées sera bien souvent nécessaire.

Cette évaluation permet de tirer des conclusions externes, attribuant le rôle et les obligations de responsable du traitement à une ou plusieurs parties.

Il peut arriver qu’un contrat ne désigne aucun responsable du traitement mais qu’il contienne suffisamment d’éléments pour attribuer cette responsabilité à une personne qui exerce apparemment un rôle prédominant à cet égard. Il se peut également que le contrat soit plus explicite en ce qui concerne le responsable du traitement.

S’il n’y a aucune raison de penser que les clauses contractuelles ne reflètent pas exactement la réalité, rien ne s’oppose à leur application. Les clauses d’un contrat ne sont toutefois pas toujours déterminantes, car les parties auraient alors la possibilité d’attribuer la responsabilité à qui elles l’entendent.

Le fait même qu’une personne détermine comment les données à caractère personnel sont traitées peut entraîner la qualification de responsable du traitement, même si cette qualification sort du cadre d’une relation contractuelle ou si elle est expressément exclue par un contrat.

b) Les finalités et les moyens du traitement

La détermination des finalités et des moyens revient à établir respectivement le «pourquoi» et le «comment» de certaines activités de traitement.

Dans cette optique, et puisque ces deux éléments sont indissociables, il est nécessaire de donner des indications sur le degré d’influence qu’une entité doit avoir sur le «pourquoi» et le «comment» pour être qualifiée de responsable du traitement.

Lorsqu’il s’agit d’évaluer la détermination des finalités et des moyens en vue d’attribuer le rôle de responsable du traitement, la question centrale qui se pose est donc le degré de précision auquel une personne doit déterminer les finalités et les moyens afin d’être considérée comme un responsable du traitement et, en corollaire, la marge de manœuvre que la directive laisse à un sous-traitant.

Ces définitions prennent tout leur sens lorsque divers acteurs interviennent dans le traitement de données à caractère personnel et qu’il est nécessaire de déterminer lesquels d’entre eux sont responsables du traitement (seuls ou conjointement avec d’autres) et lesquels sont à considérer comme des sous-traitants, le cas échéant.

L’importance à accorder aux finalités ou aux moyens peut varier en fonction du contexte particulier dans lequel intervient le traitement.

Il convient d’adopter une approche pragmatique mettant davantage l’accent sur le pouvoir discrétionnaire de déterminer les finalités et sur la latitude laissée pour prendre des décisions.

Les questions qui se posent alors sont celle du motif du traitement et celle du rôle d’éventuels acteurs liés, tels que les sociétés d’externalisation de services: la société qui a confié ses services à un prestataire extérieur aurait-elle traité les données si le responsable du traitement ne le lui avait pas demandé, et à quelles conditions?

Un sous-traitant pourrait suivre les indications générales données principalement sur les finalités et ne pas entrer dans les détails en ce qui concerne les moyens.

S’agissant de la détermination des «moyens», ce terme comprend de toute évidence des éléments très divers, ce qu’illustre d’ailleurs l’évolution de la définition.

En effet, «moyens» ne désigne pas seulement les moyens techniques de traiter des données à caractère personnel, mais également le «comment» du traitement, qui comprend des questions comme «quelles données seront traitées», «quels sont les tiers qui auront accès à ces données», «à quel moment les données seront-elles effacées», etc.

La détermination des «moyens» englobe donc à la fois des questions techniques et d’organisation, auxquelles les sous-traitants peuvent tout aussi bien répondre (par exemple, «quel matériel informatique ou logiciel utiliser?»), et des aspects essentiels qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable du traitement, tels que «quelles sont les données à traiter?», «pendant combien de temps doivent-elles être traitées?», «qui doit y avoir accès», etc.

Dans ce contexte, alors que la détermination de la finalité du traitement emporterait systématiquement la qualification de responsable du traitement, la détermination des moyens impliquerait une responsabilité uniquement lorsqu’elle concerne les éléments essentiels des moyens.

Dans cette optique, il est tout à fait possible que les moyens techniques et d’organisation soient déterminés exclusivement par le sous-traitant des données.

Dans ce cas, lorsque les finalités sont bien définies mais qu’il existe peu, voire aucune indication sur les moyens techniques et d’organisation, les moyens devraient représenter une façon raisonnable d’atteindre la ou les finalités, et le responsable du traitement devrait être parfaitement informé des moyens utilisés.

Si un contractant avait une influence sur la finalité et qu’il procédait au traitement (également) à des fins personnelles, par exemple en utilisant les données à caractère personnel reçues en vue de créer des services à valeur ajoutée, il deviendrait alors responsable du traitement (ou éventuellement coresponsable du traitement) pour une autre activité de traitement et serait donc soumis à toutes les obligations prévues par la législation applicable en matière de protection des données.

B) La notion de sous-traitant

Alors que la notion de sous-traitant n’était pas définie dans la convention 108, elle figure désormais en bonne place dans le RGPD.

L’article 4 de ce texte prévoit que le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Selon le G29 tout comme la définition du responsable du traitement, celle du sous-traitant envisage un large éventail d’acteurs pour tenir ce rôle («… une personne physique ou morale, une autorité publique, un service ou tout autre organisme …»).

L’existence d’un sous-traitant dépend du responsable du traitement, qui peut décider :

  • soit de traiter les données au sein de son organisation, par exemple en habilitant des collaborateurs à traiter les données sous son autorité directe
  • soit de déléguer tout ou partie des activités de traitement à une organisation extérieure, comme l’indique l’exposé des motifs de la proposition modifiée de la Commission, par «une personne juridiquement distincte du responsable mais agissant pour son compte»

Par conséquent, les deux conditions fondamentales pour agir en qualité de sous-traitant sont :

  • d’une part, d’être une entité juridique distincte du responsable du traitement
  • d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier.

L’activité de traitement peut se limiter à une tâche ou un contexte bien précis, ou être plus générale et étendue.

En outre, le rôle de sous-traitant ne découle pas de la nature de l’entité traitant des données mais de ses activités concrètes dans un cadre précis.

En d’autres termes, la même entité peut agir à la fois en qualité de responsable du traitement pour certaines opérations de traitement et en tant que sous-traitant pour d’autres opérations, et la qualification de responsable ou de sous-traitant doit être évaluée au regard d’un ensemble spécifique de données ou d’opérations.

