Ravis de vous revoir ! Votre démarche a été enregistrée 🚀 Reprendre ma démarche
Accès client
illustration recherche
Comment pouvons-nous vous aider aujourd’hui ?

Recherchez parmi nos prestations, articles, guides...

  1. Ressources
  2. Gestion
  3. Politique de confidentialité - RGPD
  4. Le principe de coresponsabilité en RGPD

Le principe de coresponsabilité en RGPD

  • 5 min
Télécharger l'article
Me Yoram Kouhana
Écrit par Me Yoram Kouhana. Avocat au Barreau de Paris, spécialisé en droit de la propriété intellectuelle
Relu par Clémence Bonnet.

Le règlement européen sur la protection des données (RGPD) est le fondement juridique de la protection des données personnelles. Il édicte dans ce sens un certain nombre d’obligations aux acteurs du traitement des données. 

En tant qu’entrepreneur, si vous traitez des données personnelles, ou que vous sous-traitez leur traitement, la notion de coresponsabilité, ou responsabilité conjointe, est centrale car certaines obligations en découlent. Me Yoram Kouhana décrypte pour vous le sujet de la coresponsabilité en RGPD.

 

 

Responsable de traitement, données personnelles, sous-traitant : rappels et définitions

 

La CNIL (Commission Nationale de l’Informatique et des Libertés) définit le responsable de traitement de données à caractère personnel comme étant “la personne, l'autorité publique, la société ou l'organisme qui détermine les finalités et les moyens de ce fichier, qui décide de sa création”.

En général, il s’agit de la personne morale, comme par exemple une entreprise, représentée par son représentant légal, le dirigeant.

Pour rappel, les données à caractère personnel sont toutes les informations permettant d’identifier une personne physique, directement ou indirectement. 

Le sous-traitant, quant à lui, est défini par la CNIL comme étant la personne qui traite des données pour le compte du responsable de traitement. 

 

À noter :
En cas de litige, pour déterminer qui est responsable de traitement et qui est sous-traitant, il convient de se référer aux faits, par la méthode qu’on appelle “faisceau d’indices”. Le faisceau d’indices est un ensemble d’indices qui, par leur convergence, permettent de prouver un fait juridique. Dans le cas du responsable de traitement et du sous-traitant, les critères étudiés seront les instructions données par le responsable de traitement, l’expertise, le pouvoir de décision etc.

 

Néanmoins, la frontière entre le responsable du traitement et le sous-traitant n’est pas toujours aussi simple.

 

Le principe de responsabilité conjointe


Avant même l’introduction du RGPD, la notion de responsabilité conjointe existait. Elle était prévue par la directive 95/46/CE, ancêtre du RGPD, qui est aujourd’hui abrogée. 

Elle avait d’ailleurs fait l’objet de réflexions par le G29, ou Groupe de travail Article 29 sur la protection des données, ancien organe de l’Union européenne dont les missions étaient consultatives et portaient sur la protection des données et la vie privée.

 

Définition

 

Le G29 avait défini la responsabilité conjointe comme étant une détermination conjointe des finalités et des moyens d’un traitement de données personnelles.

L’article 26 du RGPD, dans la même veine, définit la responsabilité conjointe du traitement comme étant la situation dans laquelle deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement. 

Les responsables de traitement conjoints sont également appelés co-responsables de traitement. 

 

Obligations

 

L’article 26 énonce également certaines obligations incombant aux co-responsables du traitement. Ils doivent définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences RGPD, en établissant un accord écrit entre eux. Les grandes lignes de cet accord doivent être accessibles aux personnes concernées.

 

Impacts

 

Des définitions et obligations édictées par l’article 26 du RGPD découlent plusieurs conséquences.

Il existe un risque de requalification. En effet, l’article 28 du RGPD précise que si en violation des règles du RGPD, un sous-traitant détermine les finalités et moyens du traitement, il sera considéré comme un responsable du traitement pour ce qui concerne ce traitement en particulier. Il sera donc responsable conjointement avec le responsable du traitement. 

