Nous aimerions ici vous faire part de nos « recherches » sur la réelle montée en puissance jurisprudentielle de la notion de « responsables conjoints » en droit européen. Alors que cette notion fait uniquement l’objet d’un court article (le 26) dans le GDPR, elle devient de plus en plus importante. Nous appelons à un futur avis de l’EDPB sur le sujet accompagné de la mise à disposition d’un modèle « accord responsables conjoints ». On peut rêver 🙂

1. Définitions

A. GDPR

Le GDPR définit certaines notions dont celles de responsable et de sous-traitant :

«responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre

«sous-traitant», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement

Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.

La notion de coresponsabilité est donc consacrée sur le plan juridique.

Nous aurons des coresponsables lorsque plusieurs entités juridiques distinctes procéderont de concert à la collecte et au traitement de données dans le cadre d’un traitement commun.

B. Avis du WG29 de 2010: ne jamais déléguer les finalités ni les éléments essentiels des moyens

Le Groupe de Travail « Article 29 » a adopté, le 16 février 2010, l’Avis 1/2010 sur les notions de « responsable du traitement », coresponsables, de tiers et de « sous-traitant » (WP 169).

Le Groupe de Travail (GT) analyse, en ajoutant de nombreux exemples tirés de la pratique, dans le détail les caractéristiques d’un responsable de traitement ou d’un sous-traitant.

La détermination de la « finalité » du traitement est réservée au «responsable du traitement». Toute personne qui prend cette décision est donc un responsable du traitement (de fait).

En revanche, la détermination des « moyens » du traitement peut être déléguée par le responsable du traitement, pour autant qu’elle concerne des questions techniques ou d’organisation. Les questions sensibles qui sont fondamentales pour la licéité du traitement sont réservées au responsable du traitement. Une personne ou une entité qui décide, par exemple, de la durée de conservation des données ou des personnes qui auront accès aux données traitées agit en «responsable du traitement» pour cette partie de l’utilisation des données, et doit donc se conformer à toutes les obligations qui incombent au responsable du traitement.

Dans ce contexte, alors que la détermination de la finalité du traitement emporterait systématiquement la qualification de responsable du traitement, la détermination des moyens impliquerait une responsabilité uniquement lorsqu’elle concerne les éléments essentiels des moyens.

2. Les arrêts de la Cour de justice de l’Union européenne

A.   Arrêt de la page fan de Facebook du 5 juin 2018 (aff. C-210/16)

Même si, logiquement, Facebook Ireland doit être regardé comme déterminant, à titre principal, les finalités et les moyens du traitement des données à caractère personnel des personnes visitant les pages fan créées par des entreprises, la Cour juge que l’organisme(administrateur de la page) qui a mis en place une telle page fan (une page Facebook qui vante la société et qui permet d’entrer en contact avec elle) contribue elle aussi à déterminer les finalités et les moyens des traitements de données personnelles qui en découlent.

En effet, un tel administrateur participe, par la création purement volontaire de la page fan (et du placement des cookies par Facebook sur les ordinateurs des personnes visitant ladite page), par ses actions de paramétrage (en fonction, notamment, de son audience cible ainsi que des objectifs de gestion ou de promotion de ses propres activités), à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan.

Cet administrateur peut aussi, à l’aide de filtres mis à sa disposition par Facebook, définir les critères à partir desquels ces statistiques doivent être établies et même désigner les catégories de personnes qui vont faire l’objet de l’exploitation de leurs données à caractère personnel par Facebook

Les statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée.

L’établissement de ces statistiques repose bien sur la collecte préalable par Facebook, au moyen de cookies installés par Facebook sur l’ordinateur ou sur tout autre appareil des personnes ayant visité cette page créée par la société allemande, et le traitement des données personnelles de ces visiteurs à de telles fins statistiques.

Toutefois, rappelle la Cour (reprenant ce que le groupe de travail énonçait dans ses guidances de 2010), la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées.

