Protection des données à caractère personnel.pdf

Full Transcript

PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
→ enjeu de mise en conformité des entreprises au RGPD
Le droit de la protection des données à caractère personnel trouve son origine dans le droit au respect de la
vie privée.
(Ce droit a été conceptualisé en 1899 dans un article de la Harvard Review)
La consécration de ce droit comme autonome n’existe que depuis les années 50 (hyper récent).
La naissance de l’informatique va démarrer l’histoire de cette matière, notamment et surtout le terme de «
donnée » à protéger (avant l’on ne parlait que des informations)
Définition donnée : « terme mathématique : certaines choses ou quantités, qu’on suppose être données
ou connues et dont on se sert pour trouver d’autres qui sont inconnues et que l’on cherche ».
Informatique : contraction de « information » et « automatique » : application de procédés automatisés
Ce sont les dangers de l’informatiques qui sont à l’origine de l’idée de protection de ces données. Les
ordinateurs calculent des informations avec des bases de données qu’ils stockent de manière indéfinie.
La loi « informatique et liberté » est donc un projet qui visait à s’opposer au projet Safari de l’État français
qui voulait ficher tout le monde.
Aujourd’hui, ces dangers sont exacerbés par l’apparition d’Internet et des courriels, ce qui permettait de
fouiller les mails d’autrui. Puis vînt le téléphone portable que l’on peut espionner et surtout le smartphone
qui contient l’intégralité de notre vie privée.
(La législation a suivi l’évolution de ces dangers (directive de 1995 de la CE et le RGPD))
Cependant aujourd’hui on assiste à la prise d’ascendant de pouvoir du droit de la protection des données
par rapport à la vie privée.
➔ Il faut faire la différence entre la vie privée et les données personnelles et ne pas amalgamer ces
deux domaines.
I. Principaux textes et leurs champs d’application
II. Les acteurs
III. Les principes structurants
IV. Droit des personnes concernées
V. Mise en conformité
VI. Transferts internationaux
VII. Aspects contentieux

1

Chapitre 1 : Principaux textes et leurs champs d’application
Section 1 : Évolution des textes
- la première loi fût suédoise (11 mai 1973)
- suivie d’une loi de la RFA (1976).
• Loi Informatique et Liberté du 6 janvier 1978
Dans cette loi on retrouve des principes comme :
- l’idée d’autorisation préalable nécessaire pour des traitements par une personne publique - la
nécessité d’une déclaration pour les traitements réalisés par d’autres personnes - Octroie des
droits aux individus (opposition, modification, suppression etc…) - Dispositions spéciales pour
les données relatives aux origines raciales ou opinions politiques
- « Aucune décision de justice impliquant une appréciation du comportement humain ne peut avoir
pour fondement un traitement automatisé d’informations donnant une définition du profil ou de
la personnalité de l’intéressé »
Cette loi fut un succès, à tel point qu’elle a inspiré la
• Directive européenne 95/46 du 24 octobre 1995 « relative à la protection des personnes physiques à
l’égard du traitement des données à caractère personnel et à la libre circulation de ces données »
Le législateur français a donc évidemment transposé cette directive : loi du 6 août 2004 : - Augmentation
des pouvoirs de contrôle a posteriori de la CNIL et la limitation des contrôles a priori - Renforcement
des pouvoirs de la CNIL
- Création du CIL (correspondant informatique et liberté)
- Introduction du principe selon lequel la durée de conservation des données doit être proportionnelle
à sa finalité (art. 6)
- Introduction d’exceptions nouvelles à l’interdiction de traiter des données sensibles (origines raciales,
santé, opinion…) (art. 8)
- Introduction du principe d’interdiction du transfert des données à caractère personnel vers un État
n’appartenant pas à la Communauté Européenne (si niveau protection pas suffisant)

Entretemps : adoption de la Charte des Droits Fondamentaux de l’UE en 2000, surtout l’article 8 2

1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Ces données
doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne
concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder
aux données collectées la concernant et d'en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante.
S’ensuivent l’évolution des technologies (installation d’internet, le commerce électronique, l’avènement du
smartphone, les réseaux sociaux et la monétisation des données etc…)
Pour pallier aux distinctions au sein des pays de l’UE suite à la transposition de la directive 95, l’UE a jugé
nécessaire d’adopter un règlement européen
• RGPD + Directive nº 2016/860 « Police Justice » (27 avril 2016)
• Loi du 24 janvier 2016 en France
→ modernisation des données relatives à la santé
• Loi du 7 octobre 2016 (« république numérique »)
→ a élargi les pouvoirs de la CNIL
• Loi du 20 juin 2018
→ tire les conséquences du RGPD car elle modifie la CNIL pour la rendre conforme au règlement (devient
instance de contrôle) et pour fixer la position française sur les questions laissées ouvertes aux États
membres
• Ordonnance du 12 décembre 2018 (refonte de la loi de 1978 pour la rendre + lisible) •
Décret du 29 mai 2019 (décret d’application loi 1978)
Mais il existe déjà une législation spécialisée malgré l’apparition du RGPD (loi de 2016 par exemple)
De plus il existe des recommandations et lignes directrices émanant de
- Autorité de contrôle nationales (CNIL p.ex)
- Comité Européen sur le contrôle des données (CEPD)
Ces textes sont certes des recommandations, mais ils ont l’effet de décret d’application (toujours
obligatoire). Techniquement ces textes sont dépourvus de valeur coercitive, mais en pratique ils l’ont.
• Règlement du 23 octobre 2018 sur les traitements de données à caractère personnel par les organes
de l’UE…
• Conventions internationales
➢ CEDH
➢ Convention 108 (ratifiée par 47 pays du Conseil de l’Europe et des pays tiers)

Cette convention vient d’être révisée (Convention 108+)
Alors que la convention 108 a inspiré la RGPD, le RGPD a à son tour inspiré 108+, ce qui a permis de diffuser
des règles européennes hors de l’Europe (île Maurice par exemple).
3

• Projet de règlement e-Privacy : doit uniformiser les règles européennes en matière de
communication électronique (débat sur pédopornographie et les cookies entre autres)
- Actuellement directive 2002/58 du 12 juillet 2002 « concernant le traitement des données à caractère
personnel et la protection de la vie privée dans le secteur des communications électroniques »
Quels changements avec le RGPD ?
- Met à jour et unifie les dispositions d’autrefois en + d’introduire des nouveaux points
Mais le RGPD est plus une évolution qu’une révolution !
• Réduction des lourdeurs administratives (passage du système de déclaration préalable à un traitement
de responsabilité : « accountability »)
• Approche basée sur les risques (tests de proportionnalité) : mais pour certains traitements, c’est à moi
d’estimer les risques de mes actions (balance à effectuer)
• Meilleure prise en compte de la confidentialité des données à la conception des traitements (AIPD,
confidentialité par défaut, etc.)
• Renforcement des conditions de validité du consentement (si requis)
• Obligation généralisée de notification en cas de violations de données à caractère personnel •
Encadrement de l’utilisation du profilage
• Meilleure prise en compte et responsabilité accrue des sous-traitants
• Rôle important des Délégués à la protection des données (ex. CIL)
• Nouveaux droits pour les personnes concernées (ex. légalisation droit à l’oubli, droit à la portabilité
des données)
• Organisation des autorités de contrôle : guichet unique avec une autorité chef de file •
Augmentation sensible des sanctions
• Élargissement du champ d’application territorial du dispositif de protection (champ d’application
extra-territorial du RGPD dès lors que les personnes concernées ont une influence en UE).
Quid des spécificités de la directive « Police-Justice » ?