L’aspect le plus important est l’exigence que le sous-traitant agisse «…pour le compte du responsable de traitement…». «Agir pour le compte de» signifie servir les intérêts d’un tiers et renvoie à la notion juridique de délégation.

Dans le cas de la législation relative à la protection des données, un sous-traitant est amené à exécuter les instructions données par le responsable du traitement, au moins en ce qui concerne la finalité du traitement et les éléments essentiels des moyens.

Dans cette perspective, la licéité de l’activité de traitement de données du sous-traitant est déterminée par le mandat donné par le responsable du traitement. Un sous-traitant qui outrepasse son mandat et acquiert un rôle important dans la détermination des finalités ou des moyens essentiels du traitement est davantage un (co)responsable qu’un sous-traitant.

A cet égard, l’article 35 de la loi informatique et libertés prévoit que « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

Ainsi, est-il fait obligation pour le responsable du traitement de définir contractuellement la mission confiée au sous-traitant.

II) Les conditions de recours à la sous-traitance

Deux conditions doivent être remplies pour que le responsable d’un traitement de données à caractère personnel puisse avoir recours à un sous-traitant.

Une condition additionnelle s’ajoute lorsque c’est le sous-traitant qui souhaite sous-traiter tout ou partie de la mission qui lui est confiée.

==> Première condition : la présentation de garanties suffisantes

L’article 28, §1 du RGPD prévoit que lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

Le considérant 81 précise que le responsable du traitement ne doit faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement.

Pratiquement, afin de fournir au responsable du traitement les garanties suffisantes, cela signifie pour le sous-traitant que :

  • Dès la conception de ses outils, applications et services ils intègrent de façon effective les principes relatifs à la protection des données
  • Par défaut ses outils, applications et services garantissent que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès.

Selon la CNIL, la constitution de ces garanties peut, par exemple, impliquer :

  • De permettre au responsable du traitement de paramétrer par défaut et a minima la collecte de données et ne pas rendre techniquement obligatoire le renseignement d’un champ facultatif
  • De ne collecter que les données strictement nécessaires à la finalité du traitement (minimisation des données) de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée
  • De gérer des habilitations et droits d’accès informatiques « donnée par donnée » ou sur demande des personnes concernées (pour les réseaux sociaux par exemple)

Le §5 de l’article 28 ajoute que l’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes.

==> Seconde condition : l’établissement d’un contrat de sous-traitance

L’article 28, §3 du RGPD subordonne le recours à un sous-traitant au respect d’une seconde condition, soit à l’établissement d’un contrat de sous-traitance.

Cette disposition prévoit en ce sens que le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement.

Ce contrat doit définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées.

Il doit, en outre, se présenter sous une forme écrite, y compris au format électronique.

Le considérant 81 précise qu’il doit être tenu compte, pour ce faire, des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée.

A cet égard, le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission.

Outre ces informations qui doivent figurer au contrat, l’article 28, §3 dispose que le contrat de sous-traitance doit prévoir, notamment, que le sous-traitant :

  • Ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;
  • Veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
  • Prend toutes les mesures requises en vertu de l’article 32, soit celles relatives à la sécurité du traitement des données
  • Respecte les conditions visées aux paragraphes 2 et 4 de l’article 28 du RGPD pour recruter un autre sous-traitant, ce qui signifie notamment que le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement.
  • Tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;
  • Aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant (sécurité du traitement, notification des violations de données et analyse d’impact) ;
  • Selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel ;
  • Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. En ce qui concerne ce dernier point, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

==> Condition additionnelle en cas de sous-traitance par un sous-traitant

L’article 28, §2 du RGPD dispose que « le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. »

Ainsi, le recours par un sous-traitant à un sous-traitant est-il subordonné à l’autorisation préalable du responsable du traitement.

Cette autorisation peut être, au choix des parties, spécifique, c’est-à-dire accordée pour un sous-traitant particulier, ou générale.

Dans ce dernier cas, un certain nombre de règles devront être observées par le sous-traitant.

L’article 28 précise, en effet, que « dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements ».

Le responsable du traitement doit dès lors, en tout état de cause, être informé de tout changement intervenant dans la sous-traitance de la mission qu’il a confiée à son sous-traitant.

Surtout, il pourra s’opposer ou poser des conditions dans l’hypothèse où le prestataire retenu par son sous-traitant pour exécuter tout ou partie de la mission confiée ne lui conviendrait pas.

III) Les obligations qui incombent au sous-traitant

Deux sortes de sous-traitant peuvent être distinguées :

  • Le sous-traitant du responsable du traitement
  • Le sous-traitant du sous-traitant

A) Les obligations qui incombent au sous-traitant du responsable du traitement

Depuis l’adoption du RGPD, l’obligation qui incombe au sous-traitant ne se limite pas seulement au respect des conditions de sécurité du traitement, comme tel était le cas sous l’empire du droit antérieur.

Désormais, les obligations qui s’imposent à lui sont bien plus nombreuses et contraignantes.

A cet égard, il ressort du RGPD que ces obligations sont au nombre de trois :

==> L’obligation de transparence et de traçabilité

L’obligation de transparence et de traçabilité qui échoit au sous-traitant s’infère de plusieurs devoirs que le RGPD met à sa charge :

  • Devoir d’établir avec le responsable du traitement un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du règlement européen.
  • Devoir de recenser par écrit les instructions adressées au sous-traitant afin de prouver qu’il agit « sur instruction documentée du responsable de traitement»
  • Devoir de demander l’autorisation écrite du responsable du traitement afin de déléguer la mission confiée à un sous-traitant
  • Devoir de mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations du sous-traitant et pour permettre la réalisation d’audits.
  • Devoir de tenir un registre qui recense les clients pour le compte desquels le sous-traitant opère et qui décrit les traitements effectués pour leur compte.

==> L’obligation de sécurité du traitement

L’obligation de sécurité du traitement implique, pour le sous-traitant :

  • D’assurer la confidentialité des données traitées pour le compte des responsables de traitement
  • De notifier au responsable du traitement toute violation de ses données
  • De prendre toute mesure utile pour garantir un niveau de sécurité adapté aux risques encourus par le traitement.
  • Au terme de la prestation et selon les instructions du responsable du traitement
    • De supprimer, toutes les données et les lui restituer.
    • De détruire les copies existantes sauf obligation légale de les conserver.

