Dans ses lignes directrices sur les concepts de responsable de traitement et de sous-traitant dans le RGPD^[1] , le Conseil européen de la protection des données fournit une analyse juridique de ce que signifie la détermination des moyens de traitement. La discussion est ici plus orientée sur le plan technique. Le Conseil fait la distinction entre les “moyens essentiels” et les “moyens non essentiels” ; ces derniers peuvent également être déterminés par les sous-traitants. Le présent texte ne fait pas une telle distinction et se contente de fournir une interprétation technique des décisions que la détermination des moyens implique.

La détermination des moyens est une phase qui précède l’utilisation opérationnelle d’un système de traitement et qui prépare et met en place tout ce qui est nécessaire pour les opérations de traitement proprement dites. Cela signifie que, guidé par les finalités, un responsable du traitement doit planifier, concevoir et mettre en œuvre tout ce qui est nécessaire pour permettre le traitement lui-même. Cela comprend au moins les tâches suivantes :

• Déterminer les ressources humaines et techniques nécessaires au traitement ;
• Déterminer les instructions qui définissent le traitement autorisé et qui sont adaptées aux ressources ;

Ce que cela implique de manière plus détaillée est décrit dans ce qui suit.

La détermination des ressources humaines implique au moins les éléments suivants :

• La planification qui détermine les ressources humaines nécessaires, la sélection des ressources humaines appropriées et leur mise sous l’autorité du responsable du traitement ou du sous-traitant. Cela se fait généralement par le biais d’un emploi qui établit une relation contractuelle entre l’employé et le responsable du traitement.
• Mettre les ressources humaines en état de traduire les instructions d’une manière qui constitue un traitement autorisé. Cela peut impliquer des éléments tels que
  • la signature d’un accord pour s’abstenir de divulguer des données personnelles,
  • l’engagement de la ressource humaine envers certaines politiques générales ou codes de conduite, et
  • la formation de la ressource humaine pour acquérir les connaissances et les compétences nécessaires à l’exécution des instructions de la manière souhaitée.

La détermination des ressources techniques implique au moins les éléments suivants :

• Planifier, sélectionner et acquérir les ressources techniques nécessaires.
• Mettre les ressources techniques dans un état tel qu’elles puissent exécuter les opérations de traitement nécessaires. Cela peut impliquer des choses telles que
  • l’installation physique,
  • la configuration,
  • l’intégration dans l’infrastructure utilisée, et
  • l’installation des logiciels nécessaires.

Détermination des instructions pour les ressources en général : Après avoir abordé la détermination des ressources, nous analysons ci-après la détermination des instructions. En regardant la Figure 2, il est clair que les types d’instructions suivants existent :

• Des instructions qui déterminent le comportement d’une seule ressource,
• des instructions qui déterminent l’interaction entre plusieurs ressources,
• des instructions qui déterminent l’interaction entre les ressources et les personnes concernées, et
• des instructions qui déterminent la divulgation de données personnelles à des destinataires tiers.

Ces différents types d’instructions sont examinés plus en détail dans ce qui suit, tout en distinguant les ressources humaines et techniques.

La détermination des instructions relatives aux ressources humaines est abordée dans ce qui suit :

• Les instructions destinées aux ressources humaines individuelles peuvent être exprimées dans deux styles différents :
  • Définir les résultats, les produits et les effets que l’activité de la ressource humaine doit produire. Il s’agit d’instructions déclaratives qui se concentrent sur l’aspect “quoi” et s’appuient sur la capacité de la ressource à remplir l’aspect “comment” des instructions.
  • Descriptions détaillées de la manière dont une activité doit être exécutée. Il s’agit d’instructions impératives qui se concentrent sur l’aspect “comment”, exigent moins d’intelligence et d’autonomie de la part de la ressource exécutante et définissent souvent l’aspect “quoi” de manièreplus implicite.
• Instructions sur la manière dont les ressources humaines interagissent entre elles : Cela comprend la conception et la spécification des processus d’affaires, des flux de travail et des flux de données. Il existe divers langages formels^[2] et notations graphiques^[3] pour soutenir ces activités.
• Instructions sur la manière dont les ressources humaines interagissent avec les ressources techniques : Les ressources techniques ne sont pas autonomes. Elles sont contrôlées par des humains (c’est-à-dire des ressources humaines). Même la ressource technique la plus autonome doit être mise en marche. En général, les ressources humaines exercent un contrôle plus poussé sur les ressources techniques par le biais d’interfaces utilisateur et d’interactions homme-machine (IHM). Les diagrammes de cas d’utilisation constituent un moyen courant de modéliser ces interactions. Ceux-ci sont souvent utilisés pour la spécification des exigences fonctionnelles des logiciels. Les instructions sur la manière dont les humains interagissent avec les ressources techniques définissent également quelles ressources humaines sont autorisées à accéder à quelles ressources techniques et à quelles fins. Ces types d’instructions déterminent donc également la responsabilité des ressources humaines dans l’exploitation de certaines ressources techniques.
• Les instructions sur la façon dont les ressources humaines interagissent avec les personnes concernées déterminent les interactions que les personnes concernées peuvent avoir avec le responsable du traitement. Cela inclut le traitement manuel des invocations des droits des personnes concernées (voir chapitre 3 du RGPD) et les interactions prévues avec le délégué à la protection des données (voir art. 38(4) du RGPD).
• Les instructions sur la manière dont les ressources humaines interagissent avec les destinataires tiers déterminent quelles données personnelles sont divulguées manuellement aux destinataires tiers.