• Pourquoi cette directive existe-t-elle ?
C’est lié à la spécificité du droit pénal → les mis en enquête n’auront pas les mêmes droits contre le système
pénal que ceux que l’on pourrait en avoir contre un GAFA par exemple
4

Donc la directive adapte ces idées dans le considérant 49
Principes généraux = ceux du RGPD, mais adaptés à la nécessité de l’enquête !
• Pourquoi ne pas intégrer ces principes au RGPD ?
Les compétences de l’UE en matière pénale sont limitées (compétences de coordination, coopération, mais
ø uniformisation)
La directive est donc ici bien + adaptée qu’un règlement (- brute)
• Fondement de la règlementation européenne des données en la matière
➢ Article 16 § 1 TFUE : (à copier)
➢ Article 87 TFUE : (à copier)
Considérants de la directive : « faciliter le libre flux des données à caractère personnel entre les autorités
compétentes » en matière pénale « assurer un niveau élevé et homogène de protection des données à
caractère personnel des personnes physiques et de faciliter l’échange de données à caractère personnel
etc… »
Mais il ne faut pas oublier que les autorités pénales compétentes seront parfois amenées dans le cadre des
traitements d’appliquer le RGPD car l’affaire échappe au champ d’application de la directive
(cauchemardesque pour les autorités en question)
Section 2 : Champ d’application des textes
Précisions opportunes pour 2 textes : le RGPD & la directive Police-Justice
I/ Le RGPD
A. Champ d’application matériel
1. Définition positive du champ d’application
Article 2 § 1 : « Le présent règlement s'applique au traitement de données à caractère personnel,
automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel
contenues ou appelées à figurer dans un fichier ».
→ 2 concepts cruciaux : traitement et données à caractère personnel
a) Donnée à caractère personnel

Définition Article 4 § 1 : « données à caractère personnel », « toute information se rapportant à une
personne physique identifiée ou identifiable » (ci-après dénommée « personne concernée » : en anglais «
data subject »).

5

Décortiquons :
1- Le RGPD ne s’applique qu’aux personnes physiques
Mais les personnes morales disposent néanmoins d’autres protections :
➢ Directive 2002/58/CE (e-privacy) → intérêts légitimes des personnes morales à se voir protégée ➔
Projet de règlement e-privacy alignerait le droit des personnes physiques à celui des personnes morales
La CEDH accepte depuis longtemps (Article 8 CEDH) que des personnes morales puissent se prévaloir du
respect de certains aspects du droit au respect de la vie privée (comme le secret des correspondances) (≠
pour la Cassation).
L’article 52 de la CDF énonce à son alinéa 3 que les droits conférés par la charte sont les mêmes que ceux de
la CEDH.
2- Le RGPD ne s’applique qu’aux personnes vivantes
➔ Le droit au respect de la vie privée s’éteint le jour du décès !
Néanmoins les États membres peuvent légiférer comme ils le veulent sur cette question et faire comme bon
leur semble dans ce silence législatif.
Loi pour une République numérique : Art. 86 à 88 de la loi informatique et liberté : on peut confier des
directives à un tiers concernant le traitement des données après son décès.
→ À défaut, les héritiers peuvent exercer les droits de la personne décédée dans les mesures nécessaires à
l’organisation et au règlement de leurs successions, afin d’obtenir des biens numériques appartenant à des
souvenirs de famille & afin de faire prendre en compte le décès du proche.
Si le RGPD ne s’applique pas aux décédés, ce jeu de données peut quand même être protégé à travers des
personnes vivantes.
Question : Le RGPD s’applique-t-il aux enfants à naître ?
→ 2 courants (ø de personnalité juridique vs. Maxime romaine)
La Cour de Cassation, arrêt du 14 décembre 2017, a redonné ses lettres de noblesse au 2nd courant au fil
des dernières années, ce qui concrétise le débat.
De plus, il s’agit de revoir l’article 4 § 1 « toute information se rapportant à la personne » : comme la donnée
se rapporte à l’enfant à naître, donc l’extension du infans conceptus serait envisageable.

Quid avant la naissance ? Les données pourraient être protégées à travers la protection de la mère
➔ mais ses données génétiques lui sont propres ! Quel statut conférer à ces données ?
• Option 1 : Aucune protection avant la naissance
• Option 2 : protection anticipée conforme au RGPD (sauf si l’enfant ne nait ø vivant et viable) 6
3- Le RGPD s’applique à « toute information » dès lors qu’elle concerne une personne identifiée ou
identifiable :
• Informations objectives (taille etc…)
• Informations subjectives (commentaire sur ma personne etc…)
• Informations écrites, photos, vidéos
• Informations relatives à la vie personnelle
• Informations relatives à la vie professionnelle
4- Le RGPD s’applique à la donnée à caractère personnel peu importe le support de son information
• Numérique
• Analogique (papier, vinyle etc…) NB : le papier ne compte que s’il est classé & si c’est moi qui ai écrit,
cela pourra aussi me concerner !
5- L’information doit se rapporter à une personne physique « identifiée ou identifiable »
Idée : Soit la donnée permet, soit elle peut permettre ou y concourir à singulariser une personne parmi
d’autres.
• Personne identifiée : identification découle de la consultation de la donnée (photo, noms distinctifs)
Ici c’est la taille de l’échantillon qui compte (ø le cas avec le nom Jean Martin p.ex) • Personne identifiable
: 2 cas de figure
1er cas de figure : je peux remonter à l’identité de la personne en croisant les données que j’ai avec une
autre base de données (exemple : numéro de sécurité sociale, pseudo, adresse IP, géolocalisation,
métadonnées etc…)
2nd cas de figure : n’aboutissent ø à l’identification précise d’une personne en cas de croisement de base de
données, mais permettent de cerner/singulariser une personne unique inconnue (exemple : la personne
achète du shampooing pour cheveux blonds).
→ permet de connaître toute forme de trace qu’une personne laisse.
Exemples : La voix, éléments relatifs au psychisme (test de Rorschach), mais surtout le webtracking !
Considérant 26 du règlement évoque cependant des « moyens raisonnablement susceptibles d’être
utilisés »: (…) Pour déterminer si une personne physique est identifiable, il convient de prendre en

considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du
traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement,
tels que le ciblage.
(…) il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de
l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment
du traitement et de l'évolution de celles-ci. (…) »
7