==> L’obligation d’assistance, d’alerte et de conseil

L’obligation d’assistance, d’alerte et de conseil implique pour le sous-traitant de :

  • Alerter le responsable du traitement si l’une de ses instructions est constitutive d’une violation des règles en matière de protection des données
  • Assister le responsable du traitement, dans la mesure du possible, quant à la prise en charge d’une demande formulée par la personne concernée d’exercice de ses droits (accès, rectification, effacement, portabilité, opposition, ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage)
  • Aider le responsable du traitement à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.

III) Les obligations qui incombent au sous-traitant du sous-traitant

L’article 28, § 4 du RGPD prévoit que « lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement ».

Ainsi, le sous-traitant du sous-traitant est-il soumis aux mêmes obligations que le sous-traitant du responsable du traitement.

Reste que lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

Pour rappel, il ressort des articles 82 et 83 du RGPD que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part, tant du responsable de traitement, que du sous-traitant.

Par ailleurs, le sous-traitant est susceptible de faire l’objet de sanctions administratives importantes pouvant s’élever, selon la catégorie de l’infraction, jusqu’à 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 2% ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.

Il convient, dans ces conditions, pour le sous-traitant de faire preuve d’une extrêmement vigilance lorsqu’il sous-traite la mission qui lui a été confiée par le responsable du traitement. Son statut ne l’exonère pas de sa responsabilité.

RGPD: le droit de rectification

Tandis que pèse sur le responsable du traitement un certain nombre d’obligations, la personne concernée jouit de plusieurs droits qui lui conférés par la loi informatique et libertés et le RGPD.

Au nombre de ces droits figurent le droit de rectification des données à caractère personnel.

Le droit de rectification est le pendant de l’obligation qui échoit au responsable du traitement de traiter, en application de l’article 6, 4° de la LIL, des données à caractère personnel « exactes, complètes, si nécessaire, mises à jour ».

Pour assurer le respect de cette obligation, il appartient au responsable du traitement de « prendre les mesures appropriées pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».

A cet égard, dans une délibération du 1er mars 2016, la CNIL a précisé que « l’article 6-4° consiste sans ambiguïté en une obligation de résultat en ce qu’il impose au responsable de traitement de garantir l’exactitude des données à caractère personnel qu’il traite en prenant toutes les mesures utiles afin de rectifier ou d’effacer les données inexactes. Le droit pour les personnes concernées d’obtenir du responsable de traitement la rectification ou l’effacement de données inexactes, énoncé à l’article 40 de la loi Informatique et Libertés, est le corollaire de cette obligation. Il s’agit ainsi pour ce dernier d’atteindre un objectif déterminé et non de déployer ses meilleurs efforts afin d’y parvenir » (CNIL Délib. 2016-053 du 1 mars 2016).

Reste qu’il s’infère du RGPD que l’exigence d’un traitement portant sur des données exactes et complètes est une obligation, non pas de résultat mais de moyen.

Le texte prévoit, en effet, que « toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ».

Dans l’hypothèse où les données traitées par le responsable du traitement ne seraient pas complètes, exactes ou non actualisées, la personne concernée dispose d’un droit de rectification.

==> Le contenu du droit de rectification

L’article 16 du RGPD prévoit en ce sens que « la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire ».

De son côté, l’article 40 de la LIL dispose que « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. »

Il ressort de cette disposition que le droit de rectification est entendu par les textes dans un sens large.

Cette rectification peut, en effet, consister à appliquer plusieurs traitements sur les données visées.

Elles peuvent, en effet, être :

  • Rectifiées
  • Complétées
  • Mises à jour
  • Verrouillées

Pour ce faire, il est cependant nécessaire que ces données soient :

  • Inexactes
  • Incomplètes
  • Équivoques
  • Périmées

Dans l’hypothèse où les données visées par la demande de rectification seraient parfaitement exactes et n’auraient pas été collectées en contravention de la LIL, le responsable du traitement sera légitimement en droit de refuser de procéder à la rectification sollicitée.

==> L’exercice du droit de rectification

  • Le destinataire de la demande
    • La demande de rectification doit être adressé au responsable du traitement qui est le débiteur de l’obligation
    • Il est donc inopérant de formuler cette demande auprès de la CNIL
  • La justification de l’identité
    • Pour accéder à la demande de la personne concernée, le responsable du traitement sera fondé à exiger du demander qu’il justifie son identité.
    • Il ne devra pas, néanmoins, lui imposer des pièces justificatives qui seraient disproportionnées eu égard à la demande formulées
  • Le coût de la demande
    • L’exercice du droit de rectification est gratuit, de sorte que le demandeur ne saurait supporter aucune charge.
    • A cet égard, l’article 40, I, al. 4 de la LIL prévoit que lorsqu’il obtient une modification de l’enregistrement, l’intéressé est en droit d’obtenir le remboursement des frais correspondant au coût de la copie

==> L’exécution du droit de rectification

  • Délai
    • A réception de la demande de rectification, le responsable du traitement devra s’exécuter dans les meilleurs délais et, au plus tard, dans un délai d’un mois.
    • En cas d’absence de réponse du responsable du traitement dans le délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.
  • Preuve
    • L’article 40, I de la LIL prévoit que lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent.
    • En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.

RGPD: le registre des activités de traitement

L’article 30 du RGPD dispose que « chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité ».

Ce registre participe de la documentation de la conformité. Document de recensement et d’analyse, il doit refléter la réalité des traitements de données personnelles mis en œuvre par le responsable du traitement et permettre d’identifier précisément :

  • Les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
  • Les catégories de données traitées,
  • A quoi servent ces données (ce que qu’on en fait), qui accède aux données et à qui elles sont communiquées,
  • Combien de temps les données collectées sont conservées,
  • Comment elles sont sécurisées.

Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de la conformité au RGPD. Il permet de documenter les traitements de données

I) Les personnes chargées de tenir le registre

Il ressort de l’article 30, 5 du RGPD que l’obligation de tenue d’un registre des activités de traitement ne s’applique pas à toutes les structures.

==> Principe

L’obligation de tenue d’un registre des activités de traitement incombe à toutes les structures qui comportent plus de 250 salariés.

Dès lors que ce seuil est dépassé, le responsable du traitement a l’obligation de constituer ce registre, quand bien même aucun DPD n’a été désigné.

