CNIL : les critères de détermination du responsable de traitement, une question à 400 000 €

Qui est le responsable du traitement celui qui effectue techniquement la collecte, le traitement et l’organisation en fichier ou celui qui a demandé ces prestations pour identifier et recenser les parties prenantes du secteur afin de mettre en place une stratégie de communication ciblée ? Ces critères distinguent le responsable du traitement de son sous-traitant. L’enjeu de la réponse est ici de 400 000 € montant de l’amende prononcée par la CNIL.

Pour la CNIL, le responsable du traitement est celui qui bénéfice d’une autonomie pour déterminer la finalité et les moyens du traitement. Cette définition ressort de sa décision du 26 juillet 2021 dont de nombreux passages sont repris ci-dessous et qui en montre l’importance pratique. La délibération de la formation restreinte de la CNIL du 26 juillet 2021

  • Le contexte de cette affaire : un contrat de prestations

  1. Il ressort des investigations …. que, par un contrat cadre de prestation de services en date du 18 juillet 2013, complété par trois avenants et quatre cahiers des charges, la société M…… a confié à la société FH…………….- devenue le 1er janvier 2017 la société…………. – une mission de représentation d’intérêts concernant l’utilisation du glyphosate en Europe et dans le monde, à compter de 2016 et jusqu’au 31 mai 2019.
  • La nature des données

  1. Dans le cadre de cette prestation, la société FH…………….a procédé à l’identification et au recensement d’informations relatives à des personnalités impliquées dans le débat sur le renouvellement de l’autorisation d’utilisation du glyphosate en Europe, qui s’est notamment concrétisé par l’élaboration et la tenue d’une liste des « parties prenantes » intervenant dans le cadre de cette campagne. Ce fichier, intitulé « French M…… stakeholders database – cultivating trust » , comportait une liste de 201 personnes résidant en France, dont des membres d’associations de protection de l’environnement, d’associations d’agriculteurs, d’associations dans le domaine de la santé, d’organisations professionnelles, des personnalités politiques, des membres d’administrations, des journalistes, des universitaires et des agriculteurs. Pour chacune de ces personnes, les informations suivantes étaient renseignées : organisme de rattachement et site web, poste occupé, adresse professionnelle, numéro de téléphone fixe professionnel, numéro de téléphone portable, adresse de messagerie électronique professionnelle et, le cas échéant, compte « Twitter » .
  • Le traitement des données personnelles

  1. En outre, une note allant de 1 à 5 était attribuée à chaque personne, afin d’évaluer son influence, sa crédibilité et son soutien à la société M…… sur six sujets, en l’occurrence l’agriculture, les pesticides, les organismes génétiquement modifiés, l’environnement, l’alimentation et la santé.
  2. Le fichier comportait également une zone de commentaire libre dans laquelle pouvaient être indiqués les évènements auxquels ces personnes avaient assisté ou qu’elles avaient organisé, les personnes avec qui elles travaillaient, les contacts qu’elles avaient eus avec des représentants de la société M…… ou encore les articles qu’elles avaient publiés au sujet du glyphosate.
  • Le débat sur la qualité de responsable de traitement

La disposition invoquée du RGPD

  1. Aux termes de l’article 4 (7) du RGPD, le responsable de traitement est défini comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement « .

La position du rapporteur

  1. La rapporteure considère qu’en l’espèce, la société M…… doit être regardée comme le responsable du traitement en question dans la mesure où elle est la personne pour le compte de laquelle le traitement est mis en œuvre, qui détermine pourquoi le traitement a lieu et comment son objectif doit être atteint. En effet, le fichier en cause avait pour objet de permettre à la société M…… d’identifier et de recenser les parties prenantes du secteur afin de mettre en place une stratégie de communication ciblée en faveur du renouvellement de l’autorisation du glyphosate par la Commission européenne. Elle rappelle ainsi que c’est pour atteindre cet objectif qu’elle a décidé de confier à la société FH…………….l’ensemble des activités liées aux relations publiques et à la réputation de l’entreprise et, plus particulièrement à compter de 2016, une mission de représentation d’intérêts concernant l’utilisation du glyphosate en Europe et dans le monde et que c’est dans le cadre de cette mission que le fichier nommé « 20160822 French M…… stakeholders database – cultivating trust  » a été établi.

La position de M…… : une confusion entre bénéficiaire du service et responsable du traitement

  1. En défense, la société estime que la responsabilité du traitement incombait exclusivement à la société FH…………….et que la rapporteure confond les notions de bénéficiaire d’un service et celle de responsable de traitement. Elle souligne que c’est la société FH…………….qui, en sa qualité d’entreprise spécialisée en matière de conseil et de relations publiques, a construit le fichier de manière autonome, selon une méthodologie qu’elle a elle-même définie, puis qui l’a proposé à la société M…….
  2. La société souligne que c’est en raison de l’expertise de la société FH…………….qu’elle a fait appel à ses services et que la constitution de listes de noms est une pratique courante dans ce secteur d’activités. Elle rappelle qu’elle n’a jamais donné d’instructions à la société FH…………….quant à la façon d’effectuer cette mission et qu’elle n’a fait que réagir aux propositions faites par cette dernière.
  3. …., elle n’a jamais utilisé le fichier en question. Or, elle note que si elle avait agi en tant que responsable de traitement, elle aurait demandé à la société FH…………….de modifier le fichier à sa convenance afin d’obtenir un résultat correspondant davantage à ses attentes.
  4. La société indique en outre que la société FH…………….se présente sur son site internet comme le responsable de traitement des données traitées dans le cadre des missions qui lui sont confiées par ses clients. Elle rappelle également que c’est la société FH…………….qui a répondu aux demandes d’exercice des droits des personnes concernées en lien avec le traitement en cause.