➔ Ici on parle bien sûr des États, qui ont bcp plus de moyens que le commun des mortels
Une donnée qui ne remplit ø les conditions de l’article 4 § 1 RGPD se trouve ipso facto constituer une
donnée à caractère non personnel (Règlement 2018/1807 du 14 novembre 2018)
• Donnée n’ayant jamais eu le caractère de donnée personnelle
• Données anciennement à caractère personnel mais qui ont fait l’objet d’une anonymisation
Un pays n’a pas le droit de restreindre le libre flux des données à caractère non personnel. b) Un
traitement

Article 4 § 2 : traitement : « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de
procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel,
telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la
modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou
toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou
la destruction ».
➔ Absolument TOUT rentre dans cette définition
De plus il faut s’attarder sur « effectuées ou non à l'aide de procédés automatisés »
• Un traitement automatisé concerne tout traitement dans lequel la main humaine n’intervient pas. •
Un traitement non-automatisé concerne tout traitement fait à la main.
Quid du terme fichier ? (revoir Article 2 § 1)
Le terme de fichier ne doit ø être compris dans son sens informatique, mais dans son sens historique (lieu
où l’on rassemble des fiches), en anglais, « filing system ».
Article 4 § 6 RGPD : fichier : « tout ensemble structuré de données à caractère personnel accessibles selon
des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle
ou géographique ».
La CJUE a précisé les contours du terme fichier dans une décision du 18 juillet 2018 (Johovan todistajat). Les
notes que les témoins de Jéhovah pouvaient-elles être qualifiées de fichier au sens de la directive de 1995
(à l’époque).

Selon la CJUE, le critère et la forme sous lesquelles sont structurées les données sont sans importance, dès
lors que l’ensemble de donnée permet de retrouver facilement les données d’un individu. → revient à
expurger de la notion de fichier le concept de structuration.
2. Les traitements échappant au RGPD
- Traitement effectué « dans le cadre d’une activité qui ne relève pas du champ d’application du droit
de l’UE ».
8

Article 6 § 2 du TFUE : on ne peut pas se fonder sur les droits fondamentaux pour étendre les compétences
de l’UE (donc ø CDF)
De plus, certains domaines relèvent de la compétence de l’UE, mais les traitements impliqués relèveront du
règlement 2018/1/1725 du 23 octobre 2018
Donc il faut tourner son regard vers les traités : le TFUE cite plusieurs compétences
➢ Compétences exclusives de l’UE (impliquant l’application du RGPD): L’union douanière, la politique
commerciale commune etc…
➢ Compétences partagées de l’Union (impliquant l’application du RGPD si traitement) : la politique sociale,
la santé publique, aide humanitaire etc…
➢ Compétences d’appui (RGPD si traitement) : protection civile, la jeunesse, la coopération administrative
etc…
➔ Le champ est extrêmement vaste ! Tous les domaines importants de la vie d’une personne physique
sont concernés par le droit de l’UE.
Qu’est-ce qui n’est pas concerné par le droit de l’UE ?:
- Les activités de renseignements des États
- Le traitement des données par un Parlement sur ses parlementaires
- Traitement effectué « par les États membres dans le cadre d’activités qui relèvent du champ
d’application du chapitre 2 du titre V du TFUE » (politique étrangère et de sécurité commune /
PESC). Tout ce qui concerne la PESC = échappe au RGPD.
- Traitement effectué « par une personne physique dans le cadre d’une activité strictement
personnelle ou physique ».
Exemple : fiche de contacts de mon téléphone, albums photos, activité de prêche, ma caméra personnelle
qui filme une partie de l’extérieur (sauf si cela filme un peu dehors, alors RGPD).
Néanmoins d’autres normes doivent aussi être respectées même si elles ne font pas partie du RGPD (secret
des correspondances etc…).
- Tous les traitements effectués dans le champ de la directive Police Justice

B. Champ d‘application territorial
Pour qu’un traitement soit soumis au RGPD, il faut qu’il ait un certain lien avec le territoire européen. Le
règlement emploie l’expression « territoire de l’Union ».
⇨ En réalité, le territoire concerné est plus largement celui de l’Espace économique européen (les pays de
l’UE augmentés de l’Islande, de la Norvège et du Lichtenstein.)
9

Le champ d’application territorial du RGPD est couvert par son article 3 prévoyant trois critères de
rattachement :
1) Soit le traitement est réalisé dans le cadre d’un établissement de l’Union
2) Soit il cible des personnes concernées se trouvant dans le territoire de l’Union
3) Soit il est le fait d’un responsable de traitement situé dans un lieu dans lequel le droit de l’UE s’applique
1. L’activité d’un établissement sur le territoire de l’Union
Hypothèse classique mais sa mise en œuvre suscite un certain nombre de difficultés.
L’article 3.1. RGPD dispose qu’il s’applique à toute personne physique ou morale dont l’établissement est
situé sur le territoire de l’Union, même si le traitement a lieu en dehors de l’Union et indépendamment de
la situation géographique des personnes concernées.

⇨ Dans une telle hypothèse, on doit remplir une des conditions du Chapitre V du RGPD gérant le transfert
de données vers le pays tiers.
La notion d’établissement, contrairement à celle d’établissement principal, n’est pas définie par le RGPD.
Mais il recèle néanmoins dans son considérant 22 la définition d’un établissement.
⇨ L’établissement suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable.
La CJUE a eu l’occasion de préciser sous l’empire de la directive de 1995 comment il convient d’entendre la
notion d’établissement, repris par le CEPD.
Elle adopte une vision souple, écartant toute approche formaliste :
⇨ Elle considère que la simple présence d’un représentant peut suffire à constituer un établissement
Ce qui compte est :
a) Une stabilité de l’installation
b) Une réalité de l’exercice de celle-ci sur le territoire
→ toute activité réelle et effective, même minime, exercée au moyen d’une installation stable.