Par ailleurs, l’obligation de tenir un registre s’applique, tant au responsable du traitement, qu’au sous-traitant.

L’article 30, 2 du RGPD énonce en ce sens que chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.

==>Exception

Par exception à l’obligation qui s’impose au responsable du traitement et au sous-traitant, l’article 30, 5 du RGPD prévoit que l’obligation de tenue d’un registre ne s’applique pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si :

  • Le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel

OU

  • Le traitement porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions.

II) Le contenu du registre

Avant l’entrée en vigueur du RGPD, la loi Informatique et Libertés imposait aux responsables de traitements de données personnelles, sauf exceptions, d’accomplir des formalités déclaratives auprès de la CNIL.

A cet égard, cette dernière recommande que le registre tenu par le responsable du traitement, en application de la nouvelle réglementation, fasse état, tant des traitements qui avaient donné lieu, avant l’entrée en vigueur du RGPD, à des déclarations préalables que de ceux intervenus après son adoption.

A) Les traitements antérieurs au 25 mai 2018

Pour les traitements intervenus avant le 25 mai 2018, il est possible d’intégrer au registre prévu par les formalités accomplies lors de la déclaration de ces traitements, soit :

  • Les déclarations simplifiées ;
  • Les déclarations ordinaires ;
  • Les déclarations normales ;
  • Les demandes d’avis ;
  • Les demandes d’autorisation ;
  • Les demandes d’autorisation recherches médicales ;
  • Les demandes d’autorisation évaluation de pratiques de soins.

Il peut être observé que les listes qui concernent les formalités accomplies entre 1979 et le 25 mai 2018 par les responsables publics et privés mettant en œuvre des fichiers, dispositifs ou applications traitant des données relatives à des personnes physiques sont mises à disposition pour une durée de 10 ans à compter du 25 mai 2018 : https://www.cnil.fr/fr/les-formalites-prealables-accomplies-aupres-de-la-cnil-avant-le-25-mai-2018

Reste que dans certains cas, le responsable du traitement était dispensé d’accomplir des formalités :

  • Les organismes, publics ou privés, qui avaient désigné un Correspondant Informatique et Libertés (CIL) étaient ainsi dispensés, depuis octobre 2005, d’accomplir certaines formalités (déclarations) auprès de la CNIL.
  • La CNIL avait également dispensé de déclaration certains traitements de données personnelles courants.

D’autres traitements étaient encore dispensés, non pas de déclaration, mais de la publication de l’acte réglementaire qui les autorise :

  • Les données relatives à certains traitements mis en œuvre par l’Etat (article 26 III de la loi Informatique et Libertés en vigueur avant le 25 mai 2018) étaient également dispensées de publication.
  • Les traitements mis en œuvre par des particuliers (ex. : vidéosurveillance de leur habitation dans laquelle interviennent des employés à domicile), susceptibles de comporter des informations relatives à leur vie privée, ne sont pas concernés par cette publication.

Pour ces traitements dispensés de déclaration ou de publication, s’il n’est pas nécessaire d’en faire mention sur le registre des activités, il doit, en revanche, être fait état de l’exemption dont ils bénéficient.

B) Les traitements postérieurs au 25 mai 2018

  1. Le registre du responsable du traitement

L’article 30, 1 du RGPD prévoit que le registre des activités de traitement doit mentionner les informations suivantes :

  • Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
  • Les finalités du traitement ;
  • Une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
  • Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

2. Le registre du sous-traitant

S’agissant du registre tenu par le sous-traitant, en application de l’article 30, 2 du RGPD il doit comporter :

  • Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;
  • Les catégories de traitements effectués pour le compte de chaque responsable du traitement (par exemple : pour la catégorie « service d’envoi de messages de prospection », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.)
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

III) Les modalités de tenue du registre

Compte tenu des informations qui doivent figurer sur le registre, celui-ci doit nécessairement prendre la forme d’un écrit.

L’article 30, 3 prévoit en ce sens que 3 le registre se présente « sous une forme écrite y compris la forme électronique. »

Pour faciliter la tenue de ce registre, la CNIL propose un modèle de registre de base, destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures (TPE-PME, associations, petites collectivités, etc.).

La CNIL recommande, dans la mesure du possible, d’enrichir le registre de mentions complémentaires afin d’en faire un outil plus global de pilotage de la conformité.

Le registre doit être mise à jour régulièrement au gré des évolutions fonctionnelles et techniques des traitements de données.

En pratique, toute modification apportée aux conditions de mise en œuvre de chaque traitement inscrit au registre (nouvelle donnée collectée, allongement de la durée de conservation, nouveau destinataire du traitement, etc.) doit être portée au registre.

IV) La mise à disposition du registre

==> La communication du registre à la CNIL

L’article 30, 4 du RGPD prévoit que le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant doivent metttre le registre à la disposition de l’autorité de contrôle sur demande.

Elle pourra en particulier l’utiliser dans le cadre de sa mission de contrôle des traitements de données.

==> La communication du registre aux personnes

La CNIL rappelle que selon que le registre est tenu par un organisme public ou privé, sa communication peut être autorisée ou interdite

  • S’agissant des organismes du secteur public
    • Ils sont tenus de communiquer le registre à toute personne qui en fait la demande, car il s’agit d’un document administratif, communicable à tous, au sens du code des relations entre le public et l’administration.
    • Toutefois, le registre communiqué doit être occulté de toute information dont la divulgation pourrait en particulier porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information.
  • S’agissant des organismes privés
    • Ils ne sont pas tenus de communiquer le registre au public.
    • Néanmoins, ils peuvent, s’ils l’estiment opportun, le communiquer aux personnes qui en font la demande.

RGPD: le principe du consentement

Par principe, un traitement de données à caractère personnel ne peut être mis en œuvre qu’à la condition d’avoir recueilli préalablement le consentement de la personne concernée.

A défaut, sauf à rentrer dans le champ d’application d’une exception, le traitement est illicite, ce qui est de nature à exposer le responsable à des sanctions.

La question qui immédiatement se pose est alors de savoir ce que l’on doit entendre par consentement ?

Simple en apparence, l’appréhension de la notion de consentement n’est pas sans soulever de nombreuses difficultés.

