RGPD : comment déterminer votre rôle et celui de vos prestataires dans le traitement des données ?

Publié le

Quoi de neuf côté RGPD (Règlement Général de Protection des Données) dans le réseau ?

Nous travaillons actuellement sur les outils de mise en conformité dont nous vous parlions dans nos précédents articles. Rendez-vous fin septembre (ou début octobre) pour les premières mises en ligne !

En attendant leur parution, voici un zoom sur un point particulièrement important dans la mise en place du RGPD dans vos structures. Il s'agit de la détermination de votre rôle et celui de vos prestataires dans le traitement de vos données. Ceux qu’on croit sous-traitants ne le sont pas forcément !

En effet, côté RGPD, les entreprises ne sont pas soumises aux mêmes obligations suivant leur rôle et leur implication dans les traitements de données personnelles qu’elles traitent. Par exemple, celui que vous pensez être votre sous-traitant peut s’avérer être un co-responsable de traitement !

Le RGPD distingue deux grands acteurs :

Lorsqu’une entreprise traite des données personnelles (par exemple : lorsqu’elle les collecte, enregistre, organise, structure, conserve, adapte, modifie, extraie, consulte, utilise, communique, diffuse, rapproche, efface, détruit, etc.), elle est :

  • soit responsable de traitement,
  • soit sous-traitant.

Néanmoins, il est de plus en plus souvent difficile de délimiter une frontière claire et précise entre les deux. Cela s’explique notamment par la complexité du fonctionnement des services de la société en ligne et de la multitude des intervenants pour fournir un seul et même service.

 

Les critères de détermination des rôles dans le traitement

Pour faciliter cette analyse, le Groupe de Travail 29 ( « G29 »), qui réunit l’ensemble des autorités européennes chargées de protection des données personnelles, a publié certains critères pouvant permettre de réaliser plus aisément cette qualification.

La détermination du rôle exercé par un acteur suppose donc une analyse sur mesure pour chaque traitement réalisé. Il se peut même qu’une entreprise n’exerce pas le même rôle en fonction des différentes offres de services qu’elle propose.

 

Quelle application pratique ?

Dans le cas d’Apidae, et parce que nous mutualisons les outils et les données, l’audit a conclu à une responsabilité conjointe dans le traitement des données personnelles entre :

  • le réseau Apidae porté par Auvergne Rhône-Alpes Tourisme en tant que coordinateur du projet,
  • les membres contributeurs en tant que rôle de… contribution !

Par conséquent, la charte du réseau va évoluer pour décrire également le partage des rôles dans le traitement des données personnelles.

 

Pour vos traitements de données personnelles, vous pouvez donc être dans l’un des cas suivants en fonction du traitement et des acteurs intervenant dans le traitement :

  • Vous êtes responsable du traitement : les règles de mise en œuvre du RGPD s’appliquent.

> Voici un récapitulatif sur le site de la CNIL

  • Vous êtes co-responsables de traitement avec une autre structure. En plus du fonctionnement classique de la mise en œuvre du RGPD, pensez à formaliser ou adapter votre accord de partenariat ou contrat pour intégrer un document qui décrit les domaines de compétence et de responsabilité de chacun.

À retenir

  • Cet article propose un zoom sur la détermination de votre rôle et celui de vos prestataires dans le traitement de vos données  selon les critères établis par le Groupe de Travail européen, le « G29 ».
  • Dans le cas d’Apidae, l’audit a conclu à une responsabilité conjointe dans le traitement des données personnelles entre le réseau Apidae porté par Auvergne Rhône-Alpes Tourisme (coordinateur du projet), et les membres contributeurs (en tant que rôle de… contribution !).

Auteur de l’article