Dans l’Affaire Google Spain, il était considéré que la société Google Spain, filiale en charge des activités
publicitaires de Google, se livrait à l’exercice réel et stable d’une activité, à savoir vendre de la publicité sur
le territoire espagnole.
Si ce critère défaille, l’article 3.1 RGPD défaille. Le simple fait qu’un site internet propose des choses aux
personnes qui sont sur le territoire de l’UE n’emporte pas nécessairement son application.
La qualification d’un établissement du responsable de traitement ne suffit pas à caractériser à elle-seule
l’applicabilité de cet article. Il faut également caractériser que les traitements concernés sont effectués dans
le cadre des activités de l’établissement. Pose la question de savoir ce que recouvre l’expression « dans le
cadre des activités ».

10

La CJUE considère que l’expression ne saurait recevoir une interprétation restrictive, afin d’assurer la plus
grande protection des personnes concernées.
- N’implique pas que ce traitement soit réalisé par l’établissement en question
- N’implique pas que le traitement ait lieu sur le territoire de l’Union
= Seul compte le lien fonctionnel entre l’établissement et le traitement
Dans l’Affaire Google Spain (CJUE ; 13 mai 2014) la question était d’apprécier les rapports respectifs de la
filiale avec la société mère. La CJUE recourt au concept de lien indissociable : « les activités de l’exploitant
du moteur de recherche et celles de son établissement situé dans l’Etat membre concerné son
indissociablement liées ».
Conception du CEPD de l’expression « dans le cadre des activités » de l’établissement : - « Liens
inextricables » entre les activités de traitement hors UE et les activités de l’établissement - «
Levée de recettes sur le territoire de l’Union »
2. Le ciblage de personnes concernées se trouvant sur le territoire de l’UE
L’hypothèse est la grande nouveauté et est régie par l’article 3.2 RGPD.
Article 3.2. RGPD = « Le présent règlement s'applique au traitement des données à caractère personnel
relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du
traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées
:
a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou
non desdites personnes ; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au
sein de l'Union. »
Contrairement à l’article 3.1, l’entité n’a aucune forme d’établissement dans l’UE. C’est le fait qu’elle traite
des données en lien avec les personnes situées dans l’UE qui va déclencher l’application du RGPD.
L’article 3.2 réalise une application extraterritoriale du règlement, principe sous l’impulsion des EU en droit
des sociétés. Le problème est que si tout le monde fait cela, c’est l’anarchie : les règles de deux pays
peuvent être contraires.

a) Première hypothèse : entité qui « offre des biens et des services à des personnes concernées dans
l’Union, qu’un paiement soit exigé ou non desdites personnes ». L’offre qui est en question est
majoritairement une offre à distance (par internet) le responsable de traitement n’étant pas établi dans
l’Union.
Il faut réserver l’hypothèse de l’offre faite en direct par une personne physique, entrant dans le champ de
l’article 3.2 : la personne ne doit pas être qualifiée de représentant au sens de l’article 3.1.
Question : comment déterminer que l’offre est faite à des personnes situées dans le territoire de l’UE ?
Le considérant 23 RGPD suggère des facteurs à regarder pour le déterminer :
- L’utilisation d’une langue, d’une monnaie d’usage courant dans un ou plusieurs Etats membres La possibilité de commander des biens dans cette langue
11

- Mention d’utilisateurs situés dans l’UE
- Le site permet une livraison dans un pays qui est dans l’UE

Pose des difficultés pour les sociétés mondiales : il faut respecter autant de droits à caractère personnel
qu’il n’y a de pays dans lesquels elles vendent.
• Si le traitement réalisé s’adresse à des personnes situées à l’extérieur de l’Union, mais que ces personnes
ultérieurement pénètrent sur le territoire de l’UE tout en continuant à utiliser ce service, cela ne déclenche
pas l’application du RGPD.
Exemple : Je suis une chaine de télévision néo-zélandaise et mon service est accessible à toutes les
personnes en Nouvelle-Zélande. Si un des utilisateurs passe ses vacances en France en regardant cette
chaîne, cela ne déclenche pas le RGPD.
• Si le traitement ne concerne pas l’offre de biens et de services, ce traitement ne relève pas en principe de
cette première hypothèse.
Exemple : une entité étrangère traite des données de ses employés français et italiens pour verser leur
salaire. Nous ne sommes pas dans le cadre de l’article 3.2.a : la gestion des ressources humaines n’est pas
l’offre de biens et de services.
b) Deuxième hypothèse : lorsque les activités sont liées au suivi du comportement de ces personnes, dans
la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union. L’hypothèse est celle d’internet et le
considérant 24 le dit clairement.
Exemple : une entreprise de ciblage publicitaire brésilien qui étudie le comportement de personnes situées
dans le territoire de l’UE relève de l’article 3.2.b
Rien n’implique de restreindre les hypothèses à un suivi comportemental d’internet. D’autres technologies
ou réseaux permettent un pistage de personnes situées dans le territoire de l’UE (ex d’un suivi réalisé
exclusivement via satellite).
Un responsable de traitement aura du mal à faire comprendre qu’il ne voyait pas que la personne se

trouvait sur le territoire de l’UE. L’adresse IP, la géolocalisation permet de voir que la personne est située sur
le territoire de l’UE (sauf VPN qui reste anecdotique).
Il faut avoir égard à la finalité du traitement. Le simple fait de collecter des données sur une personne ne
suffit pas, il faut déceler que la finalité de la collecte et du traitement est bien une détermination
comportementale, un profilage de la personne.
Exemple : le simple fait de collecter l’adresse IP d’une personne ne suffit pas, ce n’est pas un suivi. Mais si
on peut déterminer une grande partie des sites internet visités par l’adresse IP, il s’agit d’un profilage.
Le CEPD a pris la peine de citer des exemples pouvant constituer un suivi :x
- La publicité comportementale
- Les activités de géolocalisation, en particulier à des fins de commercialisation -

Les services personnalisés d’analyse de l’alimentation et de la santé en ligne
- La télévision en circuit fermé, cad en réalité la vidéosurveillance
12

