Partie 3 : Les responsables conjoints de traitement

Cet article est le troisième d’une série sur le projet de Lignes directrices 07/2020 sur les notions de responsable de traitement et de sous-traitant dans le cadre du RGPD, en anglais Guidelines 07/2020 on the concepts of controller and processor in the GDPR, publié par le Comité Européen de la Protection des Données (“CEPD”) le 7 septembre 2020 (le “projet de lignes directrices”).  Il traite de la notion de « Responsables conjoints du traitement » dans le projet de lignes directrices. Retrouvez nos précédents articles sur les mises à jour du projet de lignes directrices sur les concepts de sous-traitant ici et responsable de traitement ici.

Il convient de rappeler que ce projet de lignes directrices est amené à être modifié suite à la consultation publique, mais ne connaîtra selon toute vraisemblance pas de changement majeur.

Quoi de neuf ?

Le projet de lignes directrices tire les conclusions des récentes décisions de la CJUE élargissant et clarifiant les notions de responsable de traitement et responsables conjoints de traitement.

Quels sont les critères de qualification des responsables conjoints de traitement ?

La détermination conjointe des finalités et moyens du traitement avec un autre responsable de traitement

La notion de responsables conjoints n’est pas nouvelle et a déjà fait l’objet de développements dans l’« avis 1/2010 sur les notions de responsable du traitement et sous-traitant » publié en février 2010 par le Groupe de travail « article 29 » (« G29 », prédécesseur du CEPD). La définition du responsable du traitement sous la Directive 95/46/EC sur la Protection des Données a également déjà envisagé des scenarios dans lesquels il y aurait un ou plusieurs responsables déterminant « conjointement » les finalités et moyens du traitement.

Les responsables conjoints de traitement participent aux mêmes activités de traitement et décident conjointement des finalités et moyens du traitement. Cela doit être distingué des responsables de traitement indépendants (certains utilisent le terme « disjoints ») qui traitent des mêmes données, mais qui n’ont pas des finalités ou moyens identiques ou communs.

Le projet de lignes directrices prend donc en compte les conséquences des récentes décisions de la CJUE et notamment trois arrêts : Facebook Fan page (C-201/16), Témoins de Jehova(C-25/17), and Fashion ID (C-40/17).

En ligne avec les décisions de la Cour, les entreprises dont les finalités de traitement des données personnelles sont indissociablement liées ou complémentaires seront qualifiées de responsables conjoints de traitement. Par exemple, dans l’arrêt Fashion ID, un site internet d’e-commerce ayant mis en place un plug-in de réseau social sur son site a bénéficié d’un gain de visibilité sur ce même réseau. De ce même fait, ce dernier a pu collecter des données personnelles via le site internet du vendeur pour son propre bénéfice commercial.

Le CEPD précise que la définition élargie de responsables conjoints de traitement n’inclut pas le cas dans lequel le bénéfice qu’en tire l’une des parties est le paiement d’une somme d’argent en rémunération de ses services ; dans ce cas, l’entreprise bénéficiant du paiement agirait comme simple sous-traitant.

Une autre clarification utile :  des parties ayant mis en commun les moyens du traitement (par exemple en utilisant une plateforme commune, des outils standardisés ou autres infrastructures), ne seront pas nécessairement considérées comme responsables « conjoints » de traitement du seul fait du traitement des mêmes données. En effet, ces parties ne seront pas des responsables conjoints « lorsque le traitement qu’elles effectuent est dissociable et pourrait être effectué par l’une des parties sans intervention des autres ou encore, lorsque le fournisseur est un sous-traitant n’ayant pas de finalité qui lui soit propre ».

En parallèle de ce projet de lignes directrices, le CEPD a également publié pour consultation le projet de lignes directrices 08/2020 sur le ciblage des utilisateurs de réseaux sociaux draft Guidelines 08/2020 on the targeting of social media users. L’objet principal de ces lignes directrices est de clarifier les rôles et responsabilités des prestataires de réseaux sociaux et des acteurs du ciblage en ligne et, « lorsqu’il y a effectivement une responsabilité conjointe, […] de clarifier comment la responsabilité peut être répartie entre [eux] » Le projet de lignes directrices fournit des exemples spécifiques de responsables conjoints du traitement dans le contexte du ciblage en ligne.