La détermination des instructions pour les ressources techniques implique les éléments suivants :

• Les instructions relatives aux ressources techniques individuelles englobent potentiellement les aspects suivants :
  • Approvisionnement^[4] d’un logiciel qui constitue généralement des instructions machine exprimées dans un langage de programmation formel (impératif ou déclaratif). Le comportement du logiciel peut dépendre de paramètres qui peuvent être déterminés à un moment ultérieur ; ces paramètres sont généralement appelés configuration. La décision de savoir si la configuration est possible et quels paramètres elle implique est intégrée au logiciel. Il existe deux types de configuration,
    • celui déterminé par le responsable du traitement, et
    • celui contrôlé par la personne concernée (par exemple, les préférences et les paramètres pris en charge par une interface utilisateur appropriée).
  • Configuration du logiciel par le responsable du traitement.
  • Spécification des valeurs par défaut pour les configurations effectuées par la personne concernée. C’est évidemment l’objet de la protection des données par défaut qui est réglementée à l’art. 25(2) du RGPD (voir section 4.4.4 ci-dessous).
• Instructions sur la manière dont les ressources techniques interagissent entre elles : Les ressources techniques peuvent interagir entre elles lorsqu’elles disposent d’interfaces reliées par des canaux decommunication. Les communications qui peuvent avoir lieu sont généralement déterminées par des protocoles. Les communications peuvent être représentées, par exemple, par des diagrammes d’interaction tels que les diagrammes de séquence UML et les diagrammes de communication UML. Ces communications impliquent généralement l’échange de données (personnelles). Elles peuvent être représentées graphiquement dans des diagrammes de flux de données. Ce type d’instructions détermine également quelles ressources techniques sont autorisées àinteragir avec quelles autres et à quelles fins. Les aspects déterminés par ce type d’instructions sont souvent liés au concept d’architecture (de composants) technique.
• Les instructions sur la façon dont les ressources techniques interagissent avec les personnes concernées sont généralement utilisées pour la configuration par les personnes concernées (voir art. 25(2) du RGPD et sa discussion ci-dessous) et pour le soutien automatisé des droits des personnes concernées (voir chapitre 3 du RGPD). Les deux requièrent des interfaces utilisateur appropriées. Là encore, des diagrammes de cas d’utilisation peuvent être utilisés pour les représenter. De plus, l’authentification et le contrôle d’accès sont nécessaires pour que la ressource technique puisse déterminer si l’utilisateur est bien la personne concernée légitime revendiquée.
• Les instructions relatives au transfert automatique de données à des destinataires tiers déterminent quelles données (personnelles) sont divulguées, dans quelles conditions et comment. Cela nécessite généralement des interfaces pour les humains ou les machines et des canaux de communication appropriés. Les données peuvent être poussées vers les destinataires ou divulguées sur demande. L’authentification (des personnes ou des machines) et le contrôle d’accès sont également pertinents dans ce cas.

Identifier les mesures techniques et organisationnelles appropriées : Comme nous l’avons vu dans la section ci-dessus, l’art. 25(1) impose aux responsables du traitement de mettre en œuvre les mesures techniques et organisationnelles appropriées qui visent à appliquer les principes de protection des données également au moment de la détermination des moyens. Il a été expliqué ci-dessus que la détermination des moyens consiste à déterminer les ressources et les instructions. De plus, ensemble, les ressources et les instructions constituent un système de traitement capable d’exécuter les instructions autorisées sur des données personnelles réelles.

Il est clair que les mesures requises doivent être intégrées à ce système de traitement. C’est-à-dire qu’elles doivent être intégrées dans ses instructions et appliquées à ses ressources. En d’autres termes, ces mesures ne peuvent pas être déterminées indépendamment. En fait, elles doivent être déterminées en même temps que la détermination des instructions et des ressources. À chaque étape de la détermination d’une partie ou d’un aspect du système de traitement, les principes de la protection des données doivent être pris en compte afin d’identifier et d’intégrer les mesures adéquates.

Pour cette raison, les aspects d’un système de traitement qui ont été distingués dans la discussion ci-dessus identifient directement les domaines dans lesquels des mesures appropriées doivent être trouvées et mises en œuvre. Cette section sert donc à fournir une structure pour la discussion détaillée des mesures dans la section 2.3.3.1 ci-dessous . Elle permet également d’atteindre une certaine exhaustivité en considérant systématiquement tous les aspects et chaque principe.

 

1. Conseil européen de la protection des données, Lignes directrices 07/2020 sur les concepts de contrôleur et de sous-traitant dans le RGPD, version 2.0, adoptées le 7 juillet 2021, https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf (dernière visite le 2/12/2021). ↑
2. Ces langages formels comprennent par exemple le langage de définition de processus XML (XPDL) et le langage d’exécution de processus métier (BPEL). ↑
3. Ces visualisations graphiques comprennent par exemple le Business Process Model and Notation (BPMN), les diagrammes d’activité, les organigrammes et les réseaux de Petri. ↑
4. L’approvisionnement est ici utilisé comme un terme collectif qui englobe à la fois le développement personnalisé et l’acquisition de logiciels sur le marché. Dans les deux cas, les contrôleurs sont responsables d’une analyse et d’une spécification adéquates des besoins. ↑