L'article 29 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit Règlement général sur la protection des données (RGPD), régit les traitements effectués par des personnes agissant sous l'autorité du responsable du traitement ou du sous-traitant. Il impose que ces personnes ne traitent les données à caractère personnel que sur instruction du responsable du traitement, sauf obligation légale contraire.
Cette disposition vise à garantir que l'ensemble des personnes ayant accès aux données personnelles dans le cadre de leurs fonctions (employés, agents, collaborateurs, prestataires ponctuels) respectent les principes du RGPD et n'utilisent les données que dans le cadre strict des finalités déterminées par le responsable du traitement. Elle contribue à prévenir les détournements de finalité et les accès non autorisés aux données.
L'article 29 constitue ainsi un mécanisme essentiel de maîtrise de la chaîne de traitement et de garantie de la confidentialité des données personnelles au sein des organisations.
Texte officiel de l'article 29 du RGPD
L'article 29 du RGPD dispose :
Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, à moins d'y être obligé par le droit de l'Union ou le droit d'un État membre.
Ce texte bref mais essentiel établit un principe fondamental de subordination et de limitation de l'autonomie des personnes ayant accès aux données personnelles dans le cadre de leurs fonctions.
Portée de l'article 29 : les personnes agissant sous autorité
L'article 29 vise toute personne agissant sous l'autorité du responsable du traitement ou du sous-traitant. Cette notion recouvre l'ensemble des employés, agents, collaborateurs, stagiaires, intérimaires, ou prestataires ponctuels qui ont accès à des données à caractère personnel dans le cadre de leurs fonctions, qu'ils soient liés par un contrat de travail, un contrat de prestation de services, ou toute autre forme de relation contractuelle ou statutaire.
Le critère déterminant est le lien de subordination ou d'autorité : la personne doit agir sous les instructions et le contrôle du responsable du traitement ou du sous-traitant. Ainsi, un employé d'une entreprise, un agent d'une administration publique, ou un prestataire ponctuel intervenant dans les locaux de l'organisation et utilisant ses systèmes d'information entrent dans le champ d'application de l'article 29.
En revanche, un sous-traitant agissant pour le compte du responsable du traitement n'entre pas dans le champ de l'article 29, car il relève du régime spécifique de l'article 28. De même, un responsable conjoint du traitement n'agit pas « sous l'autorité » du responsable du traitement, mais en collaboration avec lui, conformément à l'article 26.
L'obligation de ne traiter que sur instruction
L'article 29 impose que les personnes agissant sous l'autorité du responsable du traitement ou du sous-traitant ne traitent les données à caractère personnel que sur instruction de celui-ci. Cette exigence signifie que ces personnes ne peuvent accéder aux données, les consulter, les modifier, les transmettre, ou les supprimer que dans le cadre strict des finalités déterminées par le responsable du traitement et conformément aux instructions qu'il a données.
Cette obligation implique que le responsable du traitement ou le sous-traitant définisse clairement, par écrit ou par voie électronique, les instructions applicables au traitement des données personnelles, les droits d'accès de chaque personne en fonction de ses attributions, et les règles de sécurité et de confidentialité à respecter. Ces instructions peuvent prendre la forme de politiques internes, de procédures, de chartes informatiques, ou de consignes spécifiques transmises aux personnes concernées.
Le non-respect de cette obligation par une personne agissant sous autorité peut engager la responsabilité du responsable du traitement ou du sous-traitant, dès lors que celui-ci n'a pas mis en place les mesures techniques et organisationnelles appropriées pour garantir que les données ne soient traitées que conformément à ses instructions.
L'exception : l'obligation légale de traiter les données
L'article 29 prévoit une exception à l'obligation de ne traiter que sur instruction du responsable du traitement : les personnes agissant sous autorité peuvent traiter les données à caractère personnel lorsqu'elles y sont obligées par le droit de l'Union ou le droit d'un État membre. Cette exception vise les situations dans lesquelles une obligation légale impose à la personne de traiter les données, indépendamment des instructions du responsable du traitement.
Par exemple, un employé d'une entreprise peut être tenu, en vertu d'une obligation légale, de communiquer certaines données personnelles à une autorité administrative ou judiciaire, même si le responsable du traitement ne lui a pas expressément donné instruction de le faire. De même, un agent d'une administration publique peut être tenu de traiter certaines données personnelles en application d'une disposition législative ou réglementaire, sans attendre une instruction spécifique de sa hiérarchie.
Toutefois, cette exception doit être interprétée restrictivement : elle ne concerne que les obligations légales explicites et ne saurait permettre à une personne agissant sous autorité de traiter les données à d'autres fins que celles prévues par la loi ou autorisées par le responsable du traitement.
Articulation avec l'obligation de confidentialité
L'article 29 doit être lu en lien étroit avec l'article 28, paragraphe 3, point b), et l'article 32, paragraphe 4, qui imposent que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
Cette obligation de confidentialité suppose que les personnes ayant accès aux données personnelles soient informées de la nature sensible de ces données et des conséquences d'une divulgation ou d'une utilisation non autorisée. Elle implique également qu'elles s'engagent, par écrit ou par tout autre moyen, à ne pas divulguer les données à des tiers non autorisés et à ne pas les utiliser à des fins autres que celles prévues par le responsable du traitement.