- Les études de marché et autres études comportementales basées sur des profils individuels - La
surveillance de l’état de santé d’une personne ou l’établissement de rapports réguliers connexes - Le suivi

en ligne grâce à l’utilisation de cookies ou d’autres techniques de suivi telles que la prise d’empreintes
digitales
Les responsables du traitement et sous-traitants concernés par l’article 3.2 doivent désigner un
représentant dans l’UE : (comme ils n’y sont ø implantés) :
- Il s’agit d’un point de contact pour les autorités de contrôle et les personnes concernées.
- Il doit être établi dans un pays de l’UE où sont situées les personnes concernées par les traitements de

l’article 3.2
- Sa désignation n’est pas obligatoire dans quelques cas

3. Établissement du responsable de traitement dans un lieu qui applique le droit d’un EM
Article 3.3 RGPD = « Le présent règlement s'applique au traitement de données à caractère personnel par un
responsable du traitement qui n'est pas établi dans l'Union mais dans un lieu où le droit d'un État membre
s'applique en vertu du droit international public »
• Le traitement est réalisé dans une ambassade ou un consulat d’un Etat membre de l’Espace économique
européen. Tout au plus le pays peut être propriétaire de son ambassade, mais il ne s’agit pas de son
territoire.
La Convention de Vienne (1961) sur les relations diplomatiques dispose que l’Etat accréditaire doit soit
faciliter l’acquisition, soit trouver une autre manière de lui procurer les locaux (ex louer). La protection dont
jouit l’ambassade tient de l’article 22.1 de la Convention disposant que ces locaux sont inviolables : il s’agit
d’une immunité qui protège les ambassades.
➔ Ces locaux se gèrent librement : c’est pourquoi le droit de l’Etat membre s’applique.
• Le traitement réalisé en haute mer sur un navire battant pavillon d’un Etat-membre. Sur le navire
s’applique la loi du pavillon selon la Convention de Montego Bay (1973).

→ Alors, le RGPD devra être appliqué.
II/ La directive police-justice
Champ d’application matériel de la directive police-justice Article 2 Directive Police-Justice = « 1. La présente
directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes
aux fins énoncées à l’article 1er.

Article 1-2§1 « La présente directive s’applique au traitement de données à caractère personnel, automatisé
en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou
appelées à figurer dans un fichier. »
→ Renvoi vers RGPD.
A. Critère de l’autorité compétente
13

L’autorité compétente est celle qui est juridiquement compétente pour réaliser les fins sur lesquelles porte
la directive.
Pour la nature de l’autorité l’article 3.8 retient que ce peut être :
1) Une autorité publique
2) Tout autre organisme ou entité à qui le droit d’un Etat membre confie l’exercice de l’autorité publique et
des prérogatives de puissance publique
B. Critère de la finalité
Le critère de la finalité s’opère à deux niveaux dans la directive :
1) Il faut qu’un traitement donné soit effectué par une autorité compétente pour réaliser les finalités
visées dans la directive ;
2) Le traitement lui-même doit poursuivre ces finalités.
Un traitement réalisé par une autorité compétente, juridiquement habilitée, pourra ne pas tomber dans le
champ de la directive car le traitement n’a rien à voir avec cette finalité (ex gestion ressources humaines)
Quelles sont les finalités ? L’article 1er dispose : « A des fins de prévention et de détection des infractions
pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la
protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». Ces termes
incluent :
- La police judiciaire
- La gendarmerie
- Les agents des douanes

Ces termes excluent :

- Les services de renseignement des Etats membres
- Le contrôle aux frontières, asile, immigration

On pense à l’activité :
- Ministère public (pour la poursuite)
- L’application des peines
- L’activité de jugement n’est pas exclue de la directive d’après les considérants

Le considérant 80 prévoit toutefois que la compétence de ces autorités de contrôle ne devrait pas s’étendre
au traitement des juridictions dans le cadre de leur activité juridictionnelle. Ce considérant offre au
Ministère public la même idée.
Les traitements réalisés dans le processus juridictionnel doivent être distingués de ceux contenus dans le
jugement. Ce qui est écrit dans le jugement échappe à la directive et relève de l’article 10 RGPD « Traitement
des données à caractère personnel relatives aux condamnations pénales et aux infractions ».
14

Chapitre 2 : Les acteurs
Introduction
On a déjà vu la personne concernée, quatre acteurs :
1) Les responsables de traitement et les sous-traitants
2) Le délégué à la protection des données
3) Les autorités de contrôle
4) Le Comité européen de la protection des données (CEPD)
Section 1 : Responsables de traitement ou sous-traitants
I/ Le responsable de traitement
La distinction d’un responsable de traitement d’un sous-traitant s’impose comme une distinction majeure
depuis l’avènement de la directive de 1995. Cette distinction repose sur une approche facile à concevoir :
une personne qui a l’initiative d’un traitement et qui en porte la responsabilité et une personne qui n’a
qu’un rôle d’exécution de ce traitement. Elle est en réalité délicate à mettre en œuvre.
Les lignes directrices n’apportent qu’une facilité modérée pour les praticiens, la CEPD fait de même et la
Cour de justice a une conception large des responsables de traitement floutant les bords de la distinction.
L’article 4.7 RGPD = Le responsable de traitement est « La personne physique ou morale, l’autorité publique,
le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les
moyens du traitement ».
Article 3.8 Directive Police-Justice = « L’autorité compétence qui, seule ou conjointement avec d’autres,
détermine les finalités et les moyens du traitement de données à caractère personnel ». Dans le cadre de la

Directive Police-Justice, on lui assigne un rôle par la loi qui encadre sa mission.
Le responsable de traitement s’oppose au sous-traitant qui est la personne qui « traite les données à
caractère personnel pour le compte du responsable de traitement ».
Les qualifications de responsable de traitement ne sont pas disponibles : les parties au contrat ne peuvent
pas s’attribuer le rôle de responsable de traitement ou de sous-traitant comme elles l’entendent. Une
requalification sera faite par l’autorité de contrôle ou par la juridiction en fonction de ce qu’elle voit.
L’entité (A) doit avoir un pouvoir de détermination (B) des finalités et des moyens du traitement (C),
déclenchant les obligations du responsable de traitement (D).
A. Nature de l’entité
Article 4.7 RGPD = « La personne physique ou morale, l’autorité publique, le service ou un autre organisme
qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens de traitement ».
Lignes directrices CEPD 07/2020 : il n’y a pas de limitation quant au type d’entités qui peut endosser le rôle
de responsable de traitement.
15

Mais ne faut-il pas au moins que l’entité ait la personnalité juridique ? Même s’il y a l’idée de service, cela
ne rime pas nécessairement avec l’idée de personnalité morale. On trouve parfois des entités désignées
comme telles qui n’ont pas la personnalité morale.
Même si l’on dit qu’il n’y a pas besoin de personnalité morale dans les faits ou dans les textes, la seule
entité capable de payer des potentiels dommages-intérêts est bien une personne morale.
Selon les lignes directrices, on voit que ce qui intéresse est le secteur privé, avec une idée d’une
personnalité juridique.
Le CEPD dans une ligne directrice dit qu’une simple unité opérationnelle ou un simple service d’une
entreprise ne saurait endosser la qualité de responsable de traitement car ces entités ne sont pas
autonomes.
Exemple : le département marketing d’une société travaille pour le compte d’une entreprise qui est le
véritable responsable de traitement.
Mais il se trouve que la CJUE a considéré qu’une personne physique pouvait être responsable de traitement
aux côtés d’une personne morale, alors même que leurs intérêts sont alignés (arrêt sur les témoins de
Jéhovah)
B. Le pouvoir de détermination du responsable de traitement
Ce pouvoir doit être relié à des éléments clé du traitement
Il sera le + souvent de source factuelle (1), mais il pourra également être de source légale (2).
1. Pouvoir de source factuelle