Ce que dit la CNIL

  1. En premier lieu, …..le responsable de traitement est la personne qui détermine les finalités du traitement mis en œuvre, c’est-à-dire le résultat attendu ou recherché, et les moyens de ce traitement, c’est-à-dire la façon de parvenir à ce résultat.
  2. Les notions de responsable de traitement et de sous-traitant sont éclairées par le Comité européen de la protection des données (ci-après « le CEPD » ) dans ses lignes directrices 07/2020 adoptées le 2 septembre 2020 et soumises à consultation publique. Le CEPD y indique que « Déterminer les finalités et les moyens revient à décider respectivement du « pourquoi » et du « comment » du traitement : s’agissant d’une opération de traitement particulière, le responsable du traitement est l’acteur qui a déterminé pourquoi le traitement a lieu (c’est-à-dire « dans quel but » ou « pour quel objectif » ) et comment cet objectif doit être atteint (c’est-à-dire quels moyens doivent être utilisés pour atteindre l’objectif). Une personne physique ou morale qui exerce une telle influence sur le traitement des données à caractère personnel participe ainsi à la détermination des finalités et des moyens de ce traitement conformément à la définition de l’article 4, paragraphe 7, du RGPD. Le responsable du traitement doit décider à la fois de la finalité et des moyens de traitement décrits ci-dessous. Par conséquent, le responsable du traitement ne peut pas déterminer uniquement la finalité. Il doit également prendre des décisions sur les moyens du traitement. Inversement, la partie agissant en tant que sous-traitant ne peut jamais déterminer la finalité du traitement » (traduction libre).

Les faits établissant cette connaissance de la finalité et des moyens

  1. la société FH…………….a été plus particulièrement chargée d’établir la liste des « parties prenantes » ( « stakeholders » ) dans le cadre de la campagne pour le renouvellement de l’autorisation du glyphosate en Europe.
  2. ……………..Il apparaît ainsi que la société FH…………….était explicitement tenue d’établir la liste des parties prenantes dans le cadre de la campagne pour le renouvellement de l’autorisation du glyphosate en Europe.

39…………, il ressort de plusieurs échanges intervenus entre les deux sociétés par voie électronique que la société M…… a été étroitement associée à l’identification et au recensement des parties prenantes impliquées dans le débat sur le glyphosate, activité qui s’est notamment concrétisée par l’élaboration du fichier en question. ………………………..

Les pièces annexées au rapport de sanction attestent ainsi de l’implication de la société M…… dans le suivi des tâches réalisées par la société FH……………, et notamment l’organisation d’échanges quotidiens entre les équipes, de points hebdomadaires, mensuels et trimestriels permettant à la société M…… de suivre l’avancée des tâches confiées à FH…………….et la livraison du travail réalisé ou en cours de réalisation.

  1. La formation restreinte considère que ces échanges démontrent que la société FH…………….rendait compte à la société M…… de la progression de la campagne liée au renouvellement du glyphosate et des actions menées dans ce cadre, et surtout que cette dernière exerçait un pouvoir de direction sur les activités de la société FH……………., la privant ainsi de l’autonomie dont jouit normalement un responsable de traitement. Ces éléments démontrent que la société FH…………….a agi en tant que sous-traitant de la société M……, au sens de l’article 4(8) du RGPD.
  2. La formation restreinte souligne au contraire que c’est le fait pour la société M……, société donneuse d’ordre, de décider d’accepter la proposition faite par la société FH…………., et de lui demander contractuellement de réaliser des opérations pour son compte en tant que prestataire, qui a permis au traitement d’exister. En effet, si la société M…… avait refusé cette proposition, la société FH…………….n’aurait pas mis en œuvre ce traitement. …..

Répondre à des demandes de droit d’accès n’emporte pas la qualité de responsable du traitement

  1. En dernier lieu, la formation restreinte considère que le fait pour la société FH…………….d’avoir répondu à des demandes de droits d’accès n’emporte pas pour autant la qualification de responsable de traitement. En effet, l’article 28-3-e du RGPD prévoit que le sous-traitant « aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits » . Ainsi, au regard des spécificités du traitement, le sous-traitant peut répondre lui-même aux demandes des personnes si cette mesure permet un meilleur respect des droits des personnes. Il est d’ailleurs courant que ce soit le sous-traitant qui soit le plus à même de traiter les demandes d’exercice de droit.

La formation restreinte de la CNIL considère donc, compte tenu de ces éléments, que la société M…… doit être qualifiée de responsable de traitement.

La CNIL condamne la société  M…… en sa qualité de responsable du traitement à une amende de 400 000 €.