BREVES | Une holding qui décide des finalités d’un traitement pour ses entités n’est pas un sous-traitant | Legalis.net

, par  Laure Isabelle LIGAUDAN , popularité : 62%

DÉCISION
Article 1er : La requête de la société Foncia Groupe est rejetée.

Voir en ligne : BREVES | Une holding qui décide des finalités d’un traitement pour ses entités n’est pas un sous-traitant | Legalis.net

Le responsable retraitement, enjeu juridique majeur :)

Qui est le responsable de traitement, question clé car sur lui repose les injonctions de conformités et les sanctions civiles et pénales en cas de non-conformité.

Accessoirement, sur lui peut également reposer une charge immatérielle beaucoup plus impactante concernant son entreprise et sa longévité personnelle dans celle ci : la réputation de la marque.

L’exemple en est flagrant quand on lit expressément que FONCIA souhaite, parmi d’autres choses, voir son nom retirer de l’espace public tagué de la mention "non conforme".

Dans tous les cursus pédagogiques que j’ai pu concevoir ou animer sur la gestion des données à caractère personnel, la question du responsable de traitement est toujours revenue et elle a souvent été posée par des juristes.

Pourquoi, c’est simple, le flou potentiel de la définition stricto sensu de la loi informatique et libertés permet la mise en doute de la responsabilité pour qui doit défendre son responsable de traitement attaqué devant la CNIL ou les tribunaux.

Je vous livre la définition :

“ Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens “

Voilà comment le Conseil d’Etat a traduit cet article concernant FONCIA :

le Conseil d’Etat a jugé que la holding Foncia Groupe qui met à disposition de ses entités un traitement en est la responsable, au sens de la loi Informatique et libertés, car elle a décidé de la nature des données collectées, a déterminé les droits d’accès à celles-ci, fixé la durée de conservation et apporté des correctifs. Elle ne peut donc pas être considérée comme un sous-traitant au sens de l’article 35 de la loi.

et d’ajouter pour tous ceux et celles qui s’interrogent sur la mission du CIL ou d’une personne en charge d’une délégation de pouvoir sans moyens adéquates pour la faire respecter :

"que la désignation d’un correspondant à la protection des données par les entités n’a pas, par elle-même, pour effet de rendre celles-ci responsables des traitements"

Il ne s’agit pas d’une décision anodine, je voudrai l’illustrer avec un cas pratique qui m’occupe en ce moment professionnellement :)

Il existe de nombreuses organisations qui ont l’obligation, quels que soient leurs statuts, de remplir des formulaires de collecte de données (quelquefois personnelles voir sensible).
Les outils qu’ils utilisent pour cela leur ont été souvent fourni par une autre entité.
Si ils n’ont pas la main sur ces outils, d’aucune manière, ils ne peuvent être considéré (merci le Conseil d’Etat pour cette confirmation) comme responsable de traitement même si un CIL est désigné dans l’organisation qui remplit les formulaires :)
En revanche, si dans cette organisation qui remplit les formulaires, est employée une personne (un technicien informatique, par exemple) pour gérer les droits d’accès des personnes dont on collecte les données, il pourrait bien apparaitre qu’il puisse avoir une part de responsabilité.

J’ai toujours développer une dynamique de sensibilisation la plus transversale possible à la protection des données et aux règles de bases que sont la pertinence, le consentement, la proportionnalité et la finalité.

Pourquoi ?
Afin de s’assurer qu’une alerte puisse être faite à tous les niveaux d’un traitement auprès de son ou ses responsables.

Afin de protéger ceux et celles qui se font le relais de la responsabilité des traitements par délégation sans pourvoir décisionnaire et sans connaissance du sujet et à qui, comme vient de le dire le Conseil d’Etat la responsabilité incombe selon la définition du responsable de traitement par la loi informatique et libertés.

PS : merci à Inssata et Florence qui se sont faites pour l’une directement et l’autre via twitter les relais, à mon égards de cette décision :)