le fait d’être le premier auteur d’un article scientifique ne suffit pas à requalifier le sous-traitant en responsable du traitement
Article rédigé par Alice Agard et Laurence Huin
Personuvernd, 8 septembre 2022, n°2020123091
Dans une décision du 8 septembre 2022, l’autorité de protection des données islandaise a considéré que le fait pour un membre du personnel d’un sous-traitant d’être le premier auteur d’un article publié dans une revue scientifique et portant sur une recherche dans le domaine de la santé ne suffisait pas à requalifier ce sous-traitant en responsable de traitement.
Pour rappel, l’article 4-7 du RGPD définit le responsable de traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement »
Dans des lignes directrices adoptées le 7 juillet 2021, le Comité européen de la protection des données (CEPD)[1] précise que le responsable du traitement est un « organisme qui décide de certains éléments essentiels du traitement (…) cette responsabilité peut être définie par la loi ou découler d’une analyse des éléments ou circonstances factuels de l’espèce ». La notion de responsable du traitement est donc une notion fonctionnelle, qui repose sur une « analyse factuelle plutôt que formelle ». Or, cette analyse s’avère essentielle lorsque divers acteurs interviennent dans le traitement de données et qu’il est nécessaire de déterminer lesquels d’entre eux sont responsables du traitement et lesquels sont à considérer comme des sous-traitants.
Le sous-traitant est quant à lui défini comme une entité distincte du responsable du traitement, qui doit traiter des données à caractère personnel pour le compte de celui-ci. A cet égard, le sous-traitant ne doit traiter les données « que selon les instructions du responsable du traitement ». Si une certaine marge de manœuvre peut lui être accordée, il viole le RGPD s’il va au-delà des instructions du responsable du traitement et pourrait faire l’objet de sanctions.
Au regard des sanctions, la distinction entre responsable du traitement et sous-traitant apparait donc essentielle. Pourtant, elle peut s’avérer délicate, notamment lorsqu’il s’agit de qualifier l’auteur d’un article scientifique. C’est précisément ce qu’illustre cette décision de la CNIL islandaise.
En effet, le premier auteur d’un article scientifique désigne généralement une personne ayant contribué substantiellement à la conception ou aux méthodes de la recherche ou à l’acquisition, l’analyse ou l’interprétation des données[2]. Il est alors possible de déceler l’existence d’un traitement de données, dont le premier auteur pourrait être considéré comme responsable de traitement au sens du RGPD.
En l’espèce, il était allégué que le sous-traitant avait outrepassé son autorité, les chercheurs de cette entreprise ayant été mentionnés comme premiers auteurs des articles présentant les résultats de la recherche.
L’autorité islandaise exclut toutefois un lien implicite entre les qualités d’auteur d’un article scientifique et de responsable de traitement. Pourtant, la notion de traitement caractérisée par l’étude et l’analyse des données ne semblait pas absente.
Elle considère en effet que le fait d’étudier des données et d’en tirer des conclusions n’entraine pas nécessairement la qualification de responsable du traitement. Elle en déduit que la qualité d’auteur d’articles scientifiques conférée aux employés d’une entreprise ne conduit pas forcément à considérer celle-ci comme responsable du traitement – peu important l’ordre dans lequel ces auteurs sont mentionnés. En revanche, si l’entreprise est allée au-delà du protocole de recherche tel qu’il a été approuvé, il faut considérer qu’elle est devenue responsable du traitement et non plus sous-traitant.
Le critère permettant de distinguer entre responsable de traitement et sous-traitant, justifiant ou non une requalification résiderait ainsi dans le respect du protocole de recherche. Si l’auteur a réalisé l’article sans s’écarter du protocole et donc sans aller au-delà des instructions du responsable, il ne devrait pas encourir une requalification en responsable de traitement. C’est ce que rappelle précisément le CEPD : « lorsqu’une entité détermine clairement les finalités et les moyens, en confiant à une autre entité des activités de traitement correspondant à l’exécution de ses instructions précises (…), il ne fait aucun doute que la seconde entité doit être considérée comme un sous-traitant et la première comme le responsable du traitement ».
Une mobilisation systématique du critère tenant au respect du protocole pourrait permettre une plus grande sécurité juridique pour les établissements de santé. Les membres de leur personnel pourraient être auteurs – améliorant ainsi la valorisation de leurs points SIGAPS – sans pour autant craindre une requalification automatique en responsables de traitement.
[1] Comité européen de la protection des données, Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, version 2.0, adoptées le 7 juillet 2021.
[2] International Committee of Medical Journal Editors (ICMJE), recommandations disponibles en ligne : https://icmje.org/recommendations/translations/. L’autorité islandaise fait référence à la Norme Vancouver, mise au point par l’ICMJE.