Archives des 25 mai 2018 - Philippe Schmitt Avocats

Le responsable du traitement au RGPD

Philippe Schmitt — Tue, 31 Oct 2017 16:48:09 +0000

RGPD et les PME/TPE : Qui exerce les fonctions de responsable du traitement ?

RGPD et les PME/TPE

Qui exerce les fonctions de responsable du traitement ?

Introduction au concept de responsable du traitement

Au cœur du RGPD se trouve la notion de responsable du traitement. Tout n'est pas nouveau dans le règlement 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Certes, le RGPD a prévu l'abrogation de la directive 95/46/CE, mais ses définitions et la jurisprudence obtenue sur celle-ci restent très utiles à partir du 25 mai 2018 comme le montrent les conclusions de l'Avocat Général qui seront suivies par la Cour de Justice le 29 juillet 2019.

En parallèle, il est important de noter la position de la CNIL particulièrement étayée dans sa décision du 26 juillet 2021.

Point essentiel :

La qualification de responsable de traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et s'appuie donc sur une analyse factuelle plutôt que formelle.

La démonstration de l'Avocat Général en octobre 2017

Dans l'affaire C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH, l'Avocat Général près de la Cour de justice a fourni une analyse fondamentale de la notion de responsable de traitement.

Résumé des faits

L'affaire porte sur un profil Facebook créé par la Wirtschaftsakademie, une structure de formation. Sa page Facebook permettait, via l'outil « Facebook Insights », d'obtenir des statistiques d'audience pour mieux cibler sa communication. Ces statistiques étaient établies à partir de cookies comportant un numéro ID unique, sauvegardé par Facebook sur le disque dur des visiteurs de la page.

L'ULD (organisme du Land de Schleswig-Holstein en charge de la protection des données personnelles) avait demandé à la Wirtschaftsakademie de désactiver cette page Facebook au motif que ni l'académie ni Facebook n'informaient les visiteurs de la collecte de leurs données personnelles.

Le rôle fondamental du responsable du traitement

Le responsable du traitement joue un rôle fondamental dans le cadre du système mis en place par la directive 95/46 et son identification est dès lors essentielle. La directive prévoit que le responsable du traitement est débiteur d'un certain nombre d'obligations destinées à assurer la protection des données à caractère personnel.

Ce rôle fondamental a été mis en exergue par la Cour dans son arrêt du 13 mai 2014, Google Spain et Google. Celle-ci a jugé que le responsable du traitement doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que le traitement de données satisfait aux exigences de la directive pour que les garanties prévues puissent développer leur plein effet.

Selon la jurisprudence de la Cour : Cette notion doit être définie de manière large afin d'assurer une protection efficace et complète des personnes concernées.

Une fonction exercée par plusieurs entités

Le responsable du traitement de données à caractère personnel est la personne qui décide pourquoi et comment seront traitées ces données. Cette notion est fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait.

Plusieurs entités peuvent exercer conjointement cette fonction de responsable de traitement, comme l'illustre la relation entre Facebook Inc., Facebook Ireland et les administrateurs de pages fan.

En tant que concepteurs du traitement, c'est bien Facebook Inc. et, s'agissant de l'Union, Facebook Ireland, qui en ont déterminé à titre principal les objectifs et les modalités. Mais l'administrateur de page fan joue également un rôle déterminant.

L'influence déterminante

L'administrateur d'une page fan est aussi responsable de traitement quand il exerce une influence de droit ou de fait sur les finalités et les moyens du traitement.

En ayant recours à Facebook pour diffuser son offre d'informations, l'administrateur de la page fan adhère au principe de la mise en œuvre d'un traitement des données à caractère personnel des visiteurs de sa page aux fins de l'établissement de statistiques d'audience.

Même s'il n'est pas le concepteur de l'outil « Facebook Insights », cet administrateur, en y ayant recours, prend part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page.

De plus, l'administrateur d'une page fan peut, à l'aide de filtres, définir une audience personnalisée, ce qui lui permet non seulement d'affiner le groupe de personnes à destination duquel des informations seront diffusées, mais aussi de désigner les catégories de personnes qui vont faire l'objet d'une collecte de données par Facebook.

