La manière dont les organisations utilisent et stockent les données personnelles est examinée depuis de nombreuses années, et la pression pour les traiter de manière responsable ne fera que croître à mesure que les consommateurs prendront conscience de la valeur de leurs données.
C'est dans ce besoin de responsabilité qu'interviennent les responsables du traitement des données et les sous-traitants.
Lisez la suite pour connaître les différences entre un contrôleur de données et un processeur de données.
Qu'est-ce qu'un contrôleur de données ?
Selon le règlement général sur la protection des données (RGPD), les contrôleurs de données sont responsables des données à caractère personnel collectées par une entreprise ou une organisation. Un contrôleur de données est une personne - ou une entité - qui prend des décisions de haut niveau en matière de données.
Le responsable du traitement définit et décide ce que fait le sous-traitant, s'il s'agit de deux personnes ou organisations distinctes.
Comment savoir si vous êtes un contrôleur de données
Dans certaines circonstances, il peut être difficile de savoir si vous êtes un responsable du traitement des données ou un sous-traitant.
Par exemple, si une application traite les données de paiement via Stripe ou Apple Pay et stocke les détails de la carte sur l'appareil de l'utilisateur, cette application mobile est-elle le contrôleur de données ou le processeur de données ?
L'autorité britannique de protection des données recommande aux organisations d'examiner la liste de contrôle suivante pour déterminer si elles sont des contrôleurs de données :
☐ Nous avons décidé de collecter ou de traiter les données à caractère personnel.
☐ Nous avons décidé de la finalité ou du résultat du traitement.
☐ Nous avons décidé quelles données personnelles devaient être collectées.
☐ Nous avons choisi les personnes sur lesquelles nous allions collecter des données à caractère personnel.
☐ Nous obtenons un gain commercial ou un autre avantage du traitement, à l'exception de tout paiement pour des services d'un autre responsable du traitement.
☐ Nous traitons les données à caractère personnel en raison d'un contrat entre nous et la personne concernée.
☐ Les personnes concernées sont nos employés.
☐ Nous prenons des décisions concernant les personnes concernées dans le cadre ou à la suite du traitement.
☐ Nous exerçons un jugement professionnel dans le traitement des données à caractère personnel.
☐ Nous avons une relation directe avec les personnes concernées.
☐ Nous disposons d'une totale autonomie quant au traitement des données personnelles.
☐ Nous avons désigné les sous-traitants pour traiter les données à caractère personnel en notre nom."
Plus vous cochez de cases, plus vous êtes susceptible d'être un responsable du traitement des données.
Responsabilités du contrôleur des données
Étant donné que les responsables du traitement exercent un contrôle important sur la collecte, l'utilisation et le traitement des données à caractère personnel, c'est à eux qu'incombe le plus haut niveau de responsabilité en ce qui concerne le respect des diverses exigences imposées par le RGPD.
Par exemple, les responsables du traitement des données doivent se conformer aux exigences suivantes du RGPD :
- Ils doivent identifier et documenter une base légale en vertu de l'article 6 du RGPD pour justifier qu'ils collectent et traitent légalement des données à caractère personnel.
- Ils doivent veiller à ce que les données à caractère personnel soient protégées par des mesures de sécurité appropriées, telles que le cryptage et les contrôles d'accès.
- Ils doivent respecter les grands principes du RGPD, tels que la responsabilité, l'équité et la transparence.
Si un responsable du traitement des données ne satisfait pas aux exigences du RGPD , il s'expose à deux risques :
Risque n° 1 : Les régulateurs peuvent intenter une action en justice et imposer des amendes en cas de non-respect des règles.
Par exemple, Whatsapp est un responsable du traitement des données parce qu'il collecte des numéros de téléphone pour ses propres besoins et décide des moyens de traitement. En Irlande, Whatsapp s'est vu infliger une amende de 225 millions d'euros au titre du RGPD parce que sa politique de confidentialité n'était pas conforme aux exigences de transparence.
Risque n° 2 : les personnes concernées peuvent intenter une action en justice et demander des dommages-intérêts
Lorsqu'un responsable de traitement traite des données à caractère personnel d'une personne de manière non conforme, cette dernière peut également intenter une action en dommages et intérêts à l'encontre du responsable de traitement.