Dès lors, même si uniquement Facebook a connaissance des données personnelles et ne transfert que des statistiques anonymisées à la société allemande (c’est là toute la force du business model de Facebook – mais là n’est pas notre propos aujourd’hui), les deux sont donc bien responsables conjoints des traitements de données personnelles.

B.   Arrêt des témoins de Jéhovah du 10 juillet 2018 (aff. C-25/17)

Selon la Cour, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, les acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce.

Une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement, peut être considérée comme étant coresponsable du traitement.

En outre, la Cour rappelle ses dires de l’arrêt Facebook, « la responsabilité conjointe de plusieurs acteurs pour un même traitement ne présuppose pas que chacun d’eux ait accèsaux données à caractère personnel concernées ».

3. Conséquences

Dans le cas où deux ou plusieurs entités sont coresponsables du traitement, la répartitionexacte des responsabilités entre chaque entité (= entre chaque responsable de traitement) devra être déterminée dans un contrat (article 26 du RGPD).

Ce contrat ne sera pas systématiquement opposables au régulateur ou au juge (lequel dispose d’un pouvoir de requalification). Toutefois, la détermination du niveau de responsabilité exact de chaque responsable de traitement pourra permettre de limiter significativement la responsabilité des uns ou des autres dès lors que ce qui est décrit dans le contrat est conforme à la réalité des modalités de fonctionnement du traitement.

La convention pourrait faire reposer intégralement la qualité de responsable de traitement sur l’une ou l’autre des parties. Dans cette hypothèse, il importe que la convention indique précisément le rôle joué sur le plan opérationnel par chaque partie afin de démontrer la posture opérationnel de chacune des parties dans le traitement.

Aux termes de l’article 26 du RGPD, les responsables conjoints doivent définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du Règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14 du RGPD, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.

Cet accord devra obligatoirement refléter les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.

Ce dernier point soulève des questions auxquelles le règlement n’apporte pas de réponses :

  • qu’est-il entendu par « grandes lignes » ? quelles sont les dispositions qui doivent y figurer a minima ?
  • quelle forme doit prendre cette « mise à disposition » de l’accord ? doit-il est mis en ligne ? La communication sur demande des personnes concernées suffit-elle ? Cet accord doit-il faire partie intégrante des conditions de vente ou d’utilisation du produit/service ?

A tout le moins, il sera nécessaire que les autorités de contrôle ou l’EDPB (le nouveau G29) apportent des précisions sur ces points.

Toutefois, qu’importe les termes de l’accord en question, la personne concernée peut exercer les droits que lui confère le RGPD à l’égard de et contre chacun des responsables du traitement.

A ce titre, les co-responsables de traitement sont solidaires quant à la responsabilité civile et administrative. Il va s’en dire que cette idée « rejoint celle, en droit français, de la solidarité passive des débiteurs s’étant obligés à une même chose (C. civ. Art. 1200 et s.).

La personne concernée se trouve donc dans une position privilégiée. Qu’importe si elle a en face d’elle une situation responsable-sous-traitant ou deux responsables conjoints, le RGPD précise qu’elle peut à chaque fois s’adresser à n’importe lequel: soit le sous-traitant ou le responsable dans la première situation, soit le responsable conjoint de son choix dans la deuxième situation. A charge pour ces parties de se répartir par après l’indemnité payée à la personne concernée en fonction du contrat qui les liait (contrat qui doit correspondre bien sûr à la réalité).

Nul doute que l’EDPB mettra prochainement à son agenda l’épineuse question des responsables conjoints et des conséquences concrètes qui en découlent afin de complémenter les trois maigres paragraphes du RGPD sur le sujet alors que ce dossier, on l’a vu, prend énormément d’importance (deux arrêts de la Cour en un mois de temps qui concluent dans le même sens, c’est assez rare que pour être signalé).

Dossier à suivre de très près…

Axel BEELEN (@ipnewsbe)

Legal GDPR Expert
Share This