Il n’est pas toujours facile de qualifier correctement dans un même groupe de sociétés les responsables de traitement et les sous-traitants au sens de la loi Informatique et libertés.

Une société mère peut-elle être le sous- traitant de sa filiale ?

Assurément oui, dès lors que la filiale détermine les finalités et les moyens du traitement.

A l’inverse, une société holding peut parfaitement détenir cette qualité et à ce titre répondre du respect de la loi et supporter les sanctions de la CNIL dans le cas contraire.

Il faut donc se prononcer au cas par cas compte tenu des caractéristiques spécifiques de chaque traitement de données.

C’est ce qui résulte clairement d’un arrêt du Conseil d’état du 12 mars 2014 au sujet de la société Foncia Groupe qui le contestait.

Cette dernière ayant « mis à disposition des entités qui lui sont liées le traitement « Totalimmo » a décidé de la nature des données collectées et déterminé les droits d’accès à celles-ci, puis, après le contrôle de la Commission Nationale de l’Informatique et des Libertés, a fixé la durée de conservation des données et apporté des correctifs à leur traitement », correspond bien à la définition légale de responsable du traitement.

Il était donc logique qu’elle supporte personnellement la sanction pécuniaire prononcée par la CNIL.