Exemples de contrôleurs de données
Le responsable du traitement des données peut être une personne physique, une entité, une organisation caritative ou une agence gouvernementale. Parfois, il joue également le rôle de responsable du traitement des données.
Par exemple, lorsqu'une entreprise utilise Google Workspace à des fins de communication et de collaboration internes, cette entreprise est le responsable du traitement des données et Google est le sous-traitant.
Qu'est-ce qu'un responsable du traitement des données ?
Le RGPD stipule qu'un sous-traitant est une personne ou une organisation qui traite des données en fonction de l'offre d'un responsable du traitement.
Dans les activités quotidiennes d'une organisation, le responsable du traitement des données fixe les règles et le responsable du traitement des données les respecte.
Responsabilités d'un responsable du traitement des données
L'article 4 du RGPD stipule que
Le "sous-traitant" est une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Un responsable du traitement des données collecte, stocke ou supprime les données personnelles entrantes conformément aux lignes directrices établies par un responsable du traitement des données, qui, à son tour, devrait suivre les lignes directrices RGPD .
Le sous-traitant conçoit, crée et met en œuvre des solutions techniques pour la saisie des données à caractère personnel et des mesures de sécurité pour protéger ces données. En outre, le sous-traitant est chargé de stocker les données à caractère personnel et de les transférer à d'autres organisations telles que définies par le responsable du traitement.
Étant donné que les responsables du traitement des données ne contrôlent pas les finalités et les moyens du traitement, leurs responsabilités au titre du RGPD sont limitées. Cependant, certaines des obligations RGPD s'appliquent toujours aux responsables du traitement des données :
- Les sous-traitants doivent respecter les exigences de sécurité énoncées à l'article 32 RGPD.
- Les sous-traitants doivent conclure un accord de traitement des données s'ils utilisent leurs propres sous-traitants pour fournir leurs services. En outre, ces accords de sous-traitance doivent refléter les obligations imposées au sous-traitant principal.
- Les responsables du traitement des données peuvent être tenus de conserver des registres des activités de traitement en vertu de l'article 35 RGPD.
- Les responsables du traitement des données ont certaines obligations en vertu de l'article 46 RGPD concernant les transferts internationaux de données.
Tout comme les responsables du traitement des données, les sous-traitants peuvent également faire l'objet d'une action réglementaire en cas de non-respect du RGPD. En outre, les personnes concernées peuvent également porter plainte contre les sous-traitants.
Exemples de responsables du traitement des données
Tout comme les responsables du traitement des données, les sous-traitants peuvent être des personnes physiques ou des entités commerciales.
Imaginez que votre entreprise organise une grande fête de fin d'année et qu'elle y invite tous ses clients. L'entreprise fait appel à une imprimerie externe pour créer les invitations. L'imprimerie reçoit une liste de noms et d'adresses de clients.
Dans cette situation, le RGPD considérerait l'imprimerie comme un sous-traitant de données car elle utilise des données à caractère personnel selon les instructions du responsable du traitement.
Contrôleur de données et sous-traitant : Différences et similitudes
Les responsables du traitement des données et les sous-traitants se concentrent quotidiennement sur le même terrain : les données à caractère personnel. Cependant, leurs rôles sont très différents, de même que leurs responsabilités. En ce qui concerne les données, le RGPD considère les responsables du traitement comme des généraux, tandis que les sous-traitants sont des fantassins.
| Contrôleurs de données | Responsables du traitement des données |
| Définit la manière dont les données sont traitées - il faut toujours penser à ce que font les responsables du traitement des données. | Traite les données conformément aux directives du contrôleur |
Prend des décisions clés concernant les données :
|
Respect des règles en matière de données fixées par le responsable du traitement |
Une personne peut-elle être à la fois contrôleur et responsable du traitement des données ?
Les activités des responsables du traitement des données et des sous-traitants se chevauchent. La principale différence entre les deux fonctions est d'ordre hiérarchique. Dans n'importe quelle organisation, les activités quotidiennes des deux postes sont profondément imbriquées.
Le RGPD permet aux particuliers, aux entreprises et aux autres organisations de jouer un double rôle. Par exemple, dans certains cas, vous pouvez être le responsable du traitement des données pour une organisation et le sous-traitant pour une autre.
