Connexion

Responsables de traitement de données, sous-traitants et accords sur le traitement des données dans le cadre du RGPD

Rédigé par 5 minutes de lecture

Afin de comprendre vos obligations dans le cadre du RGPD, il est important d'évaluer si vous êtes responsable du traitement des données ou sous-traitant.

Les responsables du traitement des données ont beaucoup à faire pour se conformer au RGPD. Dans le cadre de cette règlementation, les sous-traitants auront des obligations directes, mais elles seront beaucoup moins nombreuses que celles des responsables de traitement des données.  Aujourd’hui, les responsables de traitement doivent obliger contractuellement les sous-traitants à traiter les données d'une certaine manière, néanmoins avec l’entrée en vigueur du RGPD, celui-ci énonce désormais explicitement les éléments à inclure dans ce contrat.

Qu'est-ce qu'un responsable de traitement des données et qu'est-ce qu'un sous-traitant ?

Comment savoir si vous êtes un responsable de traitement ou un sous-traitant ?

Tout se résume à la prise de décision. Vous serez responsable de traitement si vous déterminez :

  • pourquoi les données doivent être traitées
  • comment elles doivent être traitées pour atteindre l'objectif visé, ou les deux

En revanche, les sous-traitants ne décident jamais pourquoi traiter les données et laissent aux responsables de traitement le soin de donner les instructions. Les sous-traitants peuvent prendre des décisions limitées sur la manière de traiter les données afin de répondre aux objectifs déterminés par le responsable du traitement, mais il ne peut s'agir que de décisions " non essentielles ".

Cela signifie que les décisions essentielles doivent toujours revenir au responsable de traitement, y compris les décisions concernant les données à traiter pour atteindre la finalité du traitement ou celles concernant la détermination du modèle économique du traitement.

Le plus important à retenir est que les rôles sont attribués sur la base des faits.

Il n'est donc pas possible de mettre en place un contrat déterminant les rôles de chacun avec par exemple la mention "X sera responsable du traitement, Y sera sous-traitant" en ayant l’assurance  que ce sera le cas.  Si, Y a pris des décisions sur les données à traiter pour les besoins de X, Y jouera le rôle de responsable de traitement conjoint au côté de X. Si Y décide de traiter les données pour ses propres besoins, il sera seul responsable du traitement pour parvenir aux objectifs fixés.

Comment déterminer les rôles de chacun dans le cadre du marketing à la performance ?

Dans le secteur de l’affiliation, l'annonceur est toujours un responsable de traitement car ce dernier est le seul à pouvoir décider du " pourquoi " quand il s’agit du traitement des données. Par exemple, il est le seul à décider : "faisons du marketing en ligne et payons des commissions sur une base CPA".

Mais qu'en est-il des réseaux et des éditeurs ?  S'agit-il de sous-traitants ou de responsables de traitement de données conjoints avec l'annonceur ?

La position d'Awin est la suivante : Awin est responsable de traitement de manière conjointe avec  l'annonceur, au côté des éditeurs. Il existe une relation tripartite et conjointe dans la responsabilité du traitement des données. En effet, Awin décide, avec ses éditeurs, des données à traiter pour délivrer la campagne de marketing à la performance de l'annonceur. 

Cela s’explique aussi par la façon dont les transactions sont trackées, requêtées et reportées.

Comment en sommes-nous arrivés à cette conclusion ?

Nous pensons que cette conclusion sur les rôles joués par Awin, les annonceurs et les éditeurs reflète bien le fonctionnement actuel de nos relations.

A titre d’exemple, si Awin et les éditeurs devaient occuper les rôles de sous-traitant de données, ils auraient l’obligation de faire approuver en amont, par chaque annonceur, tout nouveau traitement de données. Ils ne pourraient donc pas prendre ces décisions par eux-mêmes.

Du point de vue des éditeurs, la question est de savoir à partir de quand deviennent-ils responsables du traitement des données pour le compte de l’annonceur. Les éditeurs sont déjà responsables de traitement des données pour l’acquisition d’utilisateurs sur leur propre site internet. Ils sont donc seuls décisionnaires de l'objectif suivant : "générons du trafic pour qu'ils puissent voir les annonces que nous publions". 

Si les éditeurs venaient néanmoins à être considérés comme des sous-traitants, à quelle étape leur rôle changerait-il lors du parcours du consommateur sur le site internet de l'éditeur et sur d’autres sites par la suite ?  Cela varierait par publicité, plus que par éditeur ou par modèle d'éditeur.

Qu'est-ce que cela signifie pour les éditeurs ?

L'avantage est qu'Awin n'oblige pas les éditeurs à conclure des accords sur le traitement de données.

Toutefois, nous ajoutons de nouvelles conditions aux CGV éditeurs afin de préciser clairement quelles sont les obligations de chaque responsable de traitement de données. Ces nouvelles clauses couvrent, par exemple, la façon dont Awin et les éditeurs traiteront les demandes des consommateurs au sujet des données ou de la gestion d’une éventuelle atteinte à la protection des données.

Clarifier ces responsabilités permet d'éviter que les éditeurs et Awin soient tenus responsables des violations du RGPD engendrées par l’une des deux parties.

Cela signifie également qu’en tant que responsable de traitement, les éditeurs devront aussi se conformer à un plus grand nombre d'obligations liées au RGPD.  Toutefois, les éditeurs doivent respecter également le règlement pour le traitement de leurs propres données. En conséquence, ils devront désormais appliquer ces obligations au traitement de données qu’ils opèrent pour rattacher un consommateur à un annonceur.

Le principal avantage du réseau Awin est que dans la mesure où cela se fait conformément au RGPD, aux accords spécifiques ou aux CGV, les éditeurs sont en mesure de décider par eux-mêmes la façon dont ils souhaitent traiter les données afin de générer du trafic sur les sites des annonceurs.