Guide contractuel du RGPD
Cette tribune du cabinet LegalUP Consulting est la première d’une série portant sur la RGPD dans vos contrats, ses enjeux et son mode d’emploi :
1/4 – Qualification des acteurs : le « qui suis-je ? » juridique essentiel pour vos contrats (ci-dessous en ligne, et dans notre édition PDF hebdo du lundi 22 mars)
2/4 – RGPD : les nouvelles mentions obligatoires selon votre qualité (en ligne ici, et dans notre édition PDF hebdo du lundi 29 mars 2021)
3/4 – Les transferts transfrontaliers de données dans vos contrats (en ligne ici, et dans notre édition PDF hebdo du lundi 5 avril 2021)
4/4 – Comment utiliser la conformité comme levier de croissance (en ligne ici, et dans notre édition PDF hebdo du lundi 12 avril 2021)
Beaucoup d’acteurs de la publicité en ligne s’interrogent sur leur qualité dans le cadre du RGPD, particulièrement dans la gestion des données : suis-je responsable de traitement, co-responsable ou sous-traitant ? En tant que professionnels de la publicité en ligne, vous êtes tous dotés de très nombreuses qualités assorties de certaines obligations.
LE CONTEXTE
Le développement fulgurant des réglementations encadrant la protection des données personnelles oblige aujourd’hui tous les acteurs à se prêter à ce “qui suis-je ?” afin de déterminer leur qualification juridique du point de vue du Règlement général sur la protection des données (RGPD). Voici le décryptage, à l’aide d’exemples concrets, des nouvelles règles applicables dont les conséquences sont cruciales pour chaque organisation.
Dans le cadre du RGPD, nous pouvons distinguer, en pratique, trois qualités distinctes qu’une organisation peut adopter pour un traitement de données à caractère personnel : responsable de traitement, responsable conjoint, et sous-traitant.
Pour chaque traitement de données à caractère personnel1, vous devez obligatoirement vous familiariser avec de nouvelles obligations érigées par le RGPD, à commencer par déterminer laquelle de ces trois qualités vous endossez.
Il est parfois difficile de respecter ces obligations dans vos écosystèmes tentaculaires, alors même qu’une erreur d’appréciation pourrait avoir de lourdes conséquences. En effet, outre le fait que votre qualité doit être affichée dans chacun de vos contrats impliquant des traitements de données à caractère personnel, de cette qualité dépend une grande partie des obligations que vous devez respecter dans le cadre du RGPD. Adopter une qualité juridique qui ne correspond pas à la réalité est susceptible de vous exposer à une requalification en cas de contrôle, et à des sanctions ou à des contentieux puisque vous n’aurez pas répondu aux obligations du RGPD.
Il est donc essentiel pour tout acteur, notamment publicitaire, d’être clair, à la fois en théorie et en pratique, sur ce que recouvrent ces différentes qualités juridiques.
CONNAÎTRE LES TEXTES
Toutes abstraites qu’elles puissent paraître à première vue, il est indispensable avant toute chose de bien connaître les contours de ces trois qualités juridiques pour trouver votre qualité sur chacun des traitements que vous opérez.
Commençons par les définitions du RGPD.
> Responsable ou responsable conjoint désigne “la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement”.
> Sous-traitant désigne “la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement”.
EN PRATIQUE
Si ces définitions semblent claires, elles deviennent souvent de vraies sources de confusions en pratique compte tenu de la sophistication des vos écosystèmes : la multiplication des traitements de données entremêlée à la profusion de contractants impliqués dans vos traitements peut rendre l’exercice complexe.
1 – Penchons-nous d’abord sur l’incontournable distinction entre responsables de traitement et sous-traitants.
Selon le RGPD, le responsable de traitement “détermine les finalités et moyens du traitement”. Très bien mais qui est qui ?
Concrètement, déterminer la finalité d’un traitement signifie apporter une réponse à la question : pourquoi les données en question sont-elles traitées ?
Il s’agit du critère principal de détermination du responsable de traitement, qui est donc l’entité ayant l’exclusive capacité décisionnelle concernant l’objectif du traitement. À titre d’exemple, le responsable de traitement décide d’utiliser les données traitées dans un but de prospection, ou pour la gestion de paie.
Déterminer les moyens du traitement revient à décider comment les données seront traitées. Typiquement, le responsable de traitement décide quel logiciel sera utilisé, quelles mesures de sécurité seront mises en place, ou d’un point de vue organisationnel quelles seront les personnes concernées par le traitement, etc.
