La question, en apparence étonnante, est pourtant d’actualité.
En janvier, la « CNIL norvégienne » a été saisie par un salarié souhaitant obtenir les données d’une badgeuse.
Problème : la société avait été liquidée.
La Datatilsynet, pour résoudre la question, a affirmé qu’un traitement de données ne peut juridiquement subsister sans responsable de traitement.
Résultat? Faute d’un responsable identifiable, le sous-traitant – fournisseur du dispositif – s’est vu qualifier de responsable de traitement, en raison de la maîtrise résiduelle qu’il conservait sur le traitement.
Avec toutes les conséquences que cela implique…
… et une amende d’environ 25 000 euros.
A ce stade, mon conseil est simple: prévoyez systématiquement une clause « défaillance des entreprises« dans vos accords de traitement.
De la sorte, le sort des données dans cette hypothèse sera clair.
Et l’insécurité juridique, limitée.
Besoin d’inspiration pour la rédiger? Le référentiel HDS v2 comporte une exigence sur le sujet. Il faut juste la bilatéraliser.
Voire à l’étendre au cas d’une pseudonymisation rendant – petit pincement au coeur en l’écrivant – les données anonymes.
Eh oui.
Tant l’arrêt CRU que le Digital Omnibus pourraient conduire au même résultat : la disparition du responsable de traitement.
Dans le contexte économique et juridique actuel, êtes-vous prêt à gérer un traitement devenu orphelin? N’hésitez pas à me contacter pour valider les mesures prises ou réfléchir sur celles à prendre.
Sources :
- 🇳🇴 Datatilsynet, 16 janvier 2026, n° 20/02911-20
- 🇫🇷 Référentiel de certification Hébergeur de données de santé (HDS) – Exigences v2.0
- 🇪🇺 CJUE, 4 septembre 2025, n° C-413-23
- 🇪🇺 Digital Omnibus
