Le RGPD définit une différence claire entre un responsable du traitement et un sous-traitant, et toutes les organisations impliquées dans le traitement des données n'ont pas les mêmes responsabilités. Les exigences de conformité varient selon le type d'organisation auquel vous appartenez (ou les deux).
Comprendre la différence entre les responsables du traitement et les sous-traitants est essentiel pour la conformité au RGPD. Prétendre ignorer cette différence n'est pas une option - vous êtes responsable de veiller à ce que vous respectiez le RGPD et soyez en mesure de prouver cette conformité aux autorités de surveillance.
Nous aborderons ci-dessous les principales différences entre les responsables du traitement et les sous-traitants ainsi que leurs responsabilités. Cependant, il est important de consulter votre équipe juridique ou un conseil externe pour savoir où se situe votre organisation.
Responsables du Traitement de Données et Sous-traitants selon le RGPD
Selon le RGPD, un responsable du traitement est une organisation ou un individu qui décide comment et pourquoi les données personnelles seront traitées.
Un sous-traitant est tout tiers qui traite des données personnelles pour le compte d'un responsable du traitement. Un sous-traitant ne doit traiter des données personnelles que selon les instructions du responsable du traitement, sauf si la loi lui impose de le faire.
Les responsables du traitement ont de plus grandes responsabilités en matière de conformité au RGPD, mais les sous-traitants doivent quand même s'assurer que toutes les données traitées le sont conformément au RGPD.
Notez qu'il est possible d'être à la fois responsable du traitement et sous-traitant. Pour en être sûr, il est important de consulter votre équipe juridique ou un conseil externe.
Exemple
Clarifions la différence entre les responsables du traitement et les sous-traitants avec un exemple basé sur celui de l'Information Commissioner's Office du Royaume-Uni.
Une société de services informatiques stocke des données archivées pour le compte d'une banque. Bien que la société utilise son expertise technique pour aider à décider de la meilleure façon de stocker les données de manière sûre et accessible, la banque contrôle pourquoi et comment les données sont utilisées et détermine la durée de conservation. La banque est donc présumée être le responsable du traitement car elle conserve le contrôle exclusif sur la raison pour laquelle les données sont traitées. La société de services informatiques est présumée être le sous-traitant car bien qu'elle ait un certain contrôle sur la manière dont les données sont traitées, elle ne contrôle pas le pourquoi du traitement.
Exigences pour les Responsables du Traitement selon le RGPD
Les responsables du traitement sont censés respecter les niveaux les plus stricts de conformité au RGPD.
Non seulement ils sont tenus de démontrer activement leur conformité totale à tous les principes de protection des données, mais ils sont également responsables de la conformité au RGPD de tout sous-traitant de données qu'ils utilisent.
L'article 24 décrit les exigences suivantes des responsables de traitement. Ils doivent :
- Prendre en compte l'objectif, la nature, le contexte et la portée du traitement des données.
- Considérer la probabilité et la gravité du risque pour les droits et libertés des individus.
- Mettre en œuvre des mesures appropriées et efficaces qui démontrent la conformité des activités de traitement des données avec le règlement RGPD.
- Réviser et mettre à jour ces mesures si nécessaire.
Exigences des sous-traitants de données du RGPD
Les sous-traitants de données n'ont pas le même niveau d'obligations légales que les responsables de traitement dans le cadre du RGPD.
Ils doivent respecter les obligations du responsable de traitement telles que définies dans un accord écrit contraignant. Cela inclut le fait d'agir uniquement sur les instructions documentées du responsable de traitement concernant les données qu'ils peuvent traiter, pourquoi et pour combien de temps.
Lors du traitement des données conformément à ces instructions, le sous-traitant de données doit mettre en œuvre des mesures organisationnelles et techniques appropriées pour répondre aux directives établies par le RGPD.
Une fois le traitement des données terminé, le sous-traitant de données doit également retourner les données personnelles au responsable de traitement ou les supprimer, sauf si la loi exige leur conservation.
Quelle est la différence entre responsable de traitement et sous-traitant de données dans le cadre du RGPD ?
En vertu du RGPD, un responsable de traitement décide comment et pourquoi les données personnelles seront traitées, tandis qu'un sous-traitant de données traite les données personnelles pour le compte d'un responsable de traitement.
Qu'est-ce que l'accord RGPD entre le responsable de traitement et le sous-traitant ?
L'accord RGPD entre un responsable de traitement et un sous-traitant est un accord de traitement des données. En vertu du RGPD, les responsables de traitement sont tenus d'avoir des accords de traitement des données avec tous les sous-traitants. Ces accords doivent répondre aux exigences suivantes énoncées à l'article 28 en indiquant :
- l'objet et la durée du traitement
- la nature et l'objectif du traitement
- le type de données personnelles et les catégories de personnes concernées
- les obligations et les droits du responsable de traitement
Peut-on être à la fois responsable de traitement et sous-traitant dans le cadre du RGPD ?
On peut être à la fois responsable de traitement et sous-traitant dans le cadre du RGPD — mais uniquement pour des activités de traitement différentes. Par exemple, on peut être responsable de traitement lors du traitement des données de ses employés et sous-traitant de données lors du traitement de données personnelles pour le compte d'un responsable de traitement et conformément à ses instructions.
Quel est un exemple de responsable de traitement et de sous-traitant ?
Supposons qu'une entreprise SaaS signe un contrat avec une entreprise de paie et lui donne des instructions sur le moment et la manière de payer ses employés. Dans cet exemple, la société SaaS est un contrôleur de données et la société de paie est un processeur de données.