Même si un fournisseur tiers ou une autre organisation joue toujours ou occasionnellement ce double rôle, il est essentiel de comprendre en quoi les positions de processeur de données et de contrôleur de données diffèrent et pourquoi.
Quelles sont les lois qui les exigent ?
e RGPD est actuellement l'une des lois les plus strictes au monde en matière de protection de la vie privée. Elle concerne les organisations qui traitent les données de particuliers dans l'UE. Il est donc essentiel de respecter scrupuleusement les rôles et responsabilités définis à l'article 4 du RGPD.
En outre, veillez à respecter les autres lois relatives à la protection de la vie privée, telles que la CCPA (Californie), la PIPL (Chine) et la LGPD (Brésil), qui peuvent avoir leurs propres définitions et exigences. Si votre organisation traite des données d'une manière ou d'une autre, vous devez vous renseigner sur les lois locales, nationales et internationales en vigueur.
Bien qu'elle ne soit pas du même niveau que le RGPD, la loi sur la Commission fédérale du commerce (Federal Trade Commission Act) charge la FTC aux États-Unis de faire appliquer les règles relatives à la confidentialité des données, y compris lorsqu'une organisation ne respecte pas les politiques de confidentialité des données qu'elle a elle-même publiées.
En outre, la loi sur la protection de la vie privée des enfants en ligne (COPPA) interdit la collecte de données sur les enfants de moins de 13 ans.
Les contrôleurs de données et la loi
Comme leur nom l'indique, les contrôleurs de données sont les plus responsables au regard du RGPD , car ils sont en définitive en charge des données personnelles d'une organisation.
Les amendes pour non-conformité au RGPD sont fixées au cas par cas, mais elles peuvent être très élevées. Les amendes maximales sont calculées en fonction du chiffre d'affaires annuel mondial de l'organisation non conforme. L'amende peut atteindre 4 % du chiffre d'affaires ou 20 millions d'euros, le montant le plus élevé étant retenu.
Pour les infractions plus mineures, les amendes peuvent aller de 2 % du chiffre d'affaires mondial à 10 millions d'euros, le montant le plus élevé étant retenu.
En tant que responsable du traitement des données, vous devez toujours choisir un sous-traitant conforme au RGPD. Votre organisation sera finalement tenue pour responsable.
En outre, vous devez disposer d'un accord dictant ce qu'il adviendra des données à caractère personnel en cas de résiliation d'un contrat entre un responsable du traitement et un sous-traitant.
Les responsables du traitement des données et la loi
Les responsables du traitement des données peuvent avoir moins de contrôle sur les décisions concernant les données à caractère personnel. Néanmoins, un sous-traitant qui ne se concentre pas sur le RGPD ne sera pas utile à de nombreuses organisations. En effet, le RGPD permet aux tribunaux d'infliger des amendes aux sous-traitants, et pas seulement aux responsables du traitement des données.
Bien qu'un responsable du traitement des données doive collecter, stocker et éliminer les données à caractère personnel pour le compte d'un responsable du traitement des données, il doit également s'efforcer de tenir un registre d'activité précis. Non seulement cela est exigé par les normes du RGPD , mais c'est aussi probablement la meilleure pratique de votre responsable du traitement des données.
Si les tribunaux de l'UE enquêtent sur une violation ou un autre cas de non-conformité au RGPD, le sous-traitant des données fera l'objet d'une enquête, tout comme le responsable du traitement des données.
Il est essentiel de comprendre les rôles des responsables du traitement des données et des sous-traitants pour garantir un traitement correct des données à caractère personnel et éviter les problèmes juridiques potentiels. Que vous soyez responsable du traitement des données ou sous-traitant, il est essentiel de respecter les lois sur la protection de la vie privée telles que le RGPD et d'autres lois pour protéger votre organisation et gagner la confiance de vos utilisateurs.
En savoir plus sur l'auteur
Écrit par Ali Talip Pınarbaşı, CIPP/E, & LLM
Ali est un avocat londonien spécialisé dans le droit de la protection des données personnelles. Il est titulaire d'un Master of Laws en droit européen de la protection des données personnelles obtenu au King's College de Londres. Il a six ans d'expérience dans le conseil aux entreprises sur la manière de se conformer aux lois sur la protection des données. En savoir plus sur l'auteur