Critères déterminants pour la qualification de responsable de traitement

1. La recherche de finalités étroitement liées

Sont responsables de traitement ceux qui recherchent des finalités étroitement liées. Par exemple, un administrateur de page fan veut obtenir des statistiques d'audience pour promouvoir son activité, tandis que Facebook utilise ce même traitement pour mieux cibler sa publicité.

2. L'impact des dispositions contractuelles

Des dispositions contractuelles ne permettent pas d'exclure la qualification de responsable de traitement, même si un des opérateurs n'a pas accès aux données. Le partage des tâches indiqué contractuellement ne peut fournir qu'un indice concernant le rôle réel des parties.

"Le fait que le contrat et ses conditions générales soient préparés par un prestataire de services et que l'opérateur qui a recours aux prestations offertes par ce prestataire n'ait pas accès aux données n'exclut pas qu'il puisse être considéré comme un responsable du traitement, dès lors qu'il a librement accepté les clauses contractuelles."

3. Absence de nécessité d'un contrôle complet

Pour qu'une personne puisse être considérée comme un responsable du traitement, il n'est pas nécessaire qu'elle dispose d'un pouvoir de contrôle complet sur tous les aspects du traitement. De plus en plus, les traitements ont une nature complexe, impliquant plusieurs parties exerçant différents degrés de contrôle.

L'arrêt de la CJUE du 29 juillet 2019 (C-40/17)

Dans son arrêt du 29 juillet 2019, la Cour de justice a confirmé cette analyse dans l'affaire Fashion ID :

Le gestionnaire d'un site Internet qui insère un module social (comme le bouton "j'aime" de Facebook) peut être considéré comme responsable du traitement, mais cette responsabilité est limitée aux opérations dont il détermine effectivement les finalités et les moyens (collecte et transmission des données).
Il est nécessaire que ce gestionnaire et le fournisseur du module poursuivent chacun un intérêt légitime pour que ces opérations de traitement soient justifiées.
Le consentement doit être recueilli par le gestionnaire uniquement pour les opérations de traitement dont il détermine les finalités et les moyens.
L'obligation d'information pèse également sur le gestionnaire, mais seulement pour les opérations de traitement dont il détermine les finalités et les moyens.

Implications pratiques pour les PME et TPE

À retenir

Une entreprise qui utilise des outils comme Facebook Insights ou des plugins sociaux est considérée comme co-responsable de traitement pour certaines opérations
Cette responsabilité s'applique même si l'entreprise n'a pas accès directement aux données
Le simple fait d'adhérer aux conditions d'utilisation d'une plateforme ne vous exonère pas de vos responsabilités
La qualification de responsable du traitement repose sur une analyse factuelle et non formelle

Actions à mettre en place

Identifier tous les traitements de données personnelles dans votre entreprise
Examiner les outils tiers utilisés (réseaux sociaux, analytique, etc.)
Informer correctement les visiteurs de vos sites et pages
Recueillir le consentement nécessaire pour les opérations dont vous déterminez les finalités
Documenter vos choix et décisions concernant les traitements de données

Une entreprise ne peut pas se soustraire à ses responsabilités en matière de protection des données à caractère personnel en se soumettant simplement aux conditions générales d'un prestataire de services.

L’article Le responsable du traitement au RGPD est apparu en premier sur Philippe Schmitt Avocats.

Données personnelles : le règlement 2016/679 dit RGPD et les petites et moyennes entreprises

Philippe Schmitt — Wed, 04 Oct 2017 12:18:08 +0000

RGPD et PME : Comprendre et s'adapter aux obligations de protection des données

RGPD et PME : Les clés d'une conformité accessible

Comprendre et s'adapter aux obligations de protection des données

« Le traitement des données à caractère personnel devrait être conçu pour servir l'humanité ».

Quel est le prix à payer par les entreprises pour rendre compatible leur emploi des données avec cet objectif posé au 4ème considérant du règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ?

Ce règlement en vigueur depuis juin 2016 est applicable à partir du 25 mai 2018.

