Nouvelle sanction CNIL : un salarié peut-il être un responsable du traitement
La CNIL a récemment sanctionnée la société SAF Logistics pour une collecte excessive de données et également pour défaut de coopération lors des contrôles menés… ce n’est pas le sujet qui a retenu notre attention.
Dans cette affaire, la CNIL aborde la question de la qualification du « responsable du traitement » : une question qui est régulièrement posée lors de nos formations chez RGPD Academy. Il s’agit de la question suivante : « qui est responsable du traitement ? ».
Dans l’affaire précitée, la société SAF Logistics tentait de reporter sa qualité de responsable du traitement sur un salarié. Déjà, on sait que ce type de situation en surprendrait plus d’un : une personne physique peut-elle réellement être responsable du traitement ? Oui. Cette réponse vous la trouvez déjà à l’article 4 du RGPD, dans les définitions. Un responsable du traitement peut être une personne physique OU morale.
Le responsable de traitement est défini, aux termes de l’article 4, point 7, du RGPD, comme ” la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement “.
Revenons brièvement sur les faits de la délibération CNIL : selon les dires de la société en cause, le responsable du traitement devait d’abord être considéré comme étant la société mère du groupe, avant de changer d’avis et de pointer du doigt un salarié. Selon la société toujours, le salarié, voulant postuler en interne pour aller travailler en Chine, avait décidé d’utiliser et de diffuser un formulaire spécifique, faisant de lui un responsable du traitement.
Le salarié pouvait-il être considéré comme responsable du traitement ?
Dans les faits découverts par la CNIL, un salarié avait effectivement utilisé un formulaire pour postuler au sein du groupe. Ce formulaire, créé par la société mère chinoise, avait ensuite été diffusé auprès d’une vingtaine de salariés souhaitant également postuler. La société en cause affirme que c’est le salarié lui-même qui avait diffusé ce formulaire auprès de ses collègues. A ce titre, le salarié devait être considéré responsable du traitement.
La simple diffusion pouvait-elle permettre la qualification de responsable du traitement ? Selon la CNIL : non. Elle rappelle ici à juste titre qu’un responsable de traitement détermine les finalités et les moyens d’un traitement. C’est-à-dire pourquoi traiter des données et comment traiter des données : quel est le « résultat attendu ou recherché » et « la façon de parvenir à ce résultat ». En l’occurrence, la diffusion du formulaire pourrait être vue comme un moyen du traitement : cela participe à la réalisation du traitement.
La CNIL, suit le raisonnement proposé par les lignes directrices du 7 juillet 2021 sur les notions de responsable du traitement et de sous-traitant du Comité européen de la protection des données qui indique bien qu’une personne physique ou morale qui exerce une influence quant à la détermination des finalités et des moyens d’un traitement peut être qualifiée de responsable du traitement. Cependant, « Le responsable du traitement doit décider à la fois des finalités et des moyens du traitement, […]. Par conséquent, le responsable du traitement ne peut pas se limiter à déterminer uniquement la finalité. Il doit également prendre des décisions concernant les moyens du traitement. À l’inverse, la partie qui agit comme sous-traitant ne peut jamais déterminer la finalité du traitement ». Il ressort ainsi des faits, que le salarié qui ne faisait que diffuser le formulaire, exerce une influence que sur les moyens du traitement et non pas sur la finalité du traitement. Pour la CNIL, il ne peut donc pas être qualifié de responsable du traitement.
La CNIL se tourne alors vers l’autre argument lancé par la société : c’est en fait la société mère chinoise qui est responsable du traitement.
La société mère pouvait-elle être considérée comme responsable du traitement ?
Dans sa délibération, la CNIL indique « qu’il ressort des éléments communiqués à la CNIL que c’est la société SAF LOGISTICS qui a demandé à la société-mère chinoise de lui transmettre le formulaire, afin de le diffuser à ses salariés ». De fait, la société SAF Logistics a pris la décision de récupérer le formulaire et de le diffuser en interne.
De plus, ce n’est finalement pas le salarié qui avait décidé de diffuser le formulaire auprès d’une vingtaine de ses collègues mais bien la société : dans ses observations en réponse à la CNIL, la société précisait que l’envoi du formulaire « faisait suite à la demande d’un employé chinois qui souhaitait postuler en Chine et connaitre le processus de candidature. SAF a pris contact avec la société mère en Chine à ce sujet » et qu’elle avait « envoyé un formulaire à des salariés dans l’hypothèse où certains d’entre eux auraient la volonté d’aller travailler auprès de la société mère en Chine ».
La CNIL met en avant deux points intéressants :
- La société, en répondant à la demande initiale du salarié, et en identifiant en plus d’autres salariés à qui adresser le formulaire, participait ainsi à la détermination des finalités du traitement ;
- La société avait décidé de récupérer et de diffuser le formulaire toute seule : elle participe aussi à la détermination des moyens du traitement.
Si nous suivons le raisonnement de la CNIL et les lignes directrices du Comité européen : SAF Logistics ne pouvait donc pas échapper à la qualification de responsable du traitement. Ainsi, pour les manquements constatés (on vous invite ici à lire plus en détails la délibération), c’est bien la société SAF Logistics qui pouvait être sanctionnée.
Que doit-on retenir de cette affaire ?
- La qualification de responsable du traitement doit s’apprécier de manière factuelle : qui détermine les raisons d’un traitement et les moyens d’y parvenir pourra être qualifié de responsable du traitement. Les acteurs qui participent à cette détermination pourraient donc également gagner cette casquette – notamment pour les responsables conjoints – mais cela dépendra du rôle qu’ils jouent.
- Une personne physique comme une personne morale peuvent ainsi être qualifiées de responsable du traitement. En interne, cela doit vous amener à mener une réflexion sur qui prend les décisions relatives aux traitements de données : un salarié, un responsable de services, un membre de CODIR, pourrait être un responsable du traitement. Si c’est le cas : il est peut-être temps de les en informer et surtout de les former !
Sur ce, on vous dit à bientôt pour la prochaine publication et on reste disponible pour toutes vos questions !