Deux remarques peuvent cependant mitiger l’importance de ce critère. Premièrement, nous ne visons que les “moyens généraux”. En d’autres termes, il n’est pas nécessaire que le responsable de traitement définisse les détails de tous les outils et procédures qui seront utilisés dans le cadre du traitement, il donne simplement des instructions générales quant aux moyens employés2. Deuxièmement, de nombreux professionnels du droit s’accordent à dire que le critère de la définition des moyens est généralement moins saillant que le critère de définition des finalités, ce dernier étant l’élément principal à prendre en compte si nous essayons de déterminer la qualité juridique d’un acteur. Dès lors que celui-ci détermine les finalités, il sera, à ce jour, souvent qualifié de responsable de traitement.
En cas de friction entre les deux critères de qualification du responsable de traitement (typiquement, une entité détermine les moyens mais pas les finalités, ou les finalités mais pas les moyens), une appréciation in concreto sera effectuée par les autorités de contrôle et juridictions. Ce qui signifie que ces dernières étudieront les circonstances concrètes de l’affaire et les implications respectives des acteurs selon la situation pour déterminer leurs qualifications, tout en gardant à l’esprit, comme évoqué, que la définition des finalités aura plus de poids que la définition des moyens.
“L’accès aux données n’est en aucun cas un critère de distinction entre responsable de traitement et sous-traitant”
Le sous-traitant, quant à lui, “traite des données à caractère personnel pour le compte du responsable du traitement”. Concrètement, cela veut dire qu’un sous-traitant ne pourra jamais s’écarter des instructions écrites du responsable de traitement définissant les finalités et moyens d’un traitement de données. Il sera requalifié en responsable de traitement pour tout traitement qui s’écarte un tant soit peu de ces instructions écrites et contractualisées.
Il est important enfin de noter que l’accès aux données n’est en aucun cas un critère de distinction entre responsable de traitement et sous-traitant, contrairement à ce que certains acteurs continuent de penser. Un responsable de traitement peut, par exemple, ne jamais avoir accès aux données qui seront traitées exclusivement par un sous-traitant : tant que celui-ci agit dans le cadre d’instructions écrites, il sera sous-traitant, et l’entité lui fournissant ces instructions, responsable de traitement.
Quelques exemples
> Exemple théorique simple : Un intermédiaire technique impliqué dans la chaîne de valeur de la publicité digitale, par exemple une DSP proposant une technologie à un éditeur pour affiner ses solutions de ciblages, sera qualifié de sous-traitant s’il intervient sur instructions de son client qui définit les finalités et moyens du traitement.
Si cet intermédiaire venait à utiliser ces données personnelles pour d’autres finalités, il sera considéré comme responsable de traitement pour toutes les finalités non visées par le contrat.
> Exemple issu de la jurisprudence (délibération CNIL du 11 octobre 2018 portant sur la société Malakoff Médéric Mutuelle) : un organisme récupérant des données à des fins de gestion mutuelle, qui décide ensuite d’utiliser ces mêmes données à des fins de prospection commerciale a outrepassé le rôle de sous-traitant et devient responsable de traitement pour ce second traitement.
2 – Et qu’est ce que la responsabilité conjointe ?
La catégorie du responsable conjoint de traitement constitue, dans le texte du RGPD, une sous-catégorie du responsable de traitement. Nous la considérons ici comme une catégorie à part entière car, dans la réalité économique et contractuelle, il existe de nombreuses obligations spécifiques à la qualification de responsable conjoint de traitement.
Dans quel cas de figure deux entités peuvent-elles être responsables conjointes de données à caractère personnel dans le cadre d’un même traitement ? Comme le nom l’indique, des responsables conjoints définissent conjointement les finalités et les moyens d’un certain traitement de données à caractère personnel.
Cela ne veut pas nécessairement dire que les responsables conjoints sont strictement égaux, que leurs pouvoirs de décision sont similaires, ou leurs responsabilités équivalentes. Les rapports de pouvoir, et l’implication de chaque entité dans le traitement dépendra de chaque relation. Il s’agit, par le biais de cette catégorie, d’englober des situations complexes (et en réalité très courantes) dans lesquelles plusieurs acteurs traitent des données à caractère personnel sans pouvoir réellement distinguer un responsable de traitement, ou encore d’autres entités agissant sous ses instructions en tant que sous-traitants.
Quelques exemples
> Exemple théorique simple : trois entités, une agence de voyages, une chaîne d’hôtels et une compagnie aérienne, créent ensemble un service centralisé de réservation en ligne. Elles proposent à leurs clients un bouquet de services comprenant des prestations de chacune d’entre elles. Ces trois entités conviennent des modalités des traitements liés à ces services, tels que la collecte des données, la gestion des réservations, le transfert des clients, et la conservation des données : déterminant ainsi conjointement les finalités et les moyens de ces traitements, elles seront toutes qualifiées de responsables conjoints de traitement.
