Co-controlori care dețin datele HAAS Avocats

De Stéphane ASTIER și Florian PERRETIN

Dezvoltarea economiei se învârte acum în jurul datelor. Problemele legate de controlul acestor date în ceea ce privește poziționarea strategică și preluarea cotei de piață sunt într-adevăr majore și direct legate de o problemă esențială: cea a proprietății datelor.

Adevărat „petrol” al secolului 21, volumele gigantice de date accesibile acum fac obiectul mai multor utilizări de la colectarea lor până la întoarcerea lor. Această exploatare a devenit chiar o știință în sine, „ știința datelor ".

Furnizorii din acest domeniu se specializează și acum este obișnuit să găsim mai multe părți interesate care să contribuie la același tratament, mai ales cu implementarea API-urilor în cadrul unei soluții. Bazele de date generate de fiecare dintre protagoniști se completează reciproc, se suprapun și se interconectează; la fel de multe interacțiuni care au contribuit la definirea conceptului de coresponsabilitate pentru prelucrare, în special prezentat de Regulamentul general european privind protecția datelor din 26 aprilie 2016 (denumit în continuare GDPR) .

Confruntați astăzi problema proprietății datelor cu noțiunea de coresponsabilitate pentru prelucrare este, fără îndoială, una dintre cele mai delicate întrebări de abordat în cadrul unei strategii digitale controlate. Nu există nicio îndoială că viitorii responsabili cu protecția datelor (RPD) vor trebui să se ocupe de aceasta în mod regulat.

Oportunitatea de a reveni la conceptele cheie care ne permit să analizăm această întrebare la nivel global.

1. Conceptele de „controler”/„co-controler”/„procesor”

Conceptele de „operator” și „procesor” joacă un rol central în determinarea cine are controlul asupra datelor, în proprietatea bazelor de date implementate și, a fortiori, în accesul la veniturile generate de tratamentele și serviciile implementate.

Pentru a stabili cine este responsabil sau subcontractant, este necesar să se bazeze pe aplicarea reglementărilor aplicabile privind legea datelor cu caracter personal, și anume Legea privind protecția datelor și GDPR .

Cele două concepte își găsesc interesul în zona de responsabilitate a tratamentului. Între controler și procesor, există o stare intermediară, cea de „co-controler”, de cele mai multe ori independentă de mijloacele implementate, dar dependentă de scopurile procesării, deoarece este legată de ceilalți. Concepte cheie asupra cărora este necesară clarificarea.

„Operatorul” este persoana fizică sau juridică, autoritatea publică, departamentul sau alt organism care, singur sau împreună cu alții, determină scopurile și mijloacele de prelucrare.

Această definiție se învârte în jurul a trei puncte:

  • Aspectul individual: „Persoana fizică sau juridică, autoritatea publică, serviciul sau alt organism”;
  • Elementele esențiale care fac posibilă distincția operatorului de date de procesor: „Stabilește scopurile și mijloacele de prelucrare”;
  • Posibilitatea responsabilității partajate între mai mulți controlori de date, considerați apoi drept co-controlori de date: „Singur sau împreună cu alții” .

Când vine vorba de determinarea scopurilor și mijloacelor în vederea atribuirii rolului de controlor, principala întrebare care se pune este gradul de precizie al acestei determinări în procesare. Conceptele de „scop” și „înseamnă” se referă respectiv la „de ce” și „cum” ale activității de prelucrare. Aceste concepte pot varia în funcție de mediul particular în care are loc tratamentul și doar o abordare pragmatică permite contextualizarea acestor elemente.

Vorbim despre „co-controlori” atunci când doi sau mai mulți controlori stabilesc împreună scopurile și mijloacele de procesare. Co-operatorii trebuie să își definească în mod transparent obligațiile respective în scopul asigurării respectării dispozițiilor legale privind protecția datelor printr-un acord, al cărui schiță va fi pus la dispoziția persoanei în cauză prin prelucrare. Acest acord - ceea ce presupune o formalizare precisă - lasă în practică multă libertate controlorului. Prin adoptarea unei abordări pragmatice, legiuitorul european este foarte conștient de faptul că, în funcție de situație, există mai multe grade de implicare a actorilor în procesare și, prin urmare, în mod necesar, mai multe grade de coresponsabilitate.

„Procesorul” este persoana fizică sau juridică, autoritatea publică, departamentul sau alt organism care prelucrează datele cu caracter personal în numele operatorului. Prin urmare, existența procesorului depinde de inițiativa operatorului de a delega toate sau o parte din aceste activități de prelucrare unei organizații externe.

Această definiție se învârte în jurul a două puncte:

  • Aspectul „individual”, și anume o entitate juridică separată de operator;
  • Elementul esențial, faptul de a prelucra datele cu caracter personal în numele operatorului.

Activitățile de prelucrare desfășurate în numele operatorului pot fi de natură diversă, cu o marjă de apreciere mai mare sau mai mică la alegerea mijloacelor tehnice și organizaționale utilizate.

Întrucât calificările de „operator de date” și „procesator” se bazează pe considerente „factuale” și nu „contractuale”, ele se bazează pe criterii rezultate dintr-un set de indici: numărul instrucțiunilor anterioare date de operatorul de date, monitorizarea faptului că ultimele exerciții privind nivelul serviciului, vizibilitatea față de persoanele în cauză, expertiza părților, puterea de decizie autonomă a diferiților actori etc.