La notion de responsable conjoint de traitement est souvent mal appréhendée par les entreprises, qui se concentrent généralement sur une approche bilatérale Responsable du traitement / Sous-Traitant.
L’occasion de faire le point sur cette notion complexe, introduite par le Règlement (UE) 2016/679 du 27 avril 2016 sur la protection des données personnelles (« RGPD »).
Définition des notions
Le RGPD distingue trois qualifications juridiques : le responsable du traitement (« RT »), le sous-traitant (« ST ») et les responsables conjoints de traitement (« RTC »).
Le RT est l’entité (généralement l’entreprise ou l’administration) qui décide des éléments clés d’un traitement de données : il détermine les finalités poursuivies, c’est-à-dire, l’objectif, le « pourquoi » ce traitement doit être réalisé, ainsi que les moyens y étant consacrés, c’est-à-dire le « comment » le traitement est réalisé.
Le ST au sens de l’article 28 du RGPD est le tiers (souvent un prestataire) désigné par le RT pour exécuter tout ou partie du traitement qu’il a défini (collecte, analyse, stockage, transmission, archivage, etc.) pour le compte du RT. Le RT doit s’assurer notamment qu’il recourt à des services, des plateformes et des systèmes conformes aux exigences de la réglementation, et les prestataires qui sont ses sous-traitants lui s’obligent envers lui (par contrat) à respecter les principes de protection des données.
Les Responsables Conjoints du Traitement (« RTC ») sont les entités qui déterminent conjointement les finalités et les moyens d’un traitement. Autrement dit, plusieurs entités, ont ensemble, le rôle de RT sur un même traitement. L’article 26 du RGPD leur fait obligation d’organiser ensemble, de manière « transparente », les obligations que chacune prend respectivement en charge pour assurer la conformité au RGPD du traitement concerné. Par exemple, l’information préalable devant être délivrée aux personnes concernées (art. 13 ou 14 du RGPD) et la détermination d’un point de contact dans le cadre de la procédure d’exercice des droits des personnes sont à cet égard des points particulièrement importants.
La nécessaire qualification juridique des acteurs d’un traitement de données personnelles
La qualification juridique des acteurs constitue une étape préalable indispensable quant à la phase de contractualisation, afin d’attribuer, dans un second temps, les droits et obligations des parties.
En pratique, il convient de procéder à la qualification des acteurs au regard du RGPD indépendamment de la qualification contractuelle qui pourrait d’ores et déjà exister (client, donneur d’ordre, prestataire, sous-traitant, etc.). La qualification des parties repose sur des éléments opérationnels et factuels : il s’agit d’une opération approfondie qui nécessite une analyse minutieuse du rôle de chacune des parties dans la détermination des finalités et des moyens des traitements.
En 2020, l’EDPB a publié une version mise à jour de ses guidelines sur les concepts de responsable de traitement et sous-traitant et y propose une grille d’analyse afin de qualifier les parties soit de RT (ou de RTC) soit de ST, laquelle prend notamment en considération :
- Le niveau d’instruction donné par le client au prestataire : quelle est l’autonomie du prestataire dans la réalisation de sa prestation ? ;
- Le degré de contrôle par le client de l’exécution de la prestation : quel est le degré de « surveillance » du client sur la prestation ? ;
- La valeur ajoutée fournie par le prestataire : le prestataire dispose-t-il d’une expertise approfondie dans le domaine ? ;
- Le degré de transparence sur le recours à un prestataire : l’identité du prestataire est-elle connue des personnes concernées qui utilisent les services du client ?
La qualification de RTC est, quant à elle, souvent moins aisée. De façon très synthétique, dès lors qu’un partenaire participe à la détermination des finalités d’un traitement, et/ou qu’il détermine tout ou partie des moyens « structurants » d’un traitement (choix des catégories des données collectées, détermination des délais d’effacement des données, détermination des destinataires des données, etc.), par opposition aux purs moyens « techniques » (choix des infrastructures et logiciels, détermination des dispositifs et procédures de sécurité, etc.), ce dernier sera probablement qualifié de responsable conjoint du traitement de données personnelles.