> Exemple issu de la jurisprudence (décision CJUE du 5 juin 2018, Wirtschaftsakademie, C210/16) : l’outil Facebook Insights permet à l’administrateur d’une page Facebook d’obtenir un ensemble de données relatives à l’audience de sa page, dont certaines clairement personnelles. En tant qu’éditeur du service, Facebook adopte la qualité de responsable de traitement pour la collecte des données effectuée via Facebook Insights. Néanmoins, le paramétrage de l’outil est réalisé par son administrateur, qui peut « personnaliser » les statistiques du réseau social selon des critères qu’il détermine. Il prend donc l’initiative de la collecte et détermine les catégories de données collectées. Dans ce cadre, l’administrateur de la page Facebook et Facebook seront responsables conjoints pour la collecte des données via Facebook Insight ; néanmoins, une responsabilité plus lourde pèsera sur Facebook en tant que responsable conjoint, car il est dans une position qui lui donne plus de contrôle sur le traitement (il est par exemple le seul à pouvoir récolter le consentement).
3 – Besoin d’indices supplémentaires ?
Il est possible que malgré ces définitions et ces exemples, certains doutes persistent quant à la qualité que vous devez adopter pour chacun de vos traitements. Il s’agit de doutes tout à fait raisonnables liés à la complexité des situations, et à la multiplicité des acteurs, auxquels les autorités de contrôle et les juges font également face.
Dans de tels cas de figure, une analyse dite in concreto doit être effectuée : la situation concrète, et l’implication pratique des acteurs dans le traitement doit être évaluée, à l’aide d’un faisceau d’indices qui, conjointement, feront pencher la balance vers l’une des qualités que nous mentionnons.
Nous vous présentons ci-dessous une liste non-exhaustive des questions à vous poser pour réaliser une telle analyse in concreto, et les indices résultant des réponses que vous apporterez à ces questions, qui vous aideront à déduire votre qualité juridique dans des situations complexes. Gardez à l’esprit qu’il ne s’agit que d’indices qui, pris conjointement, pourront pointer, dans le cadre d’une situation précise, vers la qualité juridique correcte.
Autrement dit, ne considérez pas que la réponse à l’une des questions ci-dessous, prise de manière isolée ou abstraite, suffirait à déterminer votre qualité juridique.
[wpmfpdf id= »30197″ embed= »1″ target= » »]
EN SYNTHÈSE
Le droit concernant les qualifications juridiques du RGPD est étonnement simple, mais la multiplication des acteurs impliqués dans chaque traitement, y compris des plus anciens comme la gestion de la paie, peut rendre cet exercice parfois complexe en pratique. L’innovation, le développement du numérique et la transformation digitale ont probablement accéléré ce phénomène, qui ne concerne pas uniquement le secteur privé, ou les « pure players”, mais toutes les organisations privées comme publiques, même peu numérisées.
Répondre à la question “Qui suis-je ?” n’est donc plus une option pour un grand nombre d’acteurs, et de cette réponse dépendent ensuite d’autres obligations, notamment contractuelles.
EN CONCLUSION
En tant que professionnels, notamment dans la publicité en ligne, il est urgent de vous interroger sur votre statut et de répondre à ce “Qui suis-je” quand vous travaillez avec les données. Une question qui devra se poser non pas une seule fois par acteur, mais une fois par traitement.
Affichez vos qualités (et les mentions obligatoires associées) dans tous vos contrats pour vous offrir une sécurité juridique, protéger la valeur de vos données en reprenant le contrôle des traitements opérés par vos contractants, et garder la confiance des personnes qui vous confient des données personnelles.
Cet exercice est bien moins fastidieux qu’il n’y paraît. Nous verrons comment cartographier et rédiger efficacement vos contrats dans de prochaines tribunes.
Jeudi 25 mars en ligne et lundi 29 mars dans notre PDF hebdo, le prochain volet de ce décryptage (2/4) portera sur les nouvelles mentions contractuelles obligatoires selon votre qualité.
1 : Rappelons ici que la définition de “traitement” donnée par le RGPD est très large. Il s’agit de “toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction”.
2 : Un exemple concret : s’agissant du traitement de données personnelles résultant de la gestion de paie, une entreprise détermine les moyens du traitement dès lors qu’elle décide, par exemple, de recourir à un comptable. Le fait que l’entreprise n’indique pas au comptable quel logiciel précis utiliser ne contredit pas le fait qu’elle détermine les moyens du traitement car cela ne rentre pas dans la catégorie des “moyens généraux”.
Voir tous les articles à ce sujet9