1. Gestion
  2. Politique de confidentialité - RGPD
  3. Le principe de coresponsabilité en RGPD

Le principe de coresponsabilité en RGPD

Consulter Me Kouhana
Consulter Me Kouhana
Me Yoram Kouhana
Écrit par Me Yoram Kouhana
Me Yoram Kouhana assiste ses clients dans la création, protection, valorisation et défense de leurs actifs immatériels (data, marques, brevets, logiciels, sites Internet etc.).
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

Le règlement européen sur la protection des données (RGPD) est le fondement juridique de la protection des données personnelles. Il édicte dans ce sens un certain nombre d’obligations aux acteurs du traitement des données. 

En tant qu’entrepreneur, si vous traitez des données personnelles, ou que vous sous-traitez leur traitement, la notion de coresponsabilité, ou responsabilité conjointe, est centrale car certaines obligations en découlent. Me Yoram Kouhana décrypte pour vous le sujet de la coresponsabilité en RGPD.

 
✍️ En résumé
  • Les co-responsables du traitement sont ceux qui définissent conjointement la finalité et les moyens du traitement des données ; 
  • Les co-responsables du traitement doivent établir un contrat déterminant les obligations incombant à chacun dans le but de respecter les obligations en matière de protection des données personnelles imposées par le RGPD ; 
  • Les co-responsables du traitement devront également produire un document synthétique à destination des personnes concernées par le traitement des données présentant les grandes lignes de leur accord ;
  • Le sous-traitant qui viole les obligations du RGPD et se comporte de telle sorte qu’il décide conjointement au responsable du traitement des finalités et des moyens du traitement des données pourra être requalifié en tant que co-responsable du traitement.

 

1. Responsable de traitement, données personnelles, sous-traitant : rappels et définitions

 

La CNIL (Commission Nationale de l’Informatique et des Libertés) définit le responsable de traitement de données à caractère personnel comme étant “la personne, l'autorité publique, la société ou l'organisme qui détermine les finalités et les moyens de ce fichier, qui décide de sa création”.

En général, il s’agit de la personne morale, comme par exemple une entreprise, représentée par son représentant légal, le dirigeant.

Pour rappel, les données à caractère personnel sont toutes les informations permettant d’identifier une personne physique, directement ou indirectement. 

Le sous-traitant, quant à lui, est défini par la CNIL comme étant la personne qui traite des données pour le compte du responsable de traitement. 

 

✏️ A noter
En cas de litige, pour déterminer qui est responsable de traitement et qui est sous-traitant, il convient de se référer aux faits, par la méthode qu’on appelle “faisceau d’indices”. Le faisceau d’indices est un ensemble d’indices qui, par leur convergence, permettent de prouver un fait juridique. Dans le cas du responsable de traitement et du sous-traitant, les critères étudiés seront les instructions données par le responsable de traitement, l’expertise, le pouvoir de décision etc.

 

Néanmoins, la frontière entre le responsable du traitement et le sous-traitant n’est pas toujours aussi simple.

 

2. Le principe de responsabilité conjointe


Avant même l’introduction du RGPD, la notion de responsabilité conjointe existait. Elle était prévue par la directive 95/46/CE, ancêtre du RGPD, qui est aujourd’hui abrogée. 

Elle avait d’ailleurs fait l’objet de réflexions par le G29, ou Groupe de travail Article 29 sur la protection des données, ancien organe de l’Union européenne dont les missions étaient consultatives et portaient sur la protection des données et la vie privée.

 

Définition

 

Le G29 avait défini la responsabilité conjointe comme étant une détermination conjointe des finalités et des moyens d’un traitement de données personnelles.

L’article 26 du RGPD, dans la même veine, définit la responsabilité conjointe du traitement comme étant la situation dans laquelle deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement. 

Les responsables de traitement conjoints sont également appelés co-responsables de traitement. 

 

Obligations

 

L’article 26 énonce également certaines obligations incombant aux co-responsables du traitement. Ils doivent définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences RGPD, en établissant un accord écrit entre eux. Les grandes lignes de cet accord doivent être accessibles aux personnes concernées.

 

Impacts

 

Des définitions et obligations édictées par l’article 26 du RGPD découlent plusieurs conséquences.

Il existe un risque de requalification. En effet, l’article 28 du RGPD précise que si en violation des règles du RGPD, un sous-traitant détermine les finalités et moyens du traitement, il sera considéré comme un responsable du traitement pour ce qui concerne ce traitement en particulier. Il sera donc responsable conjointement avec le responsable du traitement. 

Pour comprendre le risque de requalification, il faut comprendre le régime des obligations du sous-traitant : 

  • Le sous-traitant ne peut recruter un autre sous-traitant sans l’autorisation préalable écrite du responsable du traitement ; 
  • Le sous-traitant ne peut traiter les données personnelles que sur instruction du responsable du traitement sauf s’il a une obligation juridique de traiter les données. Dans ce cas, il doit informer le responsable du traitement ; 
  • Le sous-traitant doit veiller à ce que les personnes autorisées à traiter les données personnelles s’engagent à respecter la confidentialité ;
  • Le sous-traitant doit prendre toutes les mesures de sécurité nécessaires pour la confidentialité des données ; 
  • Le sous-traitant doit aider le responsable du traitement à s’acquitter de son obligation de donner suite aux demandes des personnes concernées par le traitement des données ; 
  • A la fin de sa prestation, le sous-traitant doit supprimer toutes les données à caractère personnel ou les renvoyer au responsable du traitement.