L’altération de la volonté d’une personne est, en effet, susceptible de renvoyer à des situations très diverses :

  • La personne concernée peut être atteinte d’un trouble mental
  • Le consentement de la personne peut avoir été obtenu sous la contrainte physique ou morale
  • La personne concernée peut encore avoir été conduite à accepter le traitement sans que son consentement ait été donné en connaissance de cause, car une information déterminante lui a été dissimulée
  • Elle peut également s’être engagé par erreur

Il ressort de toutes ces situations que le défaut de consentement d’une personne peut être d’intensité variable et prendre différentes formes.

Aussi, convient-il de déterminer quels sont les caractères que doit présenter le consentement d’une personne faisant l’objet d’un traitement de données à caractère personnel pour être valable.

I) La qualité du consentement

Tandis que la LIL ne définit pas la notion de consentement, le RGPD remédie à ce silence textuel en le définissant comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Il ressort de cette définition que pour être valable, le consentement doit consister en :

  • Une manifestation de volonté par laquelle la personne concernée accepte le traitement
  • Une manifestation de volonté libre
  • Une manifestation de volonté spécifique
  • Une manifestement de volonté informée
  1. Une manifestation de volonté par laquelle la personne concernée accepte le traitement

La question qui ici se pose est de savoir ce que l’on doit entendre par manifestation de volonté.

Pour le déterminer, il convient de se reporter au considérant n°32 du RGPD dont on peut tirer plusieurs enseignements.

  • Un acte positif
    • Si le texte ne limite pas les formes que peut revêtir le consentement, il doit en tout état de cause s’agi d’une manifestation de volonté, soit d’un acte positif.
    • L’exigence selon laquelle la personne concernée doit « donner » son consentement semble indiquer qu’une simple absence d’action est insuffisante et qu’une action quelconque est nécessaire pour constituer un consentement, bien que différents types d’action, à apprécier «selon le contexte», soient possibles.
    • Ainsi, il ne saurait y avoir de consentement en cas de silence, ce qui pourrait se traduire par l’inaction de la personne concernée ou par des cases cochées par défaut.
    • La manifestation de volonté peut se faire au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale.
    • Cette manifestation de volonté peut encore se faire en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel.
  • Un acte positif clair
    • Une manifestation de volonté en elle-même n’est pas suffisante à établir le consentement au traitement de la personne concernée.
    • Cette manifestation de volonté ne doit pas être équivoque : elle doit être indubitable
    • Pour qu’un consentement soit indubitable, la procédure relative à l’obtention et à l’octroi du consentement ne doit laisser aucun doute quant à l’intention de la personne concernée de donner son consentement.
    • En d’autres termes, la manifestation de volonté par laquelle la personne concernée marque son accord ne doit laisser aucune ambiguïté quant à son intention.
    • S’il existe un doute raisonnable sur l’intention de la personne concernée, il y a ambiguïté.
  • La portée de la manifestation de volonté
    • Le consentement donné par la personne concernée vaut pour toutes les activités de traitement ayant la ou les mêmes finalités.
    • Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour l’ensemble d’entre elles.
    • Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé.

2. Une manifestation de volonté libre

Pour être valable, le consentement de la personne concernée doit avoir été donné sans contrainte.

Le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix et s’il n’y a pas de risque de tromperie, d’intimidation, de coercition ou de conséquences négatives importantes si elle ne donne pas son consentement.

Si les conséquences du consentement sapent la liberté de choix des personnes, le consentement n’est pas libre.

C’est le cas, par exemple, lorsque la personne concernée est sous l’influence du responsable du traitement, dans le cadre d’une relation de travail, notamment.

Dans ce cas, même s’il n’en est pas nécessairement toujours ainsi, la personne concernée peut se trouver dans une situation de dépendance vis-à-vis du responsable du traitement – en raison de la nature de la relation ou de circonstances particulières – et peut craindre d’être traitée différemment si elle n’accepte pas le traitement de ses données.

Le Groupe de l’article 29 a eu l’occasion d’affirmer que «le consentement libre désigne une décision volontaire, prise par une personne en pleine possession de ses facultés, en l’absence de toute coercition, qu’elle soit sociale, financière, psychologique ou autre ».

3. Une manifestation de volonté spécifique

Pour être valable, le consentement ne doit pas seulement être libre, il doit également être spécifique.

En d’autres termes, un consentement général, sans préciser la finalité exacte du traitement, n’est pas valable.

Pour être spécifique, le consentement doit mentionner, de façon claire et précise, l’étendue et les conséquences du traitement des données. Il ne peut pas s’appliquer à un ensemble illimité d’activités de traitement.

En d’autres termes, le contexte dans lequel le consentement s’applique est limité.

Le consentement doit être donné sur les différents aspects, clairement définis, du traitement. Il couvre notamment les données qui sont traitées et les finalités pour lesquelles elles le sont.

Un « consentement spécifique » est dès lors intrinsèquement lié au fait que le consentement doit être informé.

En principe, il devrait suffire que les responsables du traitement obtiennent un consentement unique pour les différentes opérations, si celles-ci relèvent des attentes raisonnables de la personne concernée.

La Cour de justice de l’Union européenne s’est prononcée sur cette question dans un arrêt du 5 mai 2001, dans le cadre d’une question préjudicielle posée sur l’article 12, paragraphe 2, de la directive « vie privée et communications électroniques ».

Cette question portait sur la nécessité du renouvellement du consentement des abonnés qui ont déjà consenti à la publication de leurs données personnelles dans un annuaire, afin que celles-ci soient transférées en vue de leur publication par d’autres services d’annuaire.

La Cour a jugé que, dès lors que l’abonné a été correctement informé de la possible transmission des données à caractère personnel le concernant à une entreprise tierce et que celui-ci a consenti à la publication desdites données dans un tel annuaire, la transmission de ces données n’exige pas de nouveau consentement de la part de l’abonné, s’il est garanti que les données concernées ne seront pas utilisées à des fins autres que celles pour lesquelles elles ont été collectées en vue de leur première publication (CJUE,  5 mai 2001 Aff.  C-543/09, Deutsche Telekom AG)

4. Une manifestement de volonté informée

Il ressort du RGPD que le consentement de la personne concernée par le traitement doit être informée.

