Réponse

Le responsable du traitement des données détermine les finalités et les moyens du traitement des données à caractère personnel. Ainsi, si votre entreprise/organisation décide «pourquoi» et «comment» les données à caractère personnel devraient être traitées, elle est  le responsable du traitement. Les employés traitant les données à caractère personnel au sein de votre organisation agissent pour exécuter vos missions en tant que responsable du traitement.

Votre entreprise/organisation est  un responsable conjoint du traitement si elle s'associe à une ou plusieurs organisations pour déterminer conjointement «pourquoi» et «comment» les données à caractère personnel devraient être traitées. Les responsables conjoints du traitement doivent conclure un accord déterminant leurs responsabilités respectives pour se conformer aux règles du RGPD. Les principaux aspects de cet accord doivent être communiqués aux personnes dont les données sont traitées.

Le sous-traitant des données traite les données à caractère personnel uniquement pour le compte du responsable du traitement. Le sous-traitant des données est généralement un tiers extérieur à l’entreprise. Toutefois, dans le cas des groupes d’entreprises, une des entreprises peut être le sous-traitant d’une autre.

Les devoirs du sous-traitant envers le responsable du traitement doivent être précisés dans un contrat ou dans un autre acte juridique. Par exemple, le contrat doit préciser ce que deviennent les données à caractère personnel quand le contrat prend fin. Une activité typique des sous-traitants est de proposer des solutions informatiques, dont le stockage dans le nuage. Le sous-traitant des données ne peut recruter un autre sous-traitant ou nommer un sous-traitant conjoint pour effectuer une partie de sa mission que lorsqu’il a reçu une autorisation écrite préalable du responsable du traitement des données.

Dans certaines situations, une entité peut être un responsable du traitement des données, ou un sous-traitant des données, voire les deux.

Exemples

Responsable du traitement et sous-traitant

Une brasserie compte de nombreux employés. Elle signe un contrat avec une entreprise de traitement de la paie pour le versement des salaires. La brasserie informe l’entreprise de traitement de la paie quand les salaires doivent être versés, quand un employé démissionne ou reçoit une augmentation de salaire, et lui fournit toutes les autres informations nécessaires à la fiche de paie et au paiement. L’entreprise de traitement de la paie fournit le système informatique et conserve les données des employés. La brasserie est le responsable du traitement des données et l’entreprise de traitement de la paie est le sous-traitant des données.

Responsables conjoints du traitement

Votre entreprise /organisation propose des services de garde d’enfants par le biais d’une plateforme en ligne. En même temps, votre entreprise/organisation a un contrat avec une autre entreprise qui vous permet de proposer des services à valeur ajoutée. Ces services comprennent la possibilité pour les parents de choisir la personne qui garde leur(s) enfant(s), mais aussi de louer des jeux et des DVD que la personne apportera. Les deux entreprises sont impliquées dans la partie technique du site internet. Dans ce cas, elles ont décidé d’utiliser la plateforme pour servir leurs deux finalités (services de garde d’enfants ainsi que location de DVD et jeux) et elles partageront très souvent les noms de leurs clients. Ainsi, les deux entreprises sont des responsables conjoints du traitement, car non seulement elles acceptent de proposer des «services combinés», mais elles conçoivent et utilisent aussi une plateforme commune.

Références