En réponse à des questions adressées par des banques et des opérateurs postaux, la CPDP a donné une interprétation aux notions juridiques d’« administrateur » et de « personne traitant des données personnelles » dans le contexte de la prestation de services. La position de la CPDP, formulée dans plusieurs avis, est comme suit :
« 1. Les sociétés qui offrent des services dans les conditions d’une réglementation juridique stricte et exhaustive, sur la base d’une licence ou d’une autorisation individuelle analogue délivrée par l’Etat et contrôlée par des autorités publiques formellement désignées, ne peuvent pas être considérées, en règle générale, comme traitant des données personnelles, mais comme des administrateurs indépendants. Par exemple, c’est le cas des opérateurs postaux, des banques et des compagnies d’assurance.
2. Etant donné la grande diversité des relations publiques et compte tenu du principe de responsabilité, définie dans l’art. 5, paragraphe 2 du Règlement (UE) 2016/679, dans les relations commerciales et les relations de droit public, les acteurs sont censés définir eux-mêmes, dans chaque cas à part, quelles sont leurs relations concernant les données personnelles traitées par eux : sont-ils des administrateurs indépendants, administrateur et traitant les données, ou des administrateurs conjoints. Leur choix ne doit pas être formel, mais garantir au plus haut degré la conformité aux dispositions du Règlement (UE) 2016/679 et la protection efficace des personnes concernées par les données. »
