Toute personne physique ou organisme traitant des données personnelles doit au préalable s’interroger sur sa qualification au sens du RGPD, qualification dont vont dépendre ses obligations. Pour un traitement donné, il est possible d’être responsable de traitement, sous-traitant ou responsable de traitement conjoint. Il incombe aux acteurs de déterminer leur qualification au cas par cas. La présente fiche rappelle les définitions de ces différentes notions et explique comment les appliquer en cas de réutilisation de données publiquement accessibles sur Internet. 

Le responsable de traitement 

Le responsable de traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement, c’est-à-dire qui décide du « pourquoi » et du « comment » de l’utilisation de données personnelles. 

En présence d’un traitement impliquant une réutilisation de données publiées sur Internet, une analyse au cas par cas est toujours nécessaire pour déterminer qui est responsable de traitement. 

Lorsqu’une personne décide d’exploiter des données et détermine la finalité (l’objet, le but de la réutilisation) et la caractéristique principale du traitement (utiliser des données publiées sur Internet), elle est en principe responsable de traitement. 

Ce principe est valable, y compris lorsque la personne à l’initiative du traitement de données personnelles décide de recourir, pour sa mise en œuvre, aux outils ou services d’un prestataire. 

Qu’est-ce qu’une finalité ?

La finalité est le but précis pour lequel les données sont traitées. Elle doit être déterminée, explicite et légitime. 

Il peut s’agir, par exemple, de : 

la réutilisation de données publiquement accessibles à des fins de constitution et de diffusion d’un annuaire de professionnels ; 

la réutilisation de données publiquement accessibles à des fins de prospection commerciale. 

Exemple 

Ce serait par exemple le cas de la personne qui décide de constituer une base de données à partir de données publiquement accessibles pour l’exploiter commercialement auprès de différents clients. 

Cette personne et chacun de ses clients pourraient être qualifiés de responsables de traitements distincts (la première pour les opérations de recueil et de commercialisation des données, les seconds pour les utilisations qu’ils en font), à condition que chaque traitement en cause puisse être séparé l’un de l’autre (et que leurs finalités et moyens ne soient pas déterminés conjointement comme cela est détaillé ci-dessous). 

Les contrats d’adhésion 

Le fait de recourir à un logiciel de traitement de données personnelles conçu par un autre acteur, et sur lequel son utilisateur ne peut qu’effectuer certains paramétrages (voire aucun), ne dispense pas ce dernier de sa qualité de responsable de traitement, dès lors que c’est lui qui a décidé d’utiliser telles et telles données personnelles avec ce logiciel, pour une certaine finalité (CJUE, deuxième chambre, 29 juillet 2019, Fashion ID GmbH & Co. KG, C-40/17). 

Un tiers peut donc déterminer des moyens de traitement indépendamment du traitement opérationnel (ex. : matériel ou logiciel utilisé pour le traitement, méthode de stockage des données, etc.), ou fournir un service « clé en main », sans pour autant être responsable de traitement. Si ce tiers est ensuite conduit, sur instruction de son client, à manipuler lui-même les données personnelles pour le traitement, il agira en tant que sous- traitant. Dans certains cas, il pourra être regardé comme responsable conjoint du traitement et non simple sous-traitant, notamment si la mise en œuvre du traitement qu’il opère dépasse la seule prestation de service au bénéfice de ses clients (voir les points suivants relatifs à ces qualifications). 

Le responsable conjoint du traitement 

Exemple de cas où la responsabilité conjointe des parties prenantes à un même traitement pourrait être retenue, en l’absence d’une décision commune initiale mais du fait de décisions convergentes, complémentaires et nécessaires à sa mise en œuvre : traitement réalisé, à la demande d’un employeur, par un chasseur de tête qui collecterait notamment des données sur internet (candidats potentiels à des offres d’emplois) à la fois pour répondre aux besoins précis de son client (identifier des candidats adéquats) et pour alimenter sa propre base de données, qu’il a constituée et utilise pour l’exécution de tous les contrats qu’il signe avec ses clients. 

Lorsque plusieurs acteurs traitent des mêmes données pour des finalités propres, la question de savoir s’ils doivent être considérés comme des responsables de traitements distincts ou comme des responsables de traitement conjoints peut être délicate à opérer. Il convient alors de déterminer, pour le traitement en cause, si chacun des acteurs a ou non exercé une influence déterminante sur sa ou ses finalité(s), ainsi que sur ses conditions de mise en œuvre. 

Les licences de réutilisation 

Le fait que le diffuseur des données ait encadré les réutilisations futures par le biais d’une licence ou de conditions générales d’utilisation, notamment pour assurer aux personnes concernées une certaine prévisibilité sur l’usage de leurs données, ne le rendra pas nécessairement responsable de ces réutilisations. 

En effet, d’une part, l’autorisation ou l’interdiction par le diffuseur de certaines catégories de réutilisation ne permet pas de considérer que la finalité de la réutilisation a été conjointement déterminée par ce dernier si le réutilisateur conserve un degré d’influence autonome sur ses propres traitements, à commencer par la décision d’utiliser ou non les données. 

D’autre part, déterminer conjointement la finalité n’est pas suffisant pour qualifier une responsabilité conjointe si les moyens du traitement sont définis distinctement. 

En cas de responsabilité conjointe, chaque responsable de traitement doit s’assurer de la licéité du traitement, notamment en définissant, dans le cadre d’un «accord» et de manière opérationnelle et transparente, leurs obligations respectives (article 26 du RGPD). 

Le sous-traitant 

Le sous-traitant agit pour le seul compte du (ou des) responsable(s) de traitement. Il ne peut traiter les données pour son propre compte (sauf exception), et ne doit les traiter que sur instructions documentées du responsable de traitement. 

En situation de sous-traitance, un contrat doit être conclu entre le sous-traitant et le responsable de traitement. Ce contrat doit contenir toutes les mentions prévues par l’article 28 du RGPD. Par ailleurs, le responsable de traitement doit s’assurer que son sous-traitant présente des garanties suffisantes pour la conformité des traitements 

Pour approfondir : 

La forme de cet accord n’est pas précisée par le RGPD. L’essentiel est que les parties s’engagent mutuellement, via un contrat par exemple, sur « qui fait quoi » pour que soient respectées toutes les règles relatives à la protection des données personnelles. Ainsi, cet accord a notamment vocation à préciser les modalités d’exercice et de prise en compte des droits « informatique et libertés ». 

À cet égard, il est à noter que si les demandes des personnes concernées ont vocation à être prises en charge par le ou les responsables qui y est/sont désigné(s), elles gardent la liberté d’exercer leurs droits auprès de n’importe lequel des responsables de traitement conjoints. 

Exemples de sous-traitants 

Un éditeur et gestionnaire d’une interface de programmation applicative (« API ») de moissonnage de données permettant à des réutilisateurs de récupérer de manière automatisée des données en ligne, dès lors qu’il ne détermine pas la finalité et les moyens de chaque utilisation (tels que les données collectées) sollicitée par ses différents clients. 

Un prestataire de services qui réaliserait, sur demande de ses clients et à partir de paramètres prédéfinis ou validés par ces derniers, des opérations de collecte et d’analyse de données publiquement accessibles. Source : CNIL