Selon le Groupe de l’article 29 cela signifie que qu’« un consentement … doit être fondé sur l’appréciation et la compréhension des faits et des conséquences d’une action. La personne concernée doit recevoir, de façon claire et compréhensible, des informations exactes et complètes sur tous les éléments pertinents, en particulier ceux spécifiés aux articles 10 et 11 de la directive, tels que la nature des données traitées, les finalités du traitement, les destinataires d’éventuels transferts et ses droits. Cela suppose également la connaissance des conséquences du refus de consentir au traitement des données en question ».

Autrement dit, la personne concernée doit être à même de consentir au traitement en toute connaissance de cause.

Afin de satisfaire cet objectif, il convient donc que les informations qui lui sont fournies appropriées.

Deux exigences doivent alors être remplies qui tiennent à :

  • La qualité des informations: la manière dont les informations sont communiquées (texte en clair, sans jargon, compréhensible, visible) est capitale pour apprécier si le consentement est « informé ». La manière dont les informations doivent être fournies dépend du contexte. Un utilisateur régulier/moyen devrait être en mesure de les comprendre ;
  • L’accessibilité et la visibilité des informations: les informations doivent être communiquées directement à la personne concernée. Il ne suffit pas que les informations soient « disponibles » quelque part.

II) La preuve du consentement

Le considérant n°42 du RGPD énonce que lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement.

Il échoit, en conséquence, aux responsables de traitements de données à caractère personnel de conserver les preuves attestant que le consentement a effectivement été donné par la personne concernée.

A cet égard, des déclarations expresses pour marquer un accord, comme un accord signé ou une déclaration écrite attestant la volonté de consentir sont des procédures ou des mécanismes qui se prêtent particulièrement bien à la fourniture d’un consentement indubitable.

Plus délicate en revanche est le système des cases à cocher :

  • Les cases à cocher
    • Sur le principe, un système de cases à cocher assorties, par exemple, de la mention « j’accepte les conditions générales d’utilisation», est admis pour recueillir le consentement de la personne concernée.
    • Dans une délibération 2013-420 du 3 janvier 2014 la CNIL a néanmoins posé des limites.
    • Elle a, en effet, considéré que ce système n’était autorisé que lorsque les informations relatives au traitement de données à caractère personnel étaient facilement accessibles.
    • La Commission a ainsi été conduite à sanctionner Google en suite de la modification de sa politique de confidentialité.
    • En l’espèce, le consentement se manifesterait par le fait que l’utilisateur coche la case matérialisant son accord aux conditions d’utilisation et aux règles de confidentialité.
    • Pour Google, ce consentement était éclairé dans la mesure où les informations données étaient suffisamment précises sur les opérations de traitement des données.
    • La CNIL relève toutefois que la mention de cette faculté de combinaison n’apparaît qu’au milieu des règles de confidentialité, dans le dernier tiers de la rubrique intitulée « Comment nous utilisons les données que nous collectons ».
    • Cette information, alors qu’elle a trait à une modification essentielle de la politique de confidentialité de la société, n’était donc pas accessible aux utilisateurs en première intention.
    • Par ailleurs, elle ne se distinguait pas des développements qui l’entourent, eux-mêmes formulés en termes généraux, notamment quant à la description des traitements de données.
    • Il était donc impossible de considérer en l’espèce que le fait de cliquer sur la case J’accepte des conditions d’utilisation puisse être considéré comme un accord explicite et spécifique à cette combinaison.
    • Pour être valable, le formulaire de consentement assorti de cases à cocher doit être suffisamment précis pour permettre à la personne de consentir en toute connaissance de cause.
  • Le recueil du consentement par défaut
    • Les cases pré-cochées
      • Les cases pré-cochés ne sont pas admises par la CNIL dans la mesure où la personne concernée reste passive.
      • Or l’exigence d’un consentement indubitable ne cadre pas bien avec les procédures d’obtention d’un consentement reposant sur l’inaction ou le silence des personnes concernées.
      • En effet, le silence ou l’inaction d’une partie comporte une ambiguïté intrinsèque (la personne concernée pourrait avoir voulu donner son accord ou pourrait simplement avoir voulu ne pas exécuter l’action).
    • Les courriers
      • Il y a pareillement ambiguïté lorsque des personnes sont réputées avoir donné leur consentement lorsqu’elles n’ont pas répondu à une lettre les informant que l’absence de réponse vaut consentement.
      • Dans ce type de situation, le comportement de la personne (ou plutôt son absence d’action) soulève de sérieux doutes sur le fait que la personne ait voulu marquer son accord.
      • Le fait que la personne n’ait pas effectué d’action positive ne permet pas de conclure qu’elle a donné son consentement.
      • Par conséquence, l’exigence de consentement indubitable ne sera pas satisfaite.
      • A cet égard, le groupe de travail a déclaré qu’un consentement fondé sur le silence de la personne est inadéquat dans le contexte de l’envoi de courriers électroniques à des fins de prospection directe.

III) Le consentement des enfants

Alors que la directive du 24 octobre 1995 n’abordait pas la question du consentement des mineurs, exposés tout autant au les majeurs, à des traitements de données à caractère personnel, le RGPD posent des conditions spécifiques applicables au consentement des enfants.

Le législateur européen justifie cette démarche en arguant que les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel.

Cette protection spécifique doit, notamment, s’appliquer à l’utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d’utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l’utilisation de services proposés directement à un enfant.

A cet égard, l’article 8 du RGPD prévoit que « en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. »

Ainsi, cette disposition opère une distinction entre

  • D’une part, les enfants âgés de plus de 16 ans qui sont présumés être en mesure de consentir seuls, soit sans l’intervention de leurs représentants légaux, à un traitement de données à caractère personnel
  • D’autre part, les enfants âgés de moins de 16 ans qui, pour consentir à un traitement de données à caractère personnel, doivent obtenir l’autorisation de leurs représentants légaux

Le texte confère aux États membres une marge de manœuvre, en ce qu’ils peuvent prévoir par la loi un âge inférieur pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans. Le législateur français a retenu comme limite, l’âge de 15 ans.

Lorsque le mineur n’a pas atteint l’âge limite, le RGPD précise qu’il appartient au responsable du traitement de vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.

RGPD: le principe de proportionnalité

§1 : Les textes

La LIL prévoit en son article 6, 3° que les données à caractère personnel « sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

Quant au RGPD, l’article 5, c) dispose que « les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».

