Le règlement européen sur la protection des données (RGPD) est le fondement juridique de la protection des données personnelles. Il édicte dans ce sens un certain nombre d’obligations aux acteurs du traitement des données.
En tant qu’entrepreneur, si vous traitez des données personnelles, ou que vous sous-traitez leur traitement, la notion de coresponsabilité, ou responsabilité conjointe, est centrale car certaines obligations en découlent. Me Yoram Kouhana décrypte pour vous le sujet de la coresponsabilité en RGPD.
Responsable de traitement, données personnelles, sous-traitant : rappels et définitions
La CNIL (Commission Nationale de l’Informatique et des Libertés) définit le responsable de traitement de données à caractère personnel comme étant “la personne, l'autorité publique, la société ou l'organisme qui détermine les finalités et les moyens de ce fichier, qui décide de sa création”.
En général, il s’agit de la personne morale, comme par exemple une entreprise, représentée par son représentant légal, le dirigeant.
Pour rappel, les données à caractère personnel sont toutes les informations permettant d’identifier une personne physique, directement ou indirectement.
Le sous-traitant, quant à lui, est défini par la CNIL comme étant la personne qui traite des données pour le compte du responsable de traitement.
Néanmoins, la frontière entre le responsable du traitement et le sous-traitant n’est pas toujours aussi simple.
Le principe de responsabilité conjointe
Avant même l’introduction du RGPD, la notion de responsabilité conjointe existait. Elle était prévue par la directive 95/46/CE, ancêtre du RGPD, qui est aujourd’hui abrogée.
Elle avait d’ailleurs fait l’objet de réflexions par le G29, ou Groupe de travail Article 29 sur la protection des données, ancien organe de l’Union européenne dont les missions étaient consultatives et portaient sur la protection des données et la vie privée.
Définition
Le G29 avait défini la responsabilité conjointe comme étant une détermination conjointe des finalités et des moyens d’un traitement de données personnelles.
L’article 26 du RGPD, dans la même veine, définit la responsabilité conjointe du traitement comme étant la situation dans laquelle deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement.
Les responsables de traitement conjoints sont également appelés co-responsables de traitement.
Obligations
L’article 26 énonce également certaines obligations incombant aux co-responsables du traitement. Ils doivent définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences RGPD, en établissant un accord écrit entre eux. Les grandes lignes de cet accord doivent être accessibles aux personnes concernées.
Impacts
Des définitions et obligations édictées par l’article 26 du RGPD découlent plusieurs conséquences.
Il existe un risque de requalification. En effet, l’article 28 du RGPD précise que si en violation des règles du RGPD, un sous-traitant détermine les finalités et moyens du traitement, il sera considéré comme un responsable du traitement pour ce qui concerne ce traitement en particulier. Il sera donc responsable conjointement avec le responsable du traitement.
Pour comprendre le risque de requalification, il faut comprendre le régime des obligations du sous-traitant :
- Le sous-traitant ne peut recruter un autre sous-traitant sans l’autorisation préalable écrite du responsable du traitement ;
- Le sous-traitant ne peut traiter les données personnelles que sur instruction du responsable du traitement sauf s’il a une obligation juridique de traiter les données. Dans ce cas, il doit informer le responsable du traitement ;
- Le sous-traitant doit veiller à ce que les personnes autorisées à traiter les données personnelles s’engagent à respecter la confidentialité ;
- Le sous-traitant doit prendre toutes les mesures de sécurité nécessaires pour la confidentialité des données ;
- Le sous-traitant doit aider le responsable du traitement à s’acquitter de son obligation de donner suite aux demandes des personnes concernées par le traitement des données ;
- A la fin de sa prestation, le sous-traitant doit supprimer toutes les données à caractère personnel ou les renvoyer au responsable du traitement.
Si la violation de ces obligations mènent à une situation où le sous-traitant détermine conjointement les finalités et les moyens du traitement des données, alors il s’agira d’une situation de responsabilité conjointe, dans laquelle il faudra respecter les obligations imposées par l’article 26.
Les personnes agissant en co-responsable du traitement devront établir un contrat dans lequel ils définissent leurs obligations dans le but de respecter les règles du RGPD ;
En plus du contrat, les co-responsables devront élaborer un document synthétique dans lequel les principaux éléments de l’accord sont indiqués. Ce document devra être accessible aux personnes concernées par le traitement de leurs données.
Quelques exemples de co-responsabilité
Dans ses lignes directrices, le G29 avaient donné des exemples de co-responsabilité. Le G29 considérait par exemple que lorsqu’une agence de voyages transfère des données personnelles des clients à des hôtels ou des compagnies aériennes, il s’agit de responsables de traitement distincts, alors que lorsque ces acteurs coopèrent plus étroitement par la création d’une plateforme commune, il s’agit d’une responsabilité conjointe.
La jurisprudence de la Cour de justice de l’Union européenne (CJUE) a également eu l’occasion de se prononcer sur la notion de responsabilité conjointe du traitement :
- La CJUE s’est prononcée à plusieurs reprises sur la qualification de responsabilité conjointe dans le cas des administrateurs de pages sur les réseaux sociaux. Par exemple, en 2018, la CJUE a considéré qu’un administrateur de page Facebook pouvant paramétrer des outils de mesure d’audience sur la page en déposant des cookies devait être considéré comme conjointement responsable des traitements issus de ces mesures d’audience effectuées sur la page. En effet, cela s’apparente à une participation dans la détermination des finalités et moyens du traitement ;
- En 2019, la CJUE a considéré qu’un éditeur de site web ayant incorporé un module de réseau social permettant la communication des données personnelles de ses visiteurs à ce réseau est responsable conjoint de ce traitement. En effet, l’éditeur du site internet avant incorporé sur son site un bouton “j’aime” issu du réseau social Facebook.
L’importance de se faire accompagner par un avocat
En tant qu’entrepreneur, vous êtes très probablement confronté à la problématique du traitement des données personnelles. Vous êtes donc soumis à l’obligation de protection de ces données, sur le fondement du RGPD. La question de la co-responsabilité du traitement s’est donc peut être déjà posée, ou se posera dans le futur, notamment si vous agissez en coopération avec d’autres acteurs, comme par exemple des sous-traitants ou des partenaires. Dans une situation de responsabilité conjointe de traitement, il est fortement conseillé de se faire accompagner par un avocat spécialisé, qui saura vous conseiller et vous aider à rédiger les documents obligatoires.
En résumé
- Les co-responsables du traitement sont ceux qui définissent conjointement la finalité et les moyens du traitement des données.
- Les co-responsables du traitement doivent établir un contrat déterminant les obligations incombant à chacun dans le but de respecter les obligations en matière de protection des données personnelles imposées par le RGPD.
- Les co-responsables du traitement devront également produire un document synthétique à destination des personnes concernées par le traitement des données présentant les grandes lignes de leur accord.
- Le sous-traitant qui viole les obligations du RGPD et se comporte de telle sorte qu’il décide conjointement au responsable du traitement des finalités et des moyens du traitement des données pourra être requalifié en tant que co-responsable du traitement.
Une question ? Laissez votre commentaire