En pratique, il est recommandé de faire signer aux employés et aux collaborateurs une charte de confidentialité ou une clause de confidentialité dans leur contrat de travail ou leur contrat de prestation de services, afin de formaliser cet engagement et de garantir la traçabilité de l'information.
Les mesures techniques et organisationnelles à mettre en œuvre
Le respect de l'article 29 implique que le responsable du traitement ou le sous-traitant mette en place des mesures techniques et organisationnelles appropriées pour garantir que les personnes agissant sous son autorité ne traitent les données que conformément à ses instructions. Ces mesures incluent notamment la définition de politiques internes de gestion des accès aux données, la mise en place de contrôles d'accès logiques (identifiants, mots de passe, authentification forte, gestion des habilitations), la journalisation des accès et des opérations de traitement, ainsi que la formation et la sensibilisation du personnel.
La formation du personnel est particulièrement importante : elle permet de s'assurer que les personnes ayant accès aux données personnelles connaissent leurs obligations en matière de protection des données, comprennent les risques liés à une utilisation non autorisée des données, et sont en mesure d'identifier et de signaler les incidents de sécurité.
Les mesures organisationnelles peuvent également inclure la mise en place de procédures de contrôle interne, d'audits réguliers des accès aux données, et de sanctions disciplinaires en cas de non-respect des instructions ou de violation de l'obligation de confidentialité.
Responsabilité du responsable du traitement et du sous-traitant
Le responsable du traitement demeure responsable du respect de l'article 29 par les personnes agissant sous son autorité. En cas de traitement non autorisé ou de violation de données résultant d'un comportement d'un employé ou d'un collaborateur, le responsable du traitement peut être tenu pour responsable s'il n'a pas mis en place les mesures techniques et organisationnelles appropriées pour prévenir un tel comportement.
De même, le sous-traitant est responsable du respect de l'article 29 par les personnes agissant sous son autorité. Il doit veiller à ce que ses employés et collaborateurs ne traitent les données que conformément aux instructions du responsable du traitement et aux stipulations du contrat de sous-traitance.
La responsabilité du responsable du traitement ou du sous-traitant peut être engagée tant sur le plan administratif (sanctions de l'autorité de contrôle) que sur le plan civil (réparation du préjudice subi par les personnes concernées) ou pénal (poursuites pour atteinte à la vie privée, divulgation de données à caractère personnel, etc.).
Sanctions et jurisprudence
Le non-respect de l'article 29 est susceptible d'entraîner des sanctions administratives en application de l'article 83 du RGPD. Les autorités de contrôle sanctionnent régulièrement les responsables de traitement qui n'ont pas mis en place de mesures suffisantes pour garantir que les personnes agissant sous leur autorité ne traitent les données que conformément à leurs instructions, ou qui n'ont pas formé ou sensibilisé leur personnel aux obligations de protection des données.
La jurisprudence des autorités de contrôle souligne que le manquement à l'article 29 est souvent révélé à l'occasion de violations de données résultant d'erreurs humaines, de négligences, ou de comportements malveillants de personnes ayant accès aux données. Les autorités insistent sur l'importance de la formation du personnel et de la mise en place de contrôles d'accès stricts pour prévenir de tels incidents.
Recommandations de la CNIL et du CEPD
La Commission nationale de l'informatique et des libertés (CNIL) recommande aux responsables de traitement et aux sous-traitants de mettre en place des politiques claires de gestion des accès aux données personnelles, de former régulièrement leur personnel aux obligations de protection des données et de confidentialité, et de prévoir des mécanismes de contrôle interne permettant de détecter et de sanctionner les accès non autorisés ou les utilisations non conformes des données.
Le Comité européen de la protection des données (CEPD) souligne que l'article 29 constitue un complément essentiel aux obligations prévues aux articles 28 et 32, et qu'il doit être mis en œuvre de manière rigoureuse pour garantir la confidentialité et la sécurité des données personnelles. Il recommande aux organisations de documenter les instructions données aux personnes agissant sous leur autorité et de tenir à jour un registre des habilitations d'accès aux données.
L'article 29 du RGPD établit le principe fondamental selon lequel les personnes agissant sous l'autorité du responsable du traitement ou du sous-traitant ne peuvent traiter les données à caractère personnel que sur instruction de celui-ci, sauf obligation légale contraire. Il constitue un mécanisme essentiel de maîtrise de la chaîne de traitement et de garantie de la confidentialité des données personnelles.
Pour les organisations, le respect de l'article 29 implique la mise en place de mesures techniques et organisationnelles appropriées, notamment la définition de politiques internes, la mise en œuvre de contrôles d'accès stricts, la formation et la sensibilisation du personnel, et la formalisation des engagements de confidentialité. Le respect de cette disposition conditionne la capacité de l'organisation à garantir la sécurité et la confidentialité des données personnelles qu'elle traite et à prévenir les violations de données résultant d'erreurs humaines ou de comportements malveillants.