Il ressort de ces deux disposions que tout traitement de données à caractère personnel doit être guidé par l’observance du principe de proportionnalité.

Ce principe est issu de la directive du 24 octobre 1995 qui avait posé cette exigence. Le RGPD le qualifie encore de principe de minimisation des données.

§2 : Exposé du principe

Au fond, la règle véhiculée par le principe de proportionnalité est que seules les données à caractères personnel qui sont indispensables à l’opération envisagée ne peuvent faire l’objet d’un traitement. A défaut, le traitement est illicite.

La question qui alors se pose est de savoir à partir de quand peut-on considérer que le traitement d’une donnée à caractère personnel est indispensable.

Pour le déterminer il convient de se reporter à deux considérations que sont :

  • La finalité du traitement
  • La nature des données collectées

==> S’agissant de la finalité du traitement

Il convient de se reporter à la finalité déclarée par le responsable du traitement afin de déterminé si celui-ci est proportionné.

Exemples :

  • Décision n° 2010-113 du 22 av. 2010 (ACADOMIA)
    • Les faits
      • La société ACADOMIA a pour activité principal de sélectionner des enseignants puis de proposer leurs services de soutien scolaire à ses clients, majoritairement des parents d’élèves.
      • Les enseignants ne sont pas recrutés par la société, mais par les familles l’ayant mandatée à ces fins.
      • En sa qualité de mandataire, la société gère ainsi pour le compte de ses clients tous les aspects commerciaux et de gestion de cette relation parent-enseignant, y compris l’accomplissement des formalités requises par l’URSSAF et les organismes de sécurité sociale lorsque ses clients souhaitent en être déchargés.
      • Sur son site web, la société enregistrait des commentaires sur les enseignants et les clients.
        • Ont ainsi été relevés la présence de mentions telles que :
          • Hyper hyper hyper stressée
          • Sa bouche tremble quand elle me parle
          • Le problème c’est qu’elle sent très mauvais (renfermé, sueur, tabac) malgré tout jeune femme très jolie et qui a un passé difficile (a eu une leucémie) , négligé, pas sain, sent le tabac et la cave, a l’air à l’ouest… , petit détail annexe : sent mauvais de la bouche
          • ATTENTION : présente mal /sent l’alcool / parle bizarrement , sent la transpiration (ne connait pas le déo) ;
          • GROS CON!! BEAUCOUP TROP SUR DE LUI NE SURTOUT PAS CONVOQUE .
    • La décision
      • La CNIL a considéré qu’il était parfaitement légitime de procéder à la collecte d’informations concernant les élèves et leurs parents, en vue d’adapter les prestations fournies par la société aux situations individuelles et de faciliter la relation commerciale avec la clientèle.
      • Elle a encore estimé légitime de collecter des informations concernant les enseignants qui seront amenés à travailler au contact d’enfants, dès lors que cette collecte a pour objet de permettre à la société d’évaluer leurs compétences professionnelles et leur aptitude à dispenser des cours.
      • En revanche, elle a jugé qu’on ne saurait admettre que soient enregistrés des commentaires excessifs et inappropriés sur ces personnes, qui seraient susceptibles de porter gravement atteinte à leur vie privée.
      • Ainsi, pour la CNIL, le traitement des données n’était pas proportionné à la finalité poursuivie.
  • Décision n°2010-112 du 22 octobre 2010
    • Les faits
      • La CNIL a été saisie le 24 juin 2009 d’une plainte d’un salarié de la société, relative à la mise en œuvre en 2006 d’un dispositif de vidéosurveillance sur le lieu de travail
      • Le plaignant reprochait notamment à la société de n’avoir pas effectué de formalités préalables auprès de la CNIL concernant ce dispositif, de n’avoir pas informé les institutions représentatives du personnel et de n’avoir mis en place aucun support d’information sur la vidéosurveillance.
      • A la demande du comité d’entreprise de la société, celle-ci a effectivement mis en place un système de vidéosurveillance sur l’un de ses sites.
      • L’installation de ce dispositif répondait à des actes de dégradation et de vols commis sur ce site.
      • Le dispositif installé visait le local de repos des salariés (concernés par les dégradations et le vol précités), ainsi que le parking et un bureau de travail.
      • La société n’avait procédé à aucune formalité préalable concernant ce dispositif installé en 2006.
    • La décision
      • Dans cette affaire, la CNIL a jugé le traitement de données à caractère personnel effectué par la société illicite, en conséquence de quoi elle a ordonné l’interruption dudit traitement.
      • Pour la Commission
        • D’une part, le dispositif mis en place n’est pas justifié au regard de la nature des tâches accomplies par les salariés et disproportionné par rapport à l’objectif de sécurité, dès lors qu’il apparaît que ce dispositif place les salariés sous la surveillance constante de leur employeur
        • D’autre part, il a été relevé que la console du poste de gardiennage permettait d’accéder à des enregistrements vidéo conservés depuis plus de deux mois au jour du contrôle sur place. Or il s’agit là d’une durée a priori excessive au regard de la finalité du traitement, et en tout état de cause contraire aux engagements pris par la société dans sa déclaration effectuée auprès de la CNIL qui prévoyait une durée de conservation d’un mois.
  • Décisions du 17 décembre 2009 n°5335/06 B.B. c. France (n°5335/06) et n°22115/06 Gardel c. France et M.B. c. France
    • Les requérants dans ces affaires, qui avaient été condamnés à des peines de réclusion criminelle de viol sur mineurs de 15 ans par personne ayant autorité, se plaignaient en particulier de leur inscription au Fichier judiciaire national automatisé des auteurs d’infractions sexuelles (« FIJAIS »).
    • Dans les trois affaires, la Cour a conclu à la non-violation de l’article 8 de la Convention, jugeant que l’inscription au FIJAIS, telle qu’elle avait été appliquée aux requérants, avait ménagé un juste équilibre entre les intérêts privés et publics concurrents en jeu.
    • La Cour a réaffirmé en l’espèce que la protection des données à caractère personnel joue un rôle fondamental dans le respect de la vie privée et familiale, d’autant plus quand il s’agit de données personnelles soumises à un traitement automatique, en particulier lorsque ces données sont utilisées à des fins policières.
    • Cela étant, la Cour ne saurait mettre en doute les objectifs de prévention du fichier en question. En outre, les requérants ayant la possibilité concrète de présenter une requête en effacement des données, la Cour a estimé que la durée de conservation des données – de 30 maximum – n’était pas disproportionnée au regard du but poursuivi par la mémorisation des informations.
    • Enfin, la consultation de telles données par les autorités judiciaires, de police et administratives était régie par une obligation de confidentialité et des circonstances précisément déterminées

==> S’agissant de la nature des données

Le caractère proportionné du traitement s’apprécie, non seulement au regard de la finalité poursuivie, mais encore au regard de la nature des données à caractère personnel collectées.