Ici l’on a un constat que l’entité remplit les critères matériels de la qualification de responsable de
traitement: pouvoir de déterminer les finalités et les moyens du traitement.
Exemple : syndicat de copropriété, coiffeurs, magasin d’alimentation (carte de fidélité par exemple) ou un
loueur de voiture.
Ici la personne qui a l’initiative de demander à l’autre de lui transmettre des données est assez clairement
désignée.
⇨ Mais il ne faut ø confondre l’initiative de réaliser un traitement et le fait de demander un service dont
l’exécution pourra requérir un traitement de données !
Ces personnes qui interviennent lors de ce traitement peuvent-elles être qualifiées de responsable conjoint
de traitement ou de sous-traitant ?
a. La détermination de l’existence d’un responsable conjoint de traitement
Cette notion est plutôt compliquée à appliquer en pratique, pourtant sa définition est claire, Article 26
RGPD « Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les
moyens du traitement, ils sont les responsables conjoints de traitement ».
16

➔ Mais comment interpréter conjointement ? En anglais l’on parle de « joint controllers », mais il faut
éclaircir le terme français :
Interprétation immédiate du terme conjoint : Il faut une décision commune quant aux finalités et moyens
du traitement (exemple : 2 associations étudiantes recueillent des informations de personnes intéressées à
participer à leur soirée d’intégration).
Mais en pratique l’on se trouvera souvent dans des situations où 2 entités ne se sont pas réellement
concertées, mais elles auront des intérêts convergents à réaliser un traitement :
➢ Intérêts convergents au traitement
Attitude de la CJUE :
- Le RGPD donne une définition large du responsable de traitement visant à assurer une protection

complète et efficace des personnes concernées.
- Dans la JP de la CJUE, elle tend à qualifier de responsable conjoint des personnes dont les finalités
propres se rejoignent à l’occasion d’un traitement, dès lors qu’ils utilisent les mêmes moyens pour
réaliser le traitement
Arrêt Wirtschaftsakademie (CJUE 5 juin 2018) : L’administrateur d’une page fan sur Facebook est
responsable conjoint de traitement avec Facebook des données traitées par le traceur déposé par Facebook
sur l’appareil des visiteurs et qui permet à l’administrateur d’obtenir des statistiques précises et anonymes
de visite de la page.
• Finalité du gestionnaire de site : améliorer la gestion de la promotion de son activité •
Finalité de Facebook : améliorer son service de publicité

➢ Ce traceur sera lu par Facebook et même par d’autres sociétés qui visitent des services de Facebook ou
d’autres compagnies Facebook et même d’autres entreprises qui utilisent les services Facebook.
Ici la CJUE relève que la création de cette page implique une action de paramétrage
… ➔ Par conséquent, l’admin contribue au traitement
Cette qualification a été réutilisée dans l’affaire des témoins de Jéhovah :
- La communauté et les témoins sont ici des responsables conjoints de traitement

Extrait de l’arrêt : « une personne physique ou morale, qui influe à des fins qui lui sont propres, sur le
traitement des données à caractère personnel et participe de ce fait à la détermination des finalités et des
moyens de ce traitement, peut être considérée comme responsable de traitement »
➔ Mais ici on voit bien que la Communauté et les témoins agissent de concert. (Il y a un accord tacite
sur la finalité et le moyen du traitement)
• Donc l’activité de prédication constitue une « forme d’action essentielle de cette communauté, action
qui est organisée, coordonnée et encouragée par ladite communauté.
17

Arrêt Fashion ID (CJUE, 29 juillet 2018) :
Espèce : L’éditeur d’un site web qui incorpore le bouton « j’aime » de Facebook sur son site afin d’améliorer
la visibilité des biens qu’il vend sur le site de ce réseau social est responsable conjoint du traitement avec ce
réseau des données traitées par ce module.
Ici la CJUE estime :
➢ s’agissant de la détermination des moyens :
« Fashion ID semble avoir inséré le bouton tout en étant conscient que celui-ci sert d’outil de collecte et de
transmission de données à caractère personnel » (un peu vaseux comme argument)
« Fashion ID influe sur la collecte de données » car si l’éditeur n’avait pas inséré le bouton sur sa page,
aucune collecte ou transmission n’aurait lieu.
➢ quant aux finalités :
L’avantage commercial poursuivi par Fashion ID est la publicité que lui procure Facebook (…). « Ainsi
Fashion ID semble avoir consenti, à tout le moins implicitement, à la collecte et la transmission de ses
données depuis son site (…)
(Ici on consacre l’intérêt économique commun des parties à l’opération)
Ces arguments sont assez fragiles, leurs finalités sont ≠, même si chacun y trouve un intérêt économique.

Le CEPD a mis à jour en 2021 les lignes directrices concernant les responsables de traitement et les sous
traitants :
• critère de la décision commune
• critère de la décision convergente (CJUE) précisions :
- lorsque les décisions se complètent l’une l’autre ont un impact tangible sur la détermination des

finalités et de moyens de traitement
- Une responsabilité conjointe peut aussi être caractérise lorsque les entités poursuivent des finalités

≠, mais qui sont étroitement liées ou complémentaires
- « Le traitement ne serait ø possible sans la participation des deux parties aux finalités et aux moyens

en ce sens que le traitement par chacune des parties est inséparable, intrinsèquement lié »
≠ sous-traitant, qui ne traite pas pour ses finalités propres mais pour le compte du commettant.
Le responsable conjoint a une « finalité qui lui est propre en rapport avec le traitement commun »
• ø besoin que chacun des responsables ait détenu tous les moyens du traitement •
ø besoin que chacun des responsables ait accès à l’ensemble des données
18

• Mais il faut distinguer la responsabilité conjointe de la responsabilité autonome !
C’est ici que les choses se compliquent
• Les responsables conjoints de traitement n’ont pas forcément de responsabilité identique (ø de
solidarité)
Conséquences de la qualification des responsables conjoints de traitement
➢ Obligation de définir « de manière transparente leurs obligations respectives aux fins d’assurer le
respect des exigences » du RGPD ou de Police-Justice
- S’entendre sur la manière dont les personnes concernées pourront exercer leurs droits -