Pour comprendre le risque de requalification, il faut comprendre le régime des obligations du sous-traitant : 

  • Le sous-traitant ne peut recruter un autre sous-traitant sans l’autorisation préalable écrite du responsable du traitement ; 
  • Le sous-traitant ne peut traiter les données personnelles que sur instruction du responsable du traitement sauf s’il a une obligation juridique de traiter les données. Dans ce cas, il doit informer le responsable du traitement ; 
  • Le sous-traitant doit veiller à ce que les personnes autorisées à traiter les données personnelles s’engagent à respecter la confidentialité ;
  • Le sous-traitant doit prendre toutes les mesures de sécurité nécessaires pour la confidentialité des données ; 
  • Le sous-traitant doit aider le responsable du traitement à s’acquitter de son obligation de donner suite aux demandes des personnes concernées par le traitement des données ; 
  • A la fin de sa prestation, le sous-traitant doit supprimer toutes les données à caractère personnel ou les renvoyer au responsable du traitement.

 

Si la violation de ces obligations mènent à une situation où le sous-traitant détermine conjointement les finalités et les moyens du traitement des données, alors il s’agira d’une situation de responsabilité conjointe, dans laquelle il faudra respecter les obligations imposées par l’article 26.

Les personnes agissant en co-responsable du traitement devront établir un contrat dans lequel ils définissent leurs obligations dans le but de respecter les règles du RGPD ;

En plus du contrat, les co-responsables devront élaborer un document synthétique dans lequel les principaux éléments de l’accord sont indiqués. Ce document devra être accessible aux personnes concernées par le traitement de leurs données. 

 

Quelques exemples de co-responsabilité


Dans ses lignes directrices, le G29 avaient donné des exemples de co-responsabilité. Le G29 considérait par exemple que lorsqu’une agence de voyages transfère des données personnelles des clients à des hôtels ou des compagnies aériennes, il s’agit de responsables de traitement distincts, alors que lorsque ces acteurs coopèrent plus étroitement par la création d’une plateforme commune, il s’agit d’une responsabilité conjointe. 

La jurisprudence de la Cour de justice de l’Union européenne (CJUE) a également eu l’occasion de se prononcer sur la notion de responsabilité conjointe du traitement : 

 

  • La CJUE s’est prononcée à plusieurs reprises sur la qualification de responsabilité conjointe dans le cas des administrateurs de pages sur les réseaux sociaux. Par exemple, en 2018, la CJUE a considéré qu’un administrateur de page Facebook pouvant paramétrer des outils de mesure d’audience sur la page en déposant des cookies devait être considéré comme conjointement responsable des traitements issus de ces mesures d’audience effectuées sur la page. En effet, cela s’apparente à une participation dans la détermination des finalités et moyens du traitement ; 

 

  • En 2019, la CJUE a considéré qu’un éditeur de site web ayant incorporé un module de réseau social permettant la communication des données personnelles de ses visiteurs à ce réseau est responsable conjoint de ce traitement. En effet, l’éditeur du site internet avant incorporé sur son site un bouton “j’aime” issu du réseau social Facebook. 

 

L’importance de se faire accompagner par un avocat

 

En tant qu’entrepreneur, vous êtes très probablement confronté à la problématique du traitement des données personnelles. Vous êtes donc soumis à l’obligation de protection de ces données, sur le fondement du RGPD. La question de la co-responsabilité du traitement s’est donc peut être déjà posée, ou se posera dans le futur, notamment si vous agissez en coopération avec d’autres acteurs, comme par exemple des sous-traitants ou des partenaires. Dans une situation de responsabilité conjointe de traitement, il est fortement conseillé de se faire accompagner par un avocat spécialisé, qui saura vous conseiller et vous aider à rédiger les documents obligatoires. 

 

icon En résumé En résumé
  • Les co-responsables du traitement sont ceux qui définissent conjointement la finalité et les moyens du traitement des données.
  • Les co-responsables du traitement doivent établir un contrat déterminant les obligations incombant à chacun dans le but de respecter les obligations en matière de protection des données personnelles imposées par le RGPD.
  • Les co-responsables du traitement devront également produire un document synthétique à destination des personnes concernées par le traitement des données présentant les grandes lignes de leur accord.
  • Le sous-traitant qui viole les obligations du RGPD et se comporte de telle sorte qu’il décide conjointement au responsable du traitement des finalités et des moyens du traitement des données pourra être requalifié en tant que co-responsable du traitement.