Exemples :

  • CEDH 4 déc. 2008, S. et Marper c. Royaume-Uni
    • Cette affaire concernait la rétention indéfinie dans une base de donnée des empreintes digitales et données ADN (échantillons cellulaires et profil ADN6) des requérants après que les procédures pénales dirigées contre eux se furent soldées par un acquittement pour l’un et un classement sans suite pour l’autre.
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que la conservation en cause s’analysait en une atteinte disproportionnée au droit des requérants au respect de leur vie privée et ne pouvait passer pour nécessaire dans une société démocratique.
    • La Cour a considéré en particulier que l’usage des techniques scientifiques modernes dans le système de la justice pénale ne pouvait être autorisé à n’importe quel prix et sans une mise en balance attentive des avantages pouvant résulter d’un large recours à ces techniques, d’une part, et des intérêts essentiels s’attachant à la protection de la vie privée, d’autre part, et que tout État revendiquant un rôle de pionnier dans l’évolution de nouvelles technologies portait la responsabilité particulière de « trouver le juste équilibre» en la matière.
    • Elle a conclu que le caractère général et indifférencié du pouvoir de conservation des empreintes digitales, échantillons biologiques et profils ADN des personnes soupçonnées d’avoir commis des infractions mais non condamnées, tel qu’il avait été appliqué aux requérants en l’espèce, ne traduisait pas un juste équilibre entre les intérêts publics et privés concurrents en jeu.
  • CE, 28 mars 2014, n° 361042, SNES
    • Par requête enregistrée le 13 juillet 2012, un syndicat avait demandé au Conseil d’État d’annuler le décret n° 2012-342 du 8 mars 2012 portant création d’un traitement automatisé de données à caractère personnel dénommé « SIRHEN » (système d’information des ressources humaines de l’éducation nationale) relatif à la gestion des ressources humaines du ministère de l’éducation nationale, de la jeunesse et de la vie associative et du ministère de l’enseignement supérieur et de la recherche.
    • La création de SIRHEN a été autorisée par le décret du 8 mars 2012 précité, publié au J.O. du 10 mars 2012, après avis motivé de la Commission nationale de l’informatique et des libertés (CNIL), en application du I de l’article 27 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
    • Ce traitement, qui réunit les différentes bases de gestion des ressources humaines du ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche en une seule application, a pour finalités la gestion administrative et financière des personnels, la gestion des moyens et le pilotage national et académique, par la production d’indicateurs statistiques.
    • En l’espèce, le Conseil d’État a rejeté la requête, à l’exception des seules dispositions des troisième et sixième alinéas du 1° du B du I de l’annexe du décret du 8 mars 2012 en tant qu’elles prévoient la collecte d’informations relatives au sexe et à la nationalité des conjoints des agents figurant dans SIRHEN.
    • Le Conseil d’État a ensuite estimé « que la liste des données à caractère personnel et des informations ainsi collectées (…) sont relatives à l’identification des agents, à leur situation familiale, à leur vie professionnelle, auxquelles s’ajoutent des éléments économiques et financiers ; que la collecte de ces catégories de données est nécessaire à la finalité légitime du traitement ; que la collecte et le traitement de données telles que le nom, le prénom, la date et le lieu de naissance, ainsi que le NIR [numéro d’inscription au répertoire] des membres de la famille des agents, nécessaires pour permettre à ces derniers de bénéficier des avantages liés à leur situation de famille, sont proportionnés au regard des finalités du traitement»
    • Le Conseil relève, en revanche, que « l’administration ne fait état, dans ses écritures, d’aucune nécessité ou utilité quant au recueil des informations relatives au sexe et à la nationalité des conjoints ou partenaires des agents ; qu’en l’absence de toute justification sur ce point, la collecte de ces informations ne peut, en l’espèce, qu’être regardée comme excessive au regard des dispositions précitées du 3° de l’article 6 de la loi du 6 janvier 1978 ».
  • CE., 26 octobre 2011, Association pour la promotion de l’image et autres
    • Par requête enregistrée le 30 juin 2008 L’association pour la promotion de l’image a saisi le Conseil d’État aux fins d’annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques, ainsi que la circulaire n° INT/1/08/00105/C du 7 mai 2008 relative au choix des deux mille communes appelées à recevoir des stations d’enregistrement des données personnelles pour le nouveau passeport
    • La requérante contestait ce décret en ce qu’il autorisait, lors de l’établissement ou du renouvellement de passeports la collecte de huit empreintes digitales au lieu de deux prévues initialement par les dispositions européenne.
    • En l’espèce, le Conseil d’État a considéré que si le ministre soutient que la conservation dans le traitement automatisé des empreintes digitales de huit doigts, alors que le composant électronique du passeport n’en contient que deux, permettrait de réduire significativement les risques d’erreurs d’identification, cette assertion générale n’a été ni justifiée par une description précise des modalités d’utilisation du traitement dans les productions du ministre, ni explicitée lors de l’audience d’instruction à laquelle il a été procédé
    • Il estime, en outre, que « l’utilité du recueil des empreintes de huit doigts et non des deux seuls figurant sur le passeport n’étant pas établie, la collecte et la conservation d’un plus grand nombre d’empreintes digitales que celles figurant dans le composant électronique ne sont ni adéquates, ni pertinentes et apparaissent excessives au regard des finalités du traitement informatisé»

La notion de destinataire du traitement

L’article 3 de la loi informatique et libertés prévoit que « le destinataire d’un traitement de données à caractère personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. »

De son côté, le RGPD définit, en son article 4, le destinataire du traitement comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. »

L’identification du destinataire du traitement permet de déterminer quelles sont les personnes qui disposent du droit d’accéder aux informations collectées et traitées.

Par exception, la loi informatique et libertés prévoit que « les autorités légalement habilitées, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires ».