Après avoir déterminé si "le bloc de la protection des données" s'applique à la situation envisagée, il convient de se demander quel est le rôle que les différents acteurs vont jouer. Trois catégories sont envisagées par le RGPD:

1. Le responsable de traitement

2. Le sous-traitant

3. Le délégué à la protection des données

Le responsable du traitement

Afin de faciliter votre compréhension du sujet, cette partie est divisée en deux. Dans un premier temps la notion de responsable de traitement va être explicitée. Dans un second temps, les situations de responsabilité conjointe vont être évoquées.

La notion de responsable de traitement

Cette notion clef est définie par l'article 4 du RGPD.

7. «responsable du traitement», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;

Le responsable de traitement est donc celui qui détermine les moyens et les finalités. Ces deux notions sont très larges et assez floues, et peuvent poser des difficultés pratiques pour les traitements comprenant de nombreux acteurs.

Au yeux du public, le responsable de traitement est d'abord et avant tout celui qui s'affiche comme tel. De manière plus théorique, c'est celui qui prend les décisions et qui contrôle leur bonne application :

• La décision de mettre en œuvre le traitement

• La détermination du ou des objectifs du traitement

• La détermination des méthodes à employer pour arriver à ces objectifs

• La décision d'employer tel ou tel prestataire pour réaliser une ou plusieurs tâches

Un autre critère très couramment utilisé est celui de l'intérêt : le responsable de traitement peut être celui qui profite du traitement de données, celui qui en tire un bénéfice.

Les co-responsables du traitement

Enfin, s'il y a toujours un responsable de traitement, il n'est pas obligatoire qu'il n'y en ait qu'un seul. L'article 26 du RGPD prévoit en effet que

1. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement

Il est à noter qu'il n'est pas nécessaire d'y avoir un équilibre entre les implications de chacun pour que plusieurs organismes soient co-responsables. Plusieurs schémas sont envisageables :

1. Les co-responsables définissent ensemble les finalités et les moyens du traitement

2. Un co-responsable définit les finalités et l'autre se charge des moyens

3. Les co-responsables définissent ensemble les finalités et un des deux se charge des moyens

4. ...

En pratique, la situation de responsabilité conjointe se rencontre assez peu, et a tendance a être évitée par les structures. En effet, elle implique la coordination d'au moins deux structures, parfois plus : en cas de difficultés relationnelles, le bon fonctionnement du traitement pourrait être remis en cause, ce qui n'est pas souhaitable.

Le sous-traitant

A nouveau, l'article 4 du RGPD définit le rôle du sous-traitant.

8. «sous-traitant», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

La définition est, en théorie, très claire : le sous-traitant est la personne qui va traiter les données pour le compte du responsable de traitement. C'est celui qui, en échange d'une rémunération, va en contrepartie réaliser une ou plusieurs opérations de traitement : la maintenance d'une base de données clients, la mise en œuvre d'un mailing efficace, …

La pratique, génératrice de difficultés

En pratique, la définition des rôles du responsable de traitement et de sous-traitant n'est pas si claire, et génère de nombreuses difficultés. Par exemple : je demande à mon sous-traitant d'arriver à tel objectif mais je le laisse libre de choisir les méthodes. Est-il sous-traitant au sens du RGPD ou est-il co-responsable ?

Autrement dit, quel niveau d'autonomie peut avoir un sous-traitant sans être considéré comme un responsable de traitement ? De manière générale, plus le prestataire est libre, plus il est susceptible d'être considéré comme un co-responsable de traitement.

La Cour précise bien que, même si vous avez une page Facebook, cela ne signifie pas nécessaire que vous êtes co-responsable : tout dépendra du rôle que vous jouez dans le traitement des données de vos abonnés. De manière générale, l'analyse des responsabilités est à effectuer de manière casuistique.

Le délégué à la protection des données

Le rôle du délégué à la protection des données (DPD ou DPO en anglais) n'est pas défini par l'article 4 du RGPD, mais par la section 4 (articles 37 et suivants). Le délégué à la protection des données est la personne qui conseille et accompagne le responsable de traitement dans sa mise en conformité à la réglementation.

Le délégué à la protection des données peut aussi bien être :

• Interne à l'entreprise, c'est-à-dire recruté comme tout employé

• Externe, c'est-à-dire recruté comme un prestataire

• Mutualisé, c'est-à-dire désigné par plusieurs structures, qui ont généralement des intérêts communs (exemples: plusieurs associations, plusieurs filiales d'un groupe, ...).

Maintenant que les rôles des différents acteurs ont bien été définis et délimités (autant que faire se peut), la prochaine étape est de bien comprendre les grands principes autour desquels gravite toute la réglementation.