Cela avait fait couler beaucoup d’encre, il y a quelques années : l’assujettissement des GHT – et souvent de l’établissement support – à la législation HDS.
La solution avait été proposée par la DGOS (Mémento RGPD – Sensibilisation au règlement général sur la protection des données à l’usage des directeurs d’établissement) : signer une convention de coresponsabilité pour écarter tout rapport de sous-traitance entre les membres.
La Cour de Justice de l’Union Européenne – ne l’accusons pas d’être dans le même tempo que la cavalerie, elle était appelée à statuer sur un autre sujet – a dégagé une autre solution. Elle a en effet considéré que le défaut de personnalité juridique n’empêchait pas de regarder un « service » ou un « organisme » comme un responsable de traitement (CJUE, 11 janvier 2024, Etat belge, n° C-231/22).
Bon, je vous le concède, peu d’impact pour nos GHT qui ont désormais fait leur choix et qui, depuis quelques mois, peuvent demander la personnalité morale (Art. L6132-1 et L6132-5-2 CSP). Ah, d’ailleurs, au moment de la reconduction de votre certification HDS, peut-être cette option devra-t-elle être envisagée?
En revanche, les répercussions sont colossales pour les employés, services ou « business unit » d’une société ou d’une administration, qui peuvent désormais se voir désigner responsable de traitement, dans le cadre de leurs fonctions. A cet égard, le Conseil d’Etat autrichien vient de considérer qu’un procureur peut être considéré comme un responsable de traitement (BVwG, 4 janvier 2024, n° W298 2266986 -1/20E).
Mais pourquoi serait-ce colossal?
Pour une raison simple : cette qualification – hors cas de coresponsabilité – est exclusive. Dans l’arrêt autrichien, c’était donc au procureur qu’il revenait de veiller au respect des principes fondamentaux du RGPD. Et ipso jure, sur lui que pesait le risque de sanction administrative!
Concrètement, cet arrêt Etat belge, c’est un peu la version négative de l’Euromillion. Et malheureusement, avec plus de risque de décrocher le gros lot.
Avez-vous eu à gérer de telles situations? Des RETEX, des craintes particulières? Partagez-les en commentaires.
Des difficultés à déterminer le responsable d’un traitement de données? N’hésitez pas à me contacter.