Qui sont ces acteurs ?

Le responsable du traitement peut être toute “personne physique ou morale, autorité publique ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel (…)“^[1] . Il en ressort que toute entité qui dispose de données à caractère personnel pour diverses raisons est considérée comme un responsable du traitement, que ce soit, par exemple, pour mener des recherches scientifiques fondées sur des données à caractère personnel ou à des fins de marketing ou commerciales. Le responsable du traitement a une influence sur le traitement des données à caractère personnel, par l’exécution du traitement ou la capacité de décider du traitement. Afin de déterminer si une entité est un responsable du traitement, les questions suivantes peuvent être posées :

• Qui prend les décisions relatives au traitement des données ?
• Qui a le pouvoir d’arrêter le traitement des données ?
• Pourquoi le traitement a-t-il lieu ?
• Qui a lancé le traitement ?
• Qui bénéficie du traitement ?^[2]

La définition inclut également la possibilité que le responsable du traitement n’agisse pas seul, mais qu’il y ait plusieurs responsables du traitement, contrôlant conjointement le traitement des données à caractère personnel. La section sur le contrôle conjoint explique cela plus en détail.

Quelles sont leurs tâches ?

Le responsable du traitement détermine les moyens et les finalités du traitement des données. Cela signifie que le responsable du traitement est le maître du traitement des données à caractère personnel et l’acteur qui décide effectivement de ce qui sera fait avec les données à caractère personnel. Habituellement, le responsable du traitement vise à atteindre un objectif, par exemple un projet et un objectif de recherche ou un processus commercial*, pour lequel le traitement des données est nécessaire.

Quels sont leurs droits et leurs responsabilités ?

Les responsables du traitement doivent veiller au respect de la réglementation en matière de protection des données, telle que le RGPD. En d’autres termes, ils sont responsables de ce qui se passe avec les données à caractère personnel, de la manière dont elles sont traitées et de la conformité ou non du traitement au RGPD. En pratique, cela signifie que les responsables du traitement doivent introduire des mesures et des garanties visant à respecter l’application du RGPD et à démontrer ces politiques. En effet, l’article 24 du RGPD définit la responsabilité du responsable du traitement pour

“mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et mises à jour si nécessaire.”^[3]

Ces mesures techniques et organisationnelles sont expliquées plus en détail dans la section “Principes” du présent document. Le responsable du traitement doit être en mesure de démontrer que les principes de traitement des données, tels que la minimisation des données, la limitation du stockage et la transparence, sont mis en œuvre et garantis. L’article 5, paragraphe 2, du RGPD fait référence à la responsabilité du responsable du traitement. Il est donc essentiel que le responsable du traitement soit en mesure de démontrer et de documenter (article 30, paragraphe 2, du RGPD) que ces principes sont respectés.^[4][5] Les projets de recherche doivent être menés et mis en œuvre en tenant compte des principes de privacy-by-design et de privacy-by-default (article 25 du RGPD). Par responsabilité, on entend non seulement que “… la proposition de projet doit satisfaire à une liste de conditions données, mais aussi que la méthodologie de recherche elle-même doit être conforme à l’éthique et au droit dès la conception”^[6] . Parmi les exemples pratiques, on peut citer la participation d’une équipe interdisciplinaire, la nomination d’un expert en droit et en éthique en tant que DPD, la mise en place d’une infrastructure informatique conforme à la triade CIA, ainsi que l’enregistrement et la régulation des flux de données au sein de l’équipe de recherche et entre celle-ci et d’autres entités.^[7]

Le responsable du traitement peut instruire et désigner d’autres entités qui effectuent le traitement en son nom, appelées les sous-traitants. Il est du devoir du responsable du traitement de n’utiliser que des sous-traitants qui peuvent fournir des garanties suffisantes qu’ils ont mis en œuvre des mesures techniques et organisationnelles appropriées pour le traitement conforme au RGPD des données. Ces mesures doivent être prises et démontrées afin de sécuriser le traitement et de protéger les droits des personnes concernées.^[8] Naturellement, les chercheurs qui agissent en tant que responsables du traitement sont donc tenus de n’utiliser que des sous-traitants dignes de confiance qui peuvent démontrer leur conformité au règlement.

Si les droits de la personne concernée ont été violés, c’est-à-dire si des données à caractère personnel ont été traitées de manière illicite, entraînant des dommages matériels ou immatériels, ces personnes peuvent exercer les droits que leur confèrent les articles 16 à 23 du RGPD (voir la section sur les droits de la personne concernée). À cette fin, le responsable du traitement est le “point de référence ultime”^[9] que les personnes concernées peuvent contacter pour exercer leurs droits. L’art. 82(1) du RGPD stipule que dans de telles circonstances, les personnes concernées ont le droit de recevoir une compensation du responsable du traitement (ou du sous-traitant) pour le dommage. En outre, les responsables du traitement sont responsables des dommages s’ils enfreignent le RGPD (article 82, paragraphe 2). Le considérant 146 indique que les personnes concernées doivent recevoir une indemnisation effective et complète pour les dommages qu’elles ont subis et que “la notion de dommage devrait être interprétée largement à la lumière de la jurisprudence de la Cour de justice d’une manière qui reflète pleinement les objectifs du présent règlement”.

Liste de contrôle : Vous êtes susceptible d’être un contrôleur si vous répondez par “oui” à l’une des affirmations suivantes Vous recueillez ou utilisez des données personnelles à des fins personnelles ou de recherche. Même si une autre entité traite des données personnelles, c’est vous qui déterminez pourquoi ces données doivent être traitées. Vous avez décidé des catégories de données personnelles à recueillir exactement et auprès de qui. Les données personnelles que vous envisagez de traiter concernent vos employés. Vous avez choisi une autre entité, par exemple une autre société ou un autre organisme de recherche, pour traiter ou analyser les données personnelles en votre nom. Vous êtes habilité à mettre fin au traitement des données à caractère personnel

1. Art. 4(7) du RGPD ↑
2. Voir les lignes directrices du CEPD sur les notions de responsable du traitement, de sous-traitant et de co-contrôleur en vertu du règlement (UE) 2018/1725, p.7, fondées sur l’affaire C-210/16 Wirtschaftsakademie Schleswig-Holstein ECLI:EU:C:2018:388, para. 40 et les conclusions de l’avocat général Bot dans l’affaire C-210/16, Wirtschaftsakademie, par. 64 et 65. ↑
3. Voir l’article 24(1) du RGPD ↑
4. CEPD, “Un avis préliminaire sur la protection des données et la recherche scientifique, 6 janvier 2020, p.17. ↑
5. CEPD, “Lignes directrices 07/2020 sur les concepts de contrôleur et de sous-traitant dans le RGPD”, 2 septembre 2020, p. 8. ↑
6. D. Amram, “Building up the “Accountable Ulysses” model. The impact pf RGPD and national implementations, ethics, and health-data research : Comparative remarks”, Computer Law and Security Review, juillet 2020, vol. 37, p. 2. ↑
7. Ibid, p. 6. L’auteur de cet article identifie des caractéristiques supplémentaires à prendre en compte pour atteindre un “niveau acceptable de conformité”. ↑
8. CEPD, “Lignes directrices 07/2020 sur les concepts de contrôleur et de sous-traitant dans le RGPD”, septembre 2020, p.4. ↑
9. Voir https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf p.13 ↑