Responsable du traitement ou sous-traitant

Définition des notions

Dans cet article, nous allons analyser deux notions clés du RGPD  qui, apparemment, suscitent encore pas mal de confusion: le sous-traitant et le responsable du traitement.

Le RGPD a pour but d’offrir un cadre général  de protection pour le traitement des données à caractère personnel. Deux acteurs sont concernés : d’une part les personnes dont les données sont traitées (collectées, stockées, publiées...) et d’autre part les personnes et/ou organisations qui organisent et exécutent ce traitement. Le présent article vise plus précisément cette deuxième catégorie d’acteurs.

Ce n’est pas parce qu’on traite des données à caractère personnel qu’on est nécessairement un sous-traitant et qu’on doit respecter certains principes du RGPD. Il convient ici de faire la différence entre les deux parties concernées par le processus de traitement.

La principale différenciation porte sur l’identification du responsable de l’objectif et des moyens du traitement des données. Cette partie  est appelée le responsable du traitement (ou “controller”).  Peu importe qu’elle traite elle-même les données ou qu’elle externalise cette tâche auprès d’un tiers.  Si le traitement est externalisé à un tiers qui n’a lui-même aucun impact sur le but du traitement, cette partie est considérée comme le sous-traitant  (“processor”).

Prenons un exemple pour que les choses soient claires. L’entreprise XYZ emploie une trentaine de personnes. Elle collecte des tas de données à caractère personnel concernant ses employés, essentiellement pour l’administration des salaires. Elle n’est cependant pas elle-même responsable de cette administration ni du paiement des salaires, puisqu’elle confie ces tâches à un secrétariat social. C’est donc ce secrétariat qui reçoit  de l’entreprise XYZ les données à caractère personnel et les instructions, et qui assure l’administration et le paiement des salaires.

Dans ce cas de figure, les rôles sont clairs : c’est l’entreprise XYZ qui définit le but et les moyens pour le traitement  - en l’occurrence l’exécution de l’administration des salaires et l’organisation efficiente du paiement des rémunérations, des charges sociales etc. L’entreprise XYZ est donc incontestablement le responsable du traitement. Le secrétariat social n’a qu’un rôle d’exécutant : il exécute le traitement pour le compte de l’entreprise XYZ. A ce titre, il n’est qu’un sous-traitant.

Importance de cette distinction

Pourquoi cette différence est-elle importante ? Bien que le responsable du traitement et le sous-traitant soient tous deux concernés par le RGPD, les obligations du responsable du traitement sont beaucoup plus importantes.

C’est donc la qualification qui détermine, dans une large mesure, votre responsabilité dans le cadre du RGPD et les mesures que vous devez prendre. Si vous n’êtes qu’un sous-traitant des données, les risques sont limités. Mais si vous êtes le responsable du traitement, vous devrez veiller à ce que tout le processus de traitement des données se déroule conformément aux dispositions du RGPD. Si ce traitement n’est pas conforme, vous risquez d’en subir les conséquences et de vous voir infliger de lourdes amendes.

Toute organisation qui traite des données à caractère personnel  doit donc analyser les différents processus et se poser la question de savoir si elle est responsable du traitement ou simple sous-traitant.

DNS Belgium vous recommande d’analyser de manière approfondie au moins les processus suivants :

Politique du personnel

  • Quelles sont les données dont je dispose à propos de mes employés, à quelle fin et qui m’aide pour le traitement de ces données ?
  • Quelles sont les données dont je dispose à propos de collaborateurs indépendants   occasionnels tels que consultants, bénévoles, stagiaires, étudiants, et personnel intérimaire?
  • Quelles sont les données dont je dispose à la suite d’entretiens de sollicitation et d’interviews avec des demandeurs d’emploi, à quelle fin et à quelle échéance?

Facturation & comptabilité

  • Quelles sont les données dont je dispose à propos de mes clients pour les besoins de la facturation, et qui m’aide à faire les factures ?
  • Quelles sont les données dont je dispose à propos de mes clients et fournisseurs pour les besoins de la comptabilité et qui m’aide à tenir la comptabilité ?

Fournisseurs

  • Quelles sont les données dont je dispose à propos de mes fournisseurs, à quelle fin et qui m’aide à traiter ces données (ex. gestionnaire externe d’une application de CRM)?
  • Quelle est la relation spécifique  avec mes fournisseurs ? Est-ce que je traite des données pour eux ou est-ce qu’ils traitent des données pour moi ?

Clients

  • Quelles sont les données dont je dispose à propos de mes clients pour pouvoir leur communiquer mon offre de produits/services, à quelle fin et qui m’aide à traiter ces données (agence de marketing externe, fournisseur d’application de mailing, etc.) ?
  • Quelles sont les données dont je dispose à propos de mes clients pour les besoins de la gestion des clients, à quelles autres fins et qui m’aide à traiter ces données (ex. gestionnaire externe d’une application de CRM) ?
  • Est-ce que je transfère des données de clients à des tiers (ex. direct marketing), à quelles fins et qui m’aide à traiter ces données ?

