La notion de responsable conjoint de traitement est souvent mal appréhendée par les entreprises, qui se concentrent généralement sur une approche bilatérale Responsable du traitement / Sous-Traitant.
L’occasion de faire le point sur cette notion complexe, introduite par le Règlement (UE) 2016/679 du 27 avril 2016 sur la protection des données personnelles (« RGPD »).
Définition des notions
Le RGPD distingue trois qualifications juridiques : le responsable du traitement (« RT »), le sous-traitant (« ST ») et les responsables conjoints de traitement.
Le RT est l’entité (généralement l’entreprise) qui décide de la constitution d’un fichier de données personnelles, détermine les finalités poursuivies et les moyens des traitements y étant consacrés. Le RT doit s’assurer qu’il recourt à des services, des plateformes et des systèmes conformes aux exigences de la réglementation, et les prestataires qui sont ses sous-traitants lui sont redevables de cette conformité.
Le ST au sens de l’article 28 du RGPD est le prestataire désigné par le RT pour exécuter tout ou partie des traitements sur les données (collecte, manipulation, saisie, transfert, traitement métier, etc.) pour le compte du RT. Il doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.
Les Responsables Conjoints du Traitement (« RTC ») sont les entités qui déterminent conjointement les finalités et les moyens d’un traitement. L’article 26 du RGPD leur fait obligation d’organiser ensemble, de manière « transparente », les obligations que chacune prend respectivement en charge pour assurer la conformité au RGPD du traitement concerné. L’information préalable devant être délivrée aux personnes concernées (art. 13 ou 14 du RGPD) et la détermination d’un point de contact dans le cadre de la procédure d’exercice des droits des personnes sont à cet égard des points d’une importance particulière.
La nécessaire qualification juridique des acteurs d’un traitement de données personnelles
La qualification juridique des acteurs constitue une étape préalable indispensable quant à la phase de contractualisation, afin de ventiler dans un second temps les droits et obligations des parties.
En pratique, il convient de procéder à la qualification des acteurs au regard du RGPD indépendamment de la qualification contractuelle qui pourrait d’ores et déjà exister. Reposant ainsi sur des éléments opérationnels et factuels, il s’agit d’une opération complexe qui nécessite une analyse minutieuse du rôle de chacune des parties dans la détermination des finalités et des moyens des traitements.
Dès 2010, le G29[1] dans son avis 1/2010 du 16 février 2010 a proposé une grille d’analyse afin de qualifier les protagonistes soit de RT soit de ST, laquelle prend en considération :
- Le niveau d’instruction donné par le client au prestataire : quelle est l’autonomie du prestataire dans la réalisation de sa prestation ? ;
- Le degré de contrôle par le client de l’exécution de la prestation : quel est le degré de « surveillance » du client sur la prestation ? ;
- La valeur ajoutée fournie par le prestataire : le prestataire dispose-t-il d’une expertise approfondie dans le domaine ? ;
- Le degré de transparence sur le recours à un prestataire : l’identité du prestataire est-elle connue des personnes concernées qui utilisent les services du client ?
La qualification de RTC est, quant à elle, souvent moins aisée. De façon très synthétique, dès lors qu’un partenaire participe à la détermination des finalités d’un traitement, et/ou qu’il détermine tout ou partie des moyens « structurants » d’un traitement (choix des catégories des données collectées, détermination des délais d’effacement des données, détermination des destinataires des données, etc.), par opposition aux purs moyens « techniques » (choix des infrastructures et logiciels, détermination des dispositifs et procédures de sécurité, etc.), ce dernier sera probablement qualifié de responsable conjoint du traitement de données personnelles.
Prenons l’exemple (simple) que le G29 a mentionné dans son avis précité : trois entités, une agence de voyages, une chaine d’hôtels et une compagnie aérienne, créent ensemble un service centralisé de réservation en ligne. Le service optimise leur pénétration commerciale et encapsule les clients dans un bouquet de prestations fournies par elles trois. Ces trois entités conviennent des modalités de collecte des données, de gestion des réservations, de transfert des clients, et de conservation des données : déterminant ainsi conjointement les finalités et les moyens de ces traitements, elles seront qualifiées de RTC, et le contrat devra refléter précisément les flux de données et ventiler les zones de responsabilité technique et organisationnelle entre ces trois entités.
Pour une autre illustration, cette fois tirée de la jurisprudence européenne, notons que dans une décision du 5 juin 2018 C-210/16, la CJUE a qualifié de conjointe la responsabilité entre l’administrateur d’une page Facebook et Facebook, pour les collectes de données effectuées à partir de cette page. En tant qu’éditeur, Facebook demeure le responsable principal de la collecte de données effectuée via le réseau social. Néanmoins, le paramétrage de la page Facebook est réalisé par son administrateur, qui peut « personnaliser » les statistiques du réseau social selon des critères qu’il détermine. Il prend donc l’initiative de la collecte et détermine les catégories de données collectées.
Toutefois, le travail de qualification n’est souvent pas aussi simple en pratique, en particulier s’agissant des situations suivantes : mandats de gestion, intermédiation en assurance, distribution commerciale, plateformes expertes, partenariats commerciaux, groupes de société, etc.
Pour chaque situation, et en cas de doute, il convient toujours (i) de réaliser une analyse in concreto et traitement par traitement, et (ii) de se placer du point de vue de la personne concernée.
Impacts en termes de gestion contractuelle du RGPD
La qualification juridique des acteurs a un impact sur la gestion contractuelle du RGPD. Si l’entreprise doit actualiser ses contrats types afin d’être en conformité avec les obligations du RGPD, ce contrat comprendra des clauses différentes selon les qualifications juridiques retenues.
Dans le cadre des relations entre RTC, il conviendra de veiller particulièrement à la ventilation des engagements entre chaque acteur, et des responsabilités qui en découlent, notamment en termes d’exploitation applicative, de notification des failles de sécurité entrainant une violation de données personnelles, et de gestion des demandes des personnes concernées.
Rappelons en effet que l’article 82 du RGPD prévoit que les RTC sont tenus solidairement des dommages causés par une violation du RGPD. Cette responsabilité solidaire impose une bonne gestion contractuelle pour appliquer efficacement une action récursoire entre les protagonistes quels qu’ils soient.
On voit donc bien toute l’importance de procéder au travail de qualification précité, puisqu’il découlera nécessairement de cette analyse, devant refléter la réelle participation des intervenants au titre des traitements de données qu’ils mettent en œuvre, des engagements contractuels et des zones de responsabilité pouvant être recherchées en cas de non-conformité à la réglementation.