Par exemple : trois entités, une agence de voyages, une chaine d’hôtels et une compagnie aérienne, créent ensemble un service centralisé de réservation en ligne. Le service optimise leur pénétration commerciale et encapsule les clients dans un bouquet de prestations fournies par elles trois. Ces trois entités conviennent des modalités de collecte des données, de gestion des réservations, de transfert des clients, et de conservation des données : déterminant ainsi conjointement les finalités et les moyens de ces traitements, elles seront qualifiées de RTC, et le contrat devra refléter précisément les flux de données et décrire les zones de responsabilités technique et organisationnelle entre ces trois entités.
Pour une autre illustration, cette fois tirée de la jurisprudence européenne, notons que dans une décision du 5 juin 2018 C-210/16, la CJUE a qualifié de conjointe la responsabilité entre l’administrateur d’une page Facebook et Facebook, pour les collectes de données effectuées à partir de cette page. En tant qu’éditeur, Facebook demeure le responsable principal de la collecte de données effectuée via le réseau social. Néanmoins, le paramétrage de la page Facebook est réalisé par son administrateur, qui peut « personnaliser » les statistiques du réseau social selon des critères qu’il détermine. Il prend donc l’initiative de la collecte et détermine les catégories de données collectées.
Toutefois, le travail de qualification n’est souvent pas aussi simple en pratique, en particulier s’agissant des situations suivantes : mandats de gestion, intermédiation en assurance, distribution commerciale, plateformes expertes, partenariats commerciaux, groupes de société, etc.
Pour chaque situation, et en cas de doute, il convient toujours (i) de réaliser une analyse in concreto et traitement par traitement, et (ii) de se placer du point de vue de la personne concernée.
Impacts en termes de gestion contractuelle du RGPD
La qualification juridique des acteurs a un impact sur la gestion contractuelle du RGPD. Si l’entreprise doit actualiser ses contrats types afin d’être en conformité avec les obligations du RGPD, ce contrat comprendra des clauses différentes selon les qualifications juridiques retenues, soit au moins 3 clauses :
- Une clause dans laquelle le RT fait appel à un ST ;
- Une clause dans laquelle les deux parties sont RTC ;
- Une clause dans laquelle les deux parties sont RT distincts, c’est-à-dire que les deux parties traitent des données pour leur propre compte, sans que l’un traite les données pour le compte de l’autre.
Dans le cadre des relations entre RTC, il conviendra de veiller particulièrement à la définition des obligations entre chaque acteur, et des responsabilités qui en découlent, notamment en termes d’exploitation applicative, de notification des failles de sécurité entrainant une violation de données personnelles, d’information des personnes concernées (voire de recueil du consentement) et de gestion des demandes d’exercice de droits des personnes concernées.
Rappelons, en effet, que l’article 82 du RGPD prévoit que les RTC sont tenus solidairement des dommages causés par une violation du RGPD. Cette responsabilité solidaire impose une bonne gestion contractuelle pour appliquer efficacement une action récursoire entre les protagonistes quels qu’ils soient.
On voit donc bien toute l’importance de procéder au travail de qualification précité, puisqu’il découlera nécessairement de cette analyse, devant refléter la réelle participation des intervenants au titre des traitements de données qu’ils mettent en œuvre, des engagements contractuels et des zones de responsabilité pouvant être recherchées en cas de non-conformité à la réglementation.
[1] Le G29 ou Groupe de travail article 29 sur la protection des données est un ancien organe consultatif européen indépendant sur la protection des données et de la vie privée. Depuis l’entrée en application du RGPD, le G29 a été remplacé par le Comité Européen de la Protection des Données (CEPD).