Gestion du système

  • Quelles données à caractère personnel sont stockées ou traitées par mes systèmes informatiques et applications logicielles, à quelles fins et qui m’aide à traiter ces données ?
  • Quelles données à caractère personnel sont stockées ou traitées par des systèmes, applications et /ou logiciels externes que j’utilise, à quelles fins et qui m’aide à traiter ces données ?

Application de ces notions à votre relation avec DNS Belgium

Si vous collaborez avec DNS Belgium en tant qu’agent d’enregistrement, vous avez conclu un contrat avec nous à ce sujet. Dans le cadre de cette collaboration aussi, des données à caractère personnel sont traitées et il est donc important d’analyser le rôle de chaque partie sur ce plan.

Chaque nouvel enregistrement, mise à jour ou transfert d’un nom de domaine  .be entraîne un traitement de données (à caractère personnel). On pourrait croire qu’il s’agit de votre client et que vous êtes donc responsable de ce traitement, mais ce n’est que partiellement vrai.

Le contrat que vous avez signé avec DNS Belgium renvoie à des règles techniques, qui régissent le processus d’enregistrement .be. Ces règles techniques décrivent aussi quels sont les champs à compléter pour pouvoir créer correctement le contact handle du détenteur de nom de domaine dans notre système d’enregistrement. Bien que vous collectiez des données à caractère personnel auprès du client, c’est DNS Belgium qui détermine l’objectif et les moyens du traitement de données. Dans ce cas, c’est donc DNS Belgium qui est le responsable du traitement, tandis que vous n’êtes que le sous-traitant.

Le RGPD prévoit que le responsable du traitement doit signer une sorte de convention de traitement avec son/ses sous-traitant(s). C’est pourquoi fin de l’année dernière, DNS Belgium vous a envoyé une mise à jour de votre contrat. Cette mise à jour avait pour seul et unique but de joindre cette convention de traitement en annexe à votre contrat d’agent.

Mais nous n’en sommes qu’à la moitié de l’histoire ! En réalité, vous êtes bien plus qu’un simple sous-traitant de données pour le compte de DNS Belgium. Pour l’enregistrement et le WHOIS, les choses sont claires, c’est DNS Belgium qui est responsable du traitement, et vous êtes simplement le sous-traitant.

Imaginons à présent que DNS Belgium ne vous donne aucune instruction technique. Cela signifie-t-il que vous n’allez pas traiter les données à caractère personnel de vos clients ? La réponse est non bien sûr, car vous aussi, vous avez besoin de ces données pour conclure le contrat avec votre client. Vous avez besoin de son nom, de ses adresses physique et mail, de son numéro de TVA, etc.  pour pouvoir générer la facture pour les services fournis. Vous avez besoin d’un numéro de carte de crédit pour traiter les paiements de votre client. Et vous avez besoin de son adresse mail et d’un numéro de téléphone pour pouvoir joindre facilement votre client en cas de problème.

Pour toutes ces formes de traitement de données, c’est vous qui déterminez l’objectif et les moyens. En d’autres termes, c’est vous le responsable du traitement. D’un point de vue légal, vous êtes à la fois le responsable du traitement et le sous-traitant d’un ensemble quasi-identique de données à caractère personnel.

Si vous travaillez avec des revendeurs, cela ajoute une dimension supplémentaire au scénario. Dans la relation revendeur-agent-DNS Belgium, vous êtes coincé entre les deux ! DNS Belgium reste le responsable du traitement alors que le revendeur et vous êtes de simples sous-traitants. Mais DNS Belgium n’a aucun lien contractuel avec votre revendeur.

Nous vous conseillons donc de conclure une convention de traitement avec vos revendeurs également, en complément de celle qui figure dans votre contrat d’enregistrement. Vous éviterez ainsi d’être tenu responsable d’un éventuel délit commis par un de vos revendeurs. Cela vous donne en outre la possibilité de résilier rapidement le contrat avec des parties en défaut.

A l’inverse, un revendeur peut vous demander de signer avec lui une convention de traitement. Contrairement à la relation directe entre DNS Belgium et vous, il ne s’agit pas ici de vos clients mais de ceux de votre revendeur. C’est le revendeur qui est responsable du traitement à l’égard de ses clients, tout comme vous l’êtes envers vos propres clients. En conséquence, dans votre position à l’égard des clients de revendeur, vous ne jouez qu’un rôle de sous-traitant.  

Voici donc ce que nous vous conseillons de faire : analysez surtout les relations contractuelles où intervient le traitement de données. Pour l’essentiel,  il s’agit de vos contrats avec les opérateurs de registries et éventuellement l’ICANN, des contrats avec des centres de données, des sociétés d’hébergement et des ISP, des contrats avec les revendeurs et autres subcontractors, des contrats avec d’autres agents avec qui vous collaborez et de vos services de data escrow

 

ICANN

Internet Corporation for Assigned Names and Numbers, une asbl  responsable au niveau mondial de la gestion des noms de domaine

WHOIS

Recherche qui fournit des informations sur le détenteur du nom de domaine, l’agent d’enregistrement, le serveur de nom ainsi que des informations sur le statut du nom de domaine.

DNS

Domain Name System, littéralement Système de Noms de Domaine. Le DNS est le protocole internet qui assure la conversion entre les noms de domaine et les adresses IP et vice versa.