S’entendre sur la manière dont les personnes concernées seront informées
Point de divergence entre RGPD et Police-Justice
➢ Le contrat conclu doit arrêter les détails de leur rapport et refléter leur rôle respectif
➢ Ils doivent désigner un point de contact commun
➢ RGPD : droit de la personne concernée d’obtenir les grandes lignes de l’accord/contrat
b. Délimitation du rôle d’un responsable de traitement et d’un sous-traitant

⇨ En théorie, le sous-traitant n’a aucun rôle dans la détermination des finalités

Mais pour le CEPD, cela implique que l’entité responsable soit celle qui exerce une « influence décisive »
sur les finalités et les moyens de traitement.
Influence décisive : le pouvoir de décider de la mise en œuvre du traitement (≠ de l’organisation des
modalités concrètes)
Exemple du CEPD : les fournisseurs de « cloud » hébergent les données de leurs clients. Pour autant, même
si c’est le sous-traitant qui impose les détails, le responsable de traitement sera ici le client (qui adhère
librement au contrat et qui a donc l’influence décisive)!
2. Pouvoir de source légale
Ici la loi va définir la finalité et les moyens essentiels du traitement, mais aussi la qualité de responsable de
traitement d’une entité.
➔ Dans cette hypothèse, la personne désignée comme responsable ne remplit ø les critères matériels
qu’on vient de voir !
⇨ Car ici la loi détermine les moyens et les finalités et va assigner à quelqu’un le rôle de responsable de
traitement.
Exemple : prélèvement à la source
19

C. Les finalités et les moyens
La finalité et les moyens représentent la quintessence de la définition du responsable de traitement.
➢ Finalité : question du pourquoi du traitement :
- je veux sécuriser mes locaux contre le vol
- je dois envoyer un colis à mon client
- servir une prestation sociale
- vérifier l’identité d’une personne qui accède à un bâtiment

• La finalité permet de déterminer le responsable de traitement (pouvoir factuel : celui qui a déterminé
cette finalité).
• La finalité commande de nombreux aspects du régime juridique d’un traitement
➢ Moyen : question du comment du traitement
- Formulaire papier ou ordinateur
- Google Drive ou disque dur ?
- Quel algorithme utiliser pour savoir si un client bénéficiera d’une promotion ? -

Mailchimp, concurrent ?
- Quel logiciel utiliser pour gérer nos RH ?

➔ Rappel : Le responsable va déterminer les moyens comme la finalité !
Nouvel exemple de l’association : sauf que cette fois-ci il faut remplir un Google Form (Google est un sous
traitant dans l’opération).
Le CEPD, dans ses lignes directrices, indique en toute cohérence avec le RGPD, que : « le responsable de
traitement doit déterminer à la fois les finalités et les moyens du traitement »
➔ Problème : en réalité, le responsable pourra certes définir la finalité, mais il demandera souvent à un
tiers de se charger des moyens
⇨ Donc le CEPD reconnaît que le sous-traitant pourra avoir un certain pouvoir de détermination des
moyens
Donc le CEPD invente l’idée de moyens essentiels de traitement : tant que le responsable pourra
déterminer les finalités et les moyens essentiels, ça suffit pour la qualification
Moyens essentiels : « Moyens étroitement liés à la finalité et à l’étendue du traitement »
Liste ø exhaustive :
- Le type de données traitées
- La durée du traitement
- Catégorie de destinataires des données
- Catégories de personnes concernées
20

Moyens ø essentiels : « aspects plus pratiques de la mise en œuvre » (exemple : le choix du logiciel,
mesures détaillées de sécurité…).
Mais dans tous les cas, le responsable de traitement reste responsable de tout ce qui peut se passer à
l’issue de ce traitement ! (article 24 RGPD)
D. Les obligations d’un responsable de traitement
• En général, le RGPD et la directive disposent qu’il est « responsable du respect » des principes
généraux relatifs au traitement.
• Le responsable doit aussi pouvoir démontrer que ces principes sont respectés
⇨ Obligation de mettre « en œuvre les mesures techniques et organisationelles … » (art. 24.1 RPGD, 19
Dir)
• Le responsable a une obligation documentaire :
En anglais : « accountability » (responsabilité & tenir des comptes)
• Le responsable doit aussi assumer les défaillances de ses sous-traitants

• Le responsable ne peut que faire appel à des sous-traitants qui présentent des garanties suffisantes ⇨

Pour autant le sous-traitant reste responsable de ses obligations.
§2/ Le sous-traitant
Le sous-traitant peut prendre certaines initiatives et les lignes directrices distinguent les moyens principaux
du responsable de traitement et les moyens secondaires du sous-traitant.
A. La notion de sous-traitant
Article 4.8 RGPD = « La personne physique ou morale, l’autorité publique, le service ou un autre organisme
qui traite des données à caractère personnel pour le compte du responsable du traitement ».
Deux critères :
1) Le sous-traitant est une « entité séparée » du responsable de traitement
2) Le sous-traitant traite les données pour le compte du responsable de traitement
Le CEPD affirme que quand on est dans un groupe de sociétés, une société peut être sous-traitante d’une
autre société du groupe, mais un département d’une société ne peut être sous-traitant de ladite société.

Le CEPD admet que le sous-traitant puisse avoir la responsabilité de déterminer les moyens non essentiels
Exemple : quel logiciel utilisé pour organiser les données transmises
Pour tout le reste, le sous-traitant doit scrupuleusement respecter les limites de sa mission du responsable
de traitement.
21

En réalité, c’est le contrat d’adhésion qui présente non seulement les moyens secondaires, mais aussi les
moyens principaux selon le Professeur.
Le sous-traitant s’expose à une requalification de son rôle dès lors qu’il traiterait des données pour une
finalité qui n’est pas déterminée par le responsable de traitement, qui ne résulte pas strictement d’une de
ces instructions.
Un sous-traitant peut résulter à faire des traitements à titre de responsable de traitement, mais en sa
propre qualité de sous-traitant.
Exemple : Amazon vérifie l’espace disponible qui reste sur le serveur par un algorithme. Ce traitement est
fait pour son propre compte.