Toutes les entreprises aujourd'hui utilisent des données personnelles

Le règlement sur la protection des données personnelles, toutes les entreprises y sont soumises. Toutes les entreprises aujourd'hui utilisent des données personnelles. Les services techniques comme les services commerciaux collectent et exploitent des données personnelles ne serait-ce que pour identifier leurs interlocuteurs des sociétés clientes, de leurs fournisseurs et de leurs partenaires.

Quel que soit le secteur d'activité concernée, les entreprises emploient des données personnelles pour leurs ressources humaines, dans leurs différents services financiers et bien entendu, au service juridique et même à la direction de la propriété industrielle.

Le RGPD n'a pas pour objectif d'interdire l'emploi des données personnelles

Le RGPD n'a pas pour objectif d'interdire l'emploi des données personnelles. Les personnes physiques qui pour leurs activités personnelles ou domestiques utilisent des données personnelles par exemple dans leur téléphone portable, ne sont pas soumises au RGPD.

Pour les entreprises, il serait inutile et contre-productif de détruire les bases de données aux motifs qu'elles contiennent des données personnelles, un tel acte si hâtif pourrait d'ailleurs être reproché par des partenaires dont l'activité se trouve ainsi perturbée.

Le RGPD organise ce droit de la protection des données personnelles qui est un droit fondamental. C'est un changement radical pour les entreprises, elles ne peuvent plus agir comme si elles étaient propriétaire de ces données personnelles, elles n'en sont que les gardiennes, situation qui les oblige envers les personnes physiques concernées.

Cette soumission de l'entreprise à ce droit fondamental de la personne physique s'exprime au RGPD à tous les stades de la formalisation de la donnée personnelle comme par exemple lors de sa collecte, de son traitement, de sa détention, de son exploitation, et même pour sa conservation.

Le champ d'application du RGPD est immense

Le RGPD définit très largement les informations qui constituent des données à caractère personnel. Toute information se rapportant à une personne physique identifiée ou identifiable notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

S'ajoute à cette liste les données qui bien qu'ayant fait l'objet d'une anonymisation, peuvent être attribuées à une personne physique par le recours à des informations supplémentaires.

Certes, le champ d'application du RGDP est immense, mais dans la plupart des cas, les entreprises disposent de solutions simples pour la mise en conformité de leur base de données en toute transparence avec les personnes physiques concernées.

La preuve d'un état de conformité au RGPD

Différents principes sont posés au règlement RGPD :

Qualifications des données dites sensibles

Renforcement des droits des personnes dont les données personnelles sont utilisées

Obligation de sécurité des données dès la phase d'élaboration du traitement mettant en œuvre des données personnelles

Responsabilisation et transparence entre l'entreprise qui détermine les finalités et les moyens du traitement - le responsable du traitement - et son sous-traitant

Quelques problématiques essentielles :

Consentement à l'accès aux données personnelles, les solutions antérieures sont-elles reconduites ?

Quantité des données conservées et finalité de leur conservation

Le responsable du traitement

Plus spéculatives, nos interrogations sur la qualification de données personnelles appliquée aux annuaires professionnels avec la décision de la CNIL du 15 septembre 2021

Comme le mécanisme mis en place par le règlement RGPD ne repose plus sur des déclarations ou des autorisations préalables, mais sur la preuve d'un état de conformité, à cette fin parmi les outils envisagés peuvent être cités :

Le registre des traitements

Le délégué à la protection des données

La notification des défaillances de sécurité

La certification

Les codes de conduite

Les études d'impact sur la vie privée

Solution pour les PME

Pour les petites et moyennes entreprises, le règlement RGPD prévoit des dérogations et des tempéraments afin de ne pas perturber l'utilisation du service qui traite les données personnelles.

Mais là est bien l'enjeu du règlement, comment les petites et moyennes entreprises peuvent-elles se conformer aux nouvelles dispositions dans des budgets maîtrisés ?

L’article Données personnelles : le règlement 2016/679 dit RGPD et les petites et moyennes entreprises est apparu en premier sur Philippe Schmitt Avocats.