Sous-traitant

Un sous-traitant est une entité qui traite des données à caractère personnel pour le compte et selon les instructions d'un responsable du traitement. Dans le contexte de la publicité politique, les sous-traitants traitent des données à caractère personnel à des fins de ciblage ou de diffusion publicitaire, mais ne décident pas comment ni pourquoi les données sont utilisées. Le responsable du traitement demeure en dernier ressort responsable de la licéité du traitement.

Fondement juridique

« "Sous-traitant" : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. »

— Article 4, paragraphe 8, règlement (UE) 2016/679 (RGPD)

Bien que le règlement (UE) 2024/900 ne définisse pas le sous-traitant, il fait référence au droit de la protection des données et attribue des obligations spécifiques aux responsables du traitement et aux sous-traitants lorsque des données à caractère personnel sont utilisées pour le ciblage de publicités politiques en ligne.

Pourquoi c'est important

Comprendre le rôle des sous-traitants est essentiel pour se conformer tant au RGPD qu'au règlement sur la publicité politique. Lorsqu'un parti politique, une campagne ou un annonceur utilise une plateforme en ligne, un fournisseur de technologies publicitaires ou un cabinet d'analyse pour diffuser des publicités politiques ciblées, ce fournisseur agit généralement en tant que sous-traitant. L'annonceur ou l'acteur politique demeure le responsable du traitement et doit s'assurer que le sous-traitant respecte toutes les exigences légales.

Les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées, aider les responsables du traitement à respecter leurs obligations (telles que répondre aux demandes des personnes concernées) et traiter les données uniquement sur instructions documentées. Ils ne peuvent pas utiliser les données à caractère personnel à leurs propres fins. Si un sous-traitant détermine ses propres finalités de traitement, il devient responsable du traitement et assume l'entière responsabilité au titre du droit de la protection des données.

Pour la publicité politique, cette distinction est importante car le ciblage utilisant des données à caractère personnel est fortement restreint en vertu du chapitre III du règlement (UE) 2024/900. Les responsables du traitement doivent s'assurer que leurs sous-traitants respectent les limitations de ciblage, les exigences en matière de consentement et les interdictions d'utiliser certaines catégories de données sensibles.

Points clés

Agit selon les instructions : Les sous-traitants traitent les données à caractère personnel uniquement selon les directives du responsable du traitement ; ils ne peuvent décider ni comment ni pourquoi les données sont traitées.
Demeure responsable : Les responsables du traitement sont en dernier ressort responsables de veiller à ce que les sous-traitants respectent le RGPD et les règles relatives à la publicité politique.
Accords écrits obligatoires : Les responsables du traitement doivent avoir un contrat ou un acte juridique en place avec les sous-traitants précisant les modalités du traitement, les mesures de sécurité et les obligations.
Assiste à la conformité : Les sous-traitants doivent aider les responsables du traitement à répondre aux demandes d'exercice des droits des personnes concernées, à mener des analyses d'impact et à signaler les violations de données.
Peut devenir responsable du traitement : Si un sous-traitant détermine les finalités et les moyens du traitement, il est reclassé comme responsable du traitement avec l'entière responsabilité juridique.
Règles spécifiques pour le ciblage : Lorsque les sous-traitants diffusent des publicités politiques ciblées en ligne, ils doivent respecter les restrictions du chapitre III et ne peuvent utiliser les catégories particulières de données à des fins de ciblage.

Sous-traitant vs. responsable du traitement

Un responsable du traitement détermine les finalités et les moyens du traitement de données à caractère personnel — décidant quelles données collecter, comment les utiliser et pourquoi. Un sous-traitant agit uniquement selon les instructions du responsable du traitement et ne prend pas ces décisions.

Dans la publicité politique, un parti politique qui décide de mener une campagne publicitaire ciblée est le responsable du traitement. La plateforme de médias sociaux ou le service de technologies publicitaires diffusant ces publicités selon les instructions du parti est le sous-traitant. Si la plateforme utilise également les données à ses propres fins (par exemple, améliorer son algorithme de recommandation), elle agit en tant que responsable du traitement pour cette finalité distincte.

La distinction est essentielle car les responsables du traitement et les sous-traitants ont des obligations différentes au titre du RGPD, et la responsabilité en cas de non-conformité incombe en dernier ressort au responsable du traitement.

Termes connexes

Oui. En tant que règlement de l'UE, le TTPA est directement applicable dans tous les États membres sans nécessiter de transposition nationale. Les États membres doivent uniquement désigner les autorités compétentes et établir les sanctions.

Les exigences de transparence garantissent que tous les acteurs politiques opèrent selon les mêmes règles. Les électeurs peuvent voir qui dispose de ressources et comment elles sont utilisées, soutenant ainsi une concurrence équitable.

La transparence renforce la confiance en montrant aux électeurs que les acteurs politiques opèrent ouvertement. Le financement caché ou le ciblage érode la confiance dans les processus démocratiques.

En exigeant un étiquetage clair et des informations de transparence accessibles, le TTPA aide les personnes à reconnaître la publicité politique et à comprendre qui tente de les influencer.

La publicité politique comprend tout message payant qui promeut un acteur politique, influence le comportement électoral, affecte le résultat d'élections ou de référendums, ou influence les processus législatifs ou réglementaires. Elle comprend également toute publicité par ou au nom d'un acteur politique.

Non. Le TTPA n'affecte pas les règles nationales relatives au contenu des publicités politiques, au financement des campagnes, aux périodes électorales ou aux interdictions générales de la publicité politique. Il ajoute des exigences de transparence qui s'ajoutent aux législations nationales existantes.

Le nom officiel est le Règlement (UE) 2024/900 du Parlement européen et du Conseil relatif à la transparence et au ciblage de la publicité politique. Il a été publié le 20 mars 2024.

Oui. Le TTPA couvre toute publicité politique, qu'elle soit en ligne ou hors ligne, y compris la presse écrite, les panneaux d'affichage, la télévision, la radio et les canaux numériques. Les règles de ciblage du chapitre III s'appliquent uniquement à la publicité en ligne.