Le registre des traitements, subtiles différences entre responsable de traitement et sous-traitant

De e-glop
Révision datée du 18 février 2020 à 13:42 par BeTa (discussion | contributions) (Page créée avec « Si vous êtes un peu attentif au RGPD, vous aurez remarqué qu'il est souvent question du registre des traitements du sous-traitant (ST) et de celui du responsable de trai... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)

Si vous êtes un peu attentif au RGPD, vous aurez remarqué qu'il est souvent question du registre des traitements du sous-traitant (ST) et de celui du responsable de traitement (RT), précisés par le même article 30 du RGPD. Dans la pratique, ce n'est pas si différent et ne demande pas nécessairement de grandes opérations pour distinguer les deux. Pour autant des différences existent, discrètes, mais les aurez-vous remarquées ?

Par ordre d'importance croissante :

  1. Identifier le RT d'un côté versus le ST + le RT de l'autre (art.30.1.a et 30.2.a)
  2. Pour le ST seulement: un regroupement des traitements réalisés par RT commanditaire (art.30.2.b)
  3. Pour le RT seulement: les finalités du traitement, les catégories de personnes concernées, les catégories de destinataires et (dans la mesure du possible) les délais d'effacement des données (art.30.1.b, c, d et f)
  4. Le ST tient un registre des "catégories d'activités de traitement" (art.30.2) là où le RT tient un registre des "activités de traitement" (art.30.1).

Cette dernière différence exige davantage de précision au RT et permet au ST d'inclure dans une "catégorie d'activités traitement" des "sous-traitements" sans avoir à les déclarer en propre. Autrement dit, le ST peut indiquer par exemple une catégorie de traitement "Gestion des virements bancaires SWIFT" pour lequel ce dernier est clairement ST d'une banque sans avoir à créer de traitement spécifique pour (par exemple) le traitement de sauvegarde qui, à son échelle, représente bien un traitement particulier mais entre alors dans la "catégorie de traitements" indiquée sous-traitée.

En conclusion, un ST n'a pas à identifier les traitements dont il est responsable et qui sont des "sous-traitements" réalisés pour le compte d'un tiers (le RT). C'est là une différence majeure qui passe inaperçu à la première lecture de l'article 30 du RGPD, qui mérite toute notre attention. Cette différence a également un impact lorsqu'un ST reçoit une demande d'exercice des droits de la part d'une personne concernée : son "sous-traitement" de sauvegarde ne rentre pas dans le cadre des traitements dont il est responsable. Mais cela fera alors l'objet d'un prochain article...