 
Me Yoram Kouhana
Écrit par Me Yoram Kouhana

Avocat au Barreau de Paris, spécialisé en droit de la propriété intellectuelle et des nouvelles technologies, Me Yoram Kouhana assiste ses clients dans la création, protection, valorisation et défense de leurs actifs immatériels (data, marques, brevets, logiciels, sites Internet etc.). Il compte sur une forte pratique internationale : il sécurise l'ouverture de nouveaux pays : recherches d'antériorité, dépôts, rachats d'actifs, rédaction et négociation de contrats etc. Il a également une appétence pour les contentieux internationaux ou stratégiques.

Relu par Clémence Bonnet. Diplômée de l'École des Avocats

Une question ? Laissez votre commentaire

Vos coordonnées sont obligatoires afin que l’on puisse vous répondre
Besoin de sécuriser vos relations commerciales ?
J'échange avec un avocat

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Sous traitants et RGPD : comment être conforme ?
Sous traitants et RGPD : comment être conforme ?
Le RGPD ne fait pas uniquement peser des obligations sur les responsables de traitement des données : il met aussi en place des obligations particulières pour les sous-traitants.
- 5 min
Infographie : les étapes pour être conforme avec le RGPD
Infographie : les étapes pour être conforme avec le RGPD
Le RGPD entrera en vigueur le 25 mai 2018. Le temps de faire le point sur les objectifs du règlement et les étapes pour y être conforme avec notre infographie
- 3 min
Conformité avec le RGPD : 4 actions à mettre en place !
Conformité avec le RGPD : 4 actions à mettre en place !
On vous liste les 4 actions que vous devriez mettre en place pour être en conformité avec le RGPD et éviter d'éventuelles sanctions de la CNIL !
- 3 min
L'éditeur de logiciel Saas face au RGPD, par Me Znaty
L'éditeur de logiciel Saas face au RGPD, par Me Znaty
Quel est l'impact du RGPD sur l'éditeur Saas ? Quel est le statut de l'éditeur Saas face au RGPD : responsable de traitement ou sous-traitant ? Me Znaty répond à toutes ces questions.
- 6 min
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
L'entrée en vigueur d'un nouveau texte sur la protection des données personnelles n'est pas sans conséquences pour les entreprises. Comment bien être en règle ?
- 3 min
Règlement européen sur la protection des données : êtes-vous à jour ?
Règlement européen sur la protection des données : êtes-vous à jour ?
Un nouveau texte sur la protection des données personnelles entre prochainement en vigueur. Découvrez ce qu'il comportera pour rester à jour.
- 3 min
RGPD et durée de conservation des données
RGPD et durée de conservation des données
Le RGPD impose au responsable de traitement de déterminer la durée de conservation des données personnelles, justifiée au regard de l'activité. Mais comment déterminer cette durée ? Me Znaty décrypte le sujet
- 5 min
RGPD : qui est concerné ?
RGPD : qui est concerné ?
Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.
- 3 min
Startup et RGPD : les 5 questions les plus posées
Startup et RGPD : les 5 questions les plus posées
Dirigeant de startup, votre entreprise est sans doute concernée par le RGPD. Comment vous mettre en conformité ? Quelles sont les questions à vous poser ? Me David Smadja avocat spécialisé fait le point et vous livre ses conseils.
- 8 min
Délégué à la protection des données (DPO) : quel est son rôle ? (2024)
Délégué à la protection des données (DPO) : quel est son rôle ? (2024)
Le 25 mai 2018 est entré en vigueur le RGPD (Règlement Général de Protection des Données). Un nouvel acteur a émergé avec ce Règlement : le DPO (Délégué à la Protection des Données). Chargé d'accompagner et contrôler la mise en conformité de l'entité qui le nomme, sa présence est parfois obligatoire.
- 5 min