 

Si la violation de ces obligations mènent à une situation où le sous-traitant détermine conjointement les finalités et les moyens du traitement des données, alors il s’agira d’une situation de responsabilité conjointe, dans laquelle il faudra respecter les obligations imposées par l’article 26.

Les personnes agissant en co-responsable du traitement devront établir un contrat dans lequel ils définissent leurs obligations dans le but de respecter les règles du RGPD ;

En plus du contrat, les co-responsables devront élaborer un document synthétique dans lequel les principaux éléments de l’accord sont indiqués. Ce document devra être accessible aux personnes concernées par le traitement de leurs données. 

 

3. Quelques exemples de co-responsabilité


Dans ses lignes directrices, le G29 avaient donné des exemples de co-responsabilité. Le G29 considérait par exemple que lorsqu’une agence de voyages transfère des données personnelles des clients à des hôtels ou des compagnies aériennes, il s’agit de responsables de traitement distincts, alors que lorsque ces acteurs coopèrent plus étroitement par la création d’une plateforme commune, il s’agit d’une responsabilité conjointe. 

La jurisprudence de la Cour de justice de l’Union européenne (CJUE) a également eu l’occasion de se prononcer sur la notion de responsabilité conjointe du traitement : 

 

  • La CJUE s’est prononcée à plusieurs reprises sur la qualification de responsabilité conjointe dans le cas des administrateurs de pages sur les réseaux sociaux. Par exemple, en 2018, la CJUE a considéré qu’un administrateur de page Facebook pouvant paramétrer des outils de mesure d’audience sur la page en déposant des cookies devait être considéré comme conjointement responsable des traitements issus de ces mesures d’audience effectuées sur la page. En effet, cela s’apparente à une participation dans la détermination des finalités et moyens du traitement ; 

 

  • En 2019, la CJUE a considéré qu’un éditeur de site web ayant incorporé un module de réseau social permettant la communication des données personnelles de ses visiteurs à ce réseau est responsable conjoint de ce traitement. En effet, l’éditeur du site internet avant incorporé sur son site un bouton “j’aime” issu du réseau social Facebook. 

 

4. L’importance de se faire accompagner par un avocat

 

En tant qu’entrepreneur, vous êtes très probablement confronté à la problématique du traitement des données personnelles. Vous êtes donc soumis à l’obligation de protection de ces données, sur le fondement du RGPD. La question de la co-responsabilité du traitement s’est donc peut être déjà posée, ou se posera dans le futur, notamment si vous agissez en coopération avec d’autres acteurs, comme par exemple des sous-traitants ou des partenaires. Dans une situation de responsabilité conjointe de traitement, il est fortement conseillé de se faire accompagner par un avocat spécialisé, qui saura vous conseiller et vous aider à rédiger les documents obligatoires. 

 

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
Clause de hardship : définition et principes

La clause de hardship a vocation à permettre aux parties de renégocier les termes de leur contrat lorsqu’une modification majeure de l’environnement contractuel intervient. 

5 min
Le metaverse et la propriété intellectuelle

Le metaverse est un internet du futur, un environnement virtuel où il est possible d’interagir avec d’autres utilisateurs utilisant des avatars. Les enjeux juridiques sont nombreux, notamment en propriété intellectuelle.

5 min
Metaverse : définition et fonctionnement

La métaverse vise à amener l’utilisateur vers une expérience de l’internet plus immersive en proposant un monde virtuel associé où les utilisateurs pourraient interagir entre eux grâce à leurs avatars. Quels sont les enjeux ?

5 min
Brevet logiciel : comment protéger son code source

Le brevet logiciel est important pour protéger vos droits. Toutefois, le code-source n’est en principe pas brevetable car il ne contient pas en lui-même de résultat technique mais correspond à une suite de lettres et de symboles. Me Kouhana vous guide pour protéger vos droits

5 min
Cession de site internet : ce qu'il faut savoir

La cession de site internet a vocation à permettre à son titulaire de céder le site internet ou de le vendre à une tierce personne. Il convient de lister les éléments qui composent le site, afin d’être en mesure d’évaluer sa valeur

5 min
La nouvelle législation CBD en France en 2022

Aujourd’hui en France, la vente de produits à base de CBD et de fleurs de chanvre, contenant un pourcentage quasi nul de THC, est autorisée en France. Mais un arrêté du 30 décembre 2021 est venu modifier l’état de la réglementation.

5 min
E-réputation de l'entreprise : comment défendre votre réputation sur internet ?

L’ e-réputation touche les personnes physiques mais aussi les entreprises. Il est important de surveiller son image. En cas d'abus, des recours existent : action en diffamation, dénigrement, droit de réponse...

5 min
Le scraping de données sur Linkedin est-il légal ?

Le scraping ou le “web scraping” consiste à extraire le contenu de sites web ou de plateforme en ligne, par le biais de logiciels ou de script, afin de collecter automatiquement les données présentes sur le site. Est-ce légal sur LinkedIN ? Quelles sont les règles ?

3 min
La marque de garantie : le guide

La marque de garantie a pour objectif de mettre en évidence l’origine de produits ou services pour lesquels certaines caractéristiques sont garanties (mode de fabrication...)

5 min
La cession d'actifs par une entreprise

La cession d’actifs est une opération comptable qui permet à l’entreprise de recevoir en retour de l’actif cédé, des liquidités exploitables immédiatement pour le développement de son activité, ou pour renflouer sa trésorerie. 

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier