Le Groupe dit « Article 29 » a été institué par l´article 29 de la Directive 95/46 relative à la pro-tection des données à caractère personnel. Le Groupe « Article 29 » donne des avis et des con-sultations sur des points relatifs au droit à la protection des données à caractère personnel.
C´est dans ce cadre qu´il a rendu un avis le 16 février 2010 sur les notions de « responsable du traitement » et de « sous-traitant » au sens de la Directive relative à la protection des données à caractère personnel (transposée dans le droit belge au travers de la loi dite « vie privée » du 8 décembre 1992).
La précision de ces notions était importante, notamment en raison du développement des NTIC qui rendent la distinction entre elles de plus en plus délicate, au point que la distinction même ait été remise en cause.
Selon le Groupe « Article 29 », ces précisions se révèlent nécessaires en raison « [des] modes d´organisation différenciées dans les secteurs public et privés, [du] développement des TIC » et de « la mondialisation du traitement des données » qui créent une certaines insécurité juri-dique, la personne concernée par le traitement de ses données ne sachant pas vers quel acteur se tourner en cas de problèmes. L´enjeu de cette détermination réside dans la ou les responsabilité(s) éventuelles des acteurs.
La distinction entre les notions de « responsable » et de « sous-traitant » est importante en pra-tique.
Un responsable de traitement est la personne physique ou morale qui détermine les moyens et les finalités d´un traitement. Le « sous-traitant » est l´entité juridique distincte du responsable du traitement qui traite les données pour le compte du responsable du traitement et sous son autorité.
Le pouvoir de détermination des finalités et moyens du traitement entraîne la qualification de responsable du traitement et constitue donc le principal critère de distinction. Ajoutons qu´il ne suffit pas de qualifier, même contractuellement, une personne (morale ou physique) de respon-sable du traitement ou de sous traitant pour qu´elle soit considérée comme telle, encore faut-il que les éléments factuels confirment cette affirmation. Cette précision est conforme à la jurispru-dence en matière de qualification juridique, que ce soit en droit belge ou européen.
En ce qui concerne les finalités, le pouvoir de détermination peut trouver sa source dans la loi, les modes traditionnels de répartition des responsabilités au sein d´organisations ou encore de tout autre élément de fait propre à chaque cas d´espèce (dispositions contractuelles, etc.). Seul le res-ponsable du traitement peut déterminer les finalités du traitement. Le simple constat de ce pou-voir permet donc de qualifier une personne de responsable du traitement.
Au contraire de la détermination des finalités, la détermination des moyens peut être déléguée par le responsable du traitement, pour autant que la délégation porte seulement sur des questions techniques ou d´organisation (et non sur des questions sensibles comme le choix des données à traiter, la durée de leur conservation...). L´identification d´un pouvoir de détermination des moyens ne permet donc pas nécessairement de conclure à une qualification en tant que respon-sable du traitement.
La responsabilité et les éventuelles sanctions (notamment en termes d´amendes) sont à charge du seul responsable de traitement. La qualification juridique est donc lourde de conséquences.
En pratique, il n´est cependant pas toujours aisé d´identifier le responsable du traitement et de le distinguer du simple sous-traitant, surtout dans le cadre des NTIC. En effet, le traitement des données à caractère personnel se complexifie par l´intervention de divers acteurs, ce qui rend difficile l´identification du /des responsable(s) du traitement par rapport à son (ses) sous-traitant(s).
Parfois, un même acteur peut être sous-traitant pour un traitement donné et responsable pour un autre traitement qui est lié au premier. Le Groupe « Article 29 » prend l´exemple d´une entreprise A qui offre des services de publicité et de marketing direct à d´autres sociétés. La société A travaille pour la société B en assurant sa publicité. La société A est donc son sous-traitant. Cependant, la société A utilise la base de données de clients de la société B pour effectuer la promotion pour d´autres de ses clients. La société A devient responsable du trai-tement car elle définit une nouvelle finalité.
L´éventuelle marge de manoeuvre laissée au sous-traitant constitue un autre élément sur le-quel il convient de porter une attention particulière. En effet, une marge de manoeuvre impor-tante a pour conséquence que la personne ne pourra pas être considérée comme un « sous-traitant » mais peut-être comme un « coresponsable ». C´est ce que le Groupe « Article 29 » qualifie de « responsabilité pluraliste » : plusieurs acteurs peuvent en effet être considérés comme des « responsable du traitement » même si a priori, ils étaient plutôt de simples « sous-traitants ». A cet égard, il est intéressant de relever que cette « coresponsabilité » n´a pas automatiquement pour conséquence d´engendrer une responsabilité solidaire mais peut aussi déboucher sur des responsabilités distinctes, en fonction du rôle des différents interve-nants dans le traitement de données.
En ce qui concerne la position des personnes au sein d´une organisation et la question des pouvoirs de décision, le groupe 29 recommande que ce soit l´organisation elle-même qui soit considérée comme le responsable du traitement et non la personne physique qui, au sein de l´organisation et pour le compte de celle-ci, exerce un pouvoir lui permettant de décider des finalités du traitement.
Le Groupe « Article 29 » plaide pour un maintien de la distinction entre responsable du trai-tement et sous-traitant, tout en invitant à la préciser. Il rappelle à ce propos que ces notions sont autonomes et relèvent du droit communautaire européen.
L´avis du groupe 29 est disponible sur le site web officiel de la Commission européenne, à l´adresse : http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2010/wp169_fr.pdf