Question délicate de savoir dans quelles mesures un sous-traitant pourra être qualifier de responsable de
traitement, eu égard à la jurisprudence de la CJUE sur la responsabilité conjointe de traitement ?
En effet, dès lors qu’il y a des moyens communs mais des finalités séparées, la CJUE y voit des responsables

de traitement.
B. Les obligations d’un sous-traitant
Il existe des obligations pour des sous-traitant, aux articles 28 RGPD et 22 de la Directive. Ils précisent ce qui
doit figurer dans le contrat de sous-traitance qui doit être conclu par écrit – fut-il électronique – par le
responsable de traitement et le sous-traitant.
- Un traitement ne peut avoir lieu que sur instruction documentée du responsable de traitement, sauf
obligation légale.
- le sous-traitant doit informer le responsable de traitement avant de réaliser le traitement que la loi lui
impose et qui n’est pas prévu dans le contrat.
- le sous-traitant peut ne pas avertir le responsable de traitement si la loi l’interdit pour des motifs
importants d’intérêt public (ex sécurité).
- Le sous-traitant doit veiller à ce que toute personne impliquée respecte une obligation de
confidentialité.
- Le sous-traitant doit prendre les mesures nécessaires pour assurer la sécurité du traitement. Pour
beaucoup de traitements usuels, on se repose sur un sous-traitant ayant des compétences techniques, avec
des spécialistes. Parmi le bagage technique que l’on attend du sous-traitant, il y a la sécurité.
- Le sous-traitant doit aider le responsable de traitement à satisfaire les demandes des personnes
concernées qui cherchent à user de leurs droits donnés par le RGPD.
→ responsable de traitement est démuni s’il est tout seul.

22

Le RGPD dit que le sous-traitant doit aider le responsable de traitement à satisfaire aux articles 32 à 36
RGPD :
- La sécurité du traitement
- Notifier à l’autorité de contrôle ou à la personne concernée la violation de données Conduite d’une AIPD
- Consultation de l’autorité de contrôle
Mise à disposition des responsables de traitement de toutes les informations dont il peut avoir besoin pour
démontrer qu’il respecte le RGPD et l’informer si un traitement est illégal.
Mise à disposition les informations permettant la réalisation d’audits ou d’inspection, réalisés par le
responsable de traitement ou par un auditeur.
Un sous-traitant peut lui-même recourir à un sous-traitant, soumis aux mêmes obligations : dans ce cas, le
sous-traitant doit recueillir au préalable l’autorisation de le faire.
Le sous-traitant peut démontrer sa conformité en recourant à des mécanismes de conformité :

i. Des Codes de conduite, codes de bonne conduite adoptés pour des secteurs déterminés. Une fois le Code
approuvé, les personnes du secteur peuvent adhérer à ce Code qui devient obligatoire pour elles.
ii. Des certifications traduisent que les processus sont propres pour les responsables de traitement
iii. Les clauses contractuelles types (CCT) destinées à être intégrées dans un contrat et rédigées par des
personnes qui donnent autorité à ces clauses contractuelles.
Deux types de CCT sont prévues par le RGPD :
1) Par l’autorité de contrôle national (CNIL pour la France) = actuellement que trois autorités l’ont fait
2) Par la Commission européenne = les CCT se substituent de fait aux CCT des autorités nationales
Exemple des CCT régissant les rapports responsables/sous-traitant du 4 juin 2021 adoptées par la
Commission qui ont fait autorité.
Section 2 : Le délégué à la protection des données
Le DPD est une pièce essentielle du RGPD, même si sa désignation n’est pas tout le temps obligatoire. Sa
fonction générale est d’être « associée de manière appropriée et en temps utile à toutes les questions de
traitement des données à caractère personnel » (art. 38.1 RGPD, 33 Directive 2016/680).
2.1. La désignation
Il faut distinguer la Directive du RGPD
Cas de désignation RGPD (art. 37.1 RGPD) :
1) Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions
agissant dans l’exercice de leur fonction juridictionnelle
2) Les opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un
suivi régulier et systématique à grande échelle des personnes concernées
23

3) Le traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à
caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
Exemple : L’entreprise n’est pas une autorité ou un organisme public, n’exige pas un suivi régulier et ne
rentre pas dans les catégories des articles 9 et 10.
Mais il y a un intérêt à procéder à la désignation d’un DPD lorsqu’il s’agit d’une société pour que quelqu’un
mette en conformité cet aspect.
Renvoi aux cas dans lequel le droit d’un Etat-membre oblige à la désignation d’un DPD.
Cas de désignation Directive police-justice :
Article 32 Directive :
« 1. Les Etats membres prévoient que le responsable du traitement désigne un délégué à la protection des
données. Les Etats membres peuvent dispenser les tribunaux et d’autres autorités judiciaires

indépendantes de cette obligation lorsqu’elles agissent dans l’exercice de leur fonction juridictionnelle ».
Compétences attendues :
Des qualités professionnelles sont requises : des connaissances spécialisées en matière de protection des
données. Il faut s’adresser à un mécanisme certificateur (ex Apave ou Afnor délivrant une certification de
compétences à la protection des données), certificateurs approuvés par la CNIL.
Modalités de désignation :
• Le DPD peut-être interne ou externe.
• Le DPD peut être commun à un groupe d’entreprise, à condition qu’il soit facilement joignable depuis
chaque lieu de l’établissement.
• Le DPD peut être commun à plusieurs autorités ou organismes publics, compte tenu de leur structure
organisationnelle et de leur taille.
• Les coordonnées du DPD doivent être publiées. Dès lors que l’on a nommé le DPD, l’une de ses missions
essentielles est de gérer toutes les réclamations des personnes concernées : il doit ainsi être
accessibles.
2.2. Missions
La mission générale d’un DPD est d’être associé à toutes les questions relatives aux données personnelles.
Se traduit par plusieurs missions (art. 39.1 RGPD, 34 Directive).
1) Informer et conseiller la direction qui l’emploie (responsable de traitement ou sous-traitant) et les
salariés = le DPD se saisit de toutes les problématiques et éduque les parties prenantes sur les nécessités et
les obligations concrètes qui s’imposent.
2) Contrôler le respect du règlement et du droit interne en matière de protection des données 24
3) Conseiller et vérifier la réalisation d’un AIPD (Analyse d’impact à la protection des données)
4) Coopèrer avec l’autorité de contrôle = le DPD est ainsi le point de contact de l’autorité
Modalités d’exécution de la mission :
Le RGPD énonce qu’il doit lui être donnés les ressources nécessaires et les moyens d’entretenir ses
connaissances.
Le DPD doit jouir d’une indépendance.
Le DPD est le point de contact privilégié pour les personnes concernées.
Le DPD est soumis au secret professionnel ainsi qu’à une obligation de confidentialité. Le DPD ne doit pas

être sujet à un conflit d’intérêt : un chef d’entreprise ne peut être le DPD de sa structure.
➔ Conflit d’intérêt évident entre le chef d’en