L’un des plus gros problèmes des systèmes IdO est qu’ils utilisent souvent différents appareils, avec leurs propres caractéristiques. Cela crée des problèmes importants en termes de répartition des rôles entre les différents responsables du traitement impliqués. D’un autre côté, il est évident qu’un responsable du traitement confiera souvent certaines des tâches techniques à un sous-traitant, qui pourrait même impliquer un sous-sous-traitant dans ces tâches. Dans la pratique, cependant, il y aura des moments où il sera difficile de s’assurer que le sous-traitant n’agit pas réellement en tant que responsable du traitement ou responsable du traitement conjoint.

Les développeurs IdO devraient faire de leur mieux pour éviter ces problèmes, car le règlement sur la protection des données exige une réponse claire à la question “qui est responsable de ce traitement ?” pour garantir une protection efficace et complète des droits et libertés des personnes concernées. Ainsi, une exigence clé d’une politique adéquate de protection des données dès la conception est de clarifier dès le début qui sont les responsables du traitement et les sous-traitants de données, afin de s’assurer que la responsabilité légale est comprise.

Afin d’atteindre cet objectif, des accords écrits entre tous les agents impliqués dans le développement de l’outil doivent être conclus et documentés. Ceux-ci devraient inclure des spécifications claires sur les responsabilités assumées par tous les participants. La promotion d’une interaction continue entre toutes les DPD impliquées pourrait être une excellente option. Des organes et des outils de contrôle ad hoc peuvent être adoptés pour garantir une surveillance sans faille du traitement effectué par les participants. Voir l’encadré ci-dessous.

En outre, certaines parties peuvent rédiger des contrats en se positionnant dans un rôle différent de celui qui leur est réellement applicable. Par exemple, une partie prenante peut prétendre être un sous-traitantafin d’éviter certaines obligations de contrôle, et même signer un contrat. Cependant, la réalité fait loi ici et, indépendamment de ce que disent les parties, leur rôle devra être défini en fonction de leurs actes. En ce sens, la jurisprudence de l’UE^[1] tend à élargir le concept de responsable du traitement et de responsable du traitement conjoint, réduisant ainsi la place des purs sous-traitants. À cet égard, il arrivera souvent que toutes les parties impliquées partagent un certain degré de responsabilité et deviennent des responsables du traitement conjoints pour les parties des activités de traitement impliquant ces différentes parties. À partir de là, chaque partie aura sa propre responsabilité indépendante et distincte.

Encadré 2 : Gérer des scénarios complexes de responsabilités en matière de données Le projet de recherche Synchronicity, financé par l’UE, visait à créer un écosystème harmonisé pour les solutions de villes intelligentes basées sur l’IdO, où les fabricants de dispositifs IdO, les intégrateurs de systèmes et les fournisseurs de solutions peuvent innover et se concurrencer ouvertement. Ainsi, il utilisait beaucoup de données personnelles fournies par différentes sources. Dans ce contexte, “il est apparu assez clairement que les responsable du traitement des données de facto étaient les villes elles-mêmes. Ce sont elles qui contrôlent quelles données sont collectées et dans quel but. En même temps, le projet avait la responsabilité collective de s’assurer que ses activités de recherche étaient également conformes au règlement. Coordination de la protection des données – Modèle mezzanine Si plusieurs responsables du traitement des données peuvent être impliqués, la coordination entre eux au niveau du projet doit être assurée et garantie. C’est ce que Synchronicity a expérimenté en mettant en place un comité de protection des données (CPD) regroupant les délégués à la protection des données (DPD) de chaque ville intelligente, présidé par un coordinateur de la protection des données du projet (CPDP) au niveau du projet. Selon la loi, les villes restent les responsables formels du traitement des données sous leur contrôle et elles en sont directement responsables. Cependant, la mise en place du CPD permet une coordination étroite et un partage d’expérience pour s’assurer que le projet dans son ensemble est conforme à la réglementation, ainsi que pour identifier et atténuer les risques potentiels qui pourraient avoir un impact sur les partenaires.” Suivant ce critère, les rôles et les responsabilités dans le projet ont été répartis comme suit : Au niveau du DPD de la ville x Fonctions et responsabilités du DPD, y compris la protection des données et le contrôle de la conformité au RGPD. x Identification de la collecte des données personnelles, y compris l’identification des responsables du traitement et des sous-traitants de données. x Analyse de l’impact sur la protection des données (AIPD) Au niveau du projet x Coordination de la politique de protection des données x Information du public et contact x Rapports et protection des données Gestion des questions (Voir : https://www.monica-project.eu/wp-content/uploads/2020/06/Personal-DataProtection-for-IoT-Deployments-final-MI.pdf, p. 11)

 

1. Voir : Arrêt de la Cour (grande chambre) du 5 juin 2018.
   Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH.
   Demande de décision préjudicielle auprès du Bundesverwaltungsgericht. Affaire C210-16, à l’adresse : https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:62016CJ0210 ↑