La qualification de responsable du traitement est indifférente à l’accès aux données personnelles

Ainsi que cela a été déterminé pour les « responsables de traitement » en général, le CEPD rappelle que les organismes, dès lors qu’ils ont recours à un traitement, ne peuvent pas exclure la qualification de responsables conjoints du traitement, sous prétexte qu’ils n’ont pas accès aux données personnelles traitées.

Décomposition du traitement des données

Dans les affaires visées ci-dessus, la CJUE décompose le traitement en plusieurs étapes séparées afin de faciliter l’évaluation des rôles des différentes parties impliquées dans le traitement. Une partie n’a pas besoin d’exercer un contrôle sur l’ensemble du traitement pour être qualifiée de responsable conjoint du traitement ; elle peut en revanche exercer un contrôle sur une étape particulière du traitement.

De même, les différents responsables conjoints n’ont pas nécessairement le même niveau d’implication, il peuvent au contraire être impliqués à des degrés très différents. Les obligations et responsabilités d’une entreprise en tant que responsable conjoint peuvent être limitées aux étapes spécifiques dans lesquelles elle est effectivement impliquée, ce qui dépendra également du degré d’implication dans les étapes concernées.

Les responsables conjoints de traitement doivent veiller à documenter l’analyse qu’ils font de leur rôle respectif dans une activité de traitement donnée ou un service donné et, justifier la façon dont ils se répartissent les différentes obligations au titre du RGPD (par exemple l’obligation d’information des personnes concernées, la gestion des demandes des personnes concernées exerçant leurs droits, etc. – voir ci-dessous). Cette évaluation facilitera la négociation des « accords » que les responsables conjoints de traitement doivent conclure et la détermination de quelle entreprise sera chargée de répondre aux demandes et questions des personnes concernées ou des autorités de contrôle.

Plus de détails sur les accords entre responsables conjoints de traitement

Le projet de lignes directrices apporte des précisions sur ce que devrait contenir, selon le CEPD, l’accord entre responsables conjoints de traitement prévu à l’article 26 du RGPD. Le CEPD recommande que l’accord entre responsables conjoints soit conclu sous la forme d’un document contraignant tel un contrat et qu’il couvre les points suivants :

  • l’objet,
  • la ou les finalités du traitement,
  • les catégories de données personnelles, et
  • les catégories de personnes concernées.

L’accord doit préciser quelle partie sera responsable de :

  • fournir des informations au titre du principe de transparence conformément aux articles 13 et 14 du RGPD,
  • répondre aux demandes des personnes concernées exerçant leurs droits en vertu du RGPD,
  • veiller au respect des principes du RGPD,
  • documenter une base légale pour le traitement (à cet égard, le projet de lignes directrices sur le ciblage des utilisateurs de réseaux sociaux traite des bases légales pouvant être utilisées dans le contexte des plateformes de réseaux sociaux),
  • prendre les mesures de sécurité techniques et organisationnelles nécessaires,
  • notifier les violations de données personnelles aux autorités de contrôle compétentes et/ou aux personnes concernées,
  • réaliser une analyse d’impact sur la protection des données, lorsque ceci est nécessaire,
  • recruter et superviser les sous-traitants,
  • s’assurer de la légalité des transferts internationaux de données personnelles, et
  • agir comme contact pour les personnes concernées et les autorités de contrôle.

Une fois que les parties se sont mises d’accord sur la répartition des responsabilités et obligations en matière de protection des données, la partie responsable doit faire connaître (1) lequel des responsables conjoints est responsable du respect de chacun des éléments des articles 13 et 14 du RGPD, et (2) le point de contact pour chaque responsable conjoint. Le projet de lignes directrices du CEPD indique que ces informations peuvent être incluses dans la politique de confidentialité/ note d’information ou être mises à la disposition des personnes concernées sur demande.

Comment pouvons-nous vous aider ?

 Nous assistons de nombreuses entreprises dans l’évaluation de leur rôle et qualification dans le traitement de données mais aussi dans la négociation de contrats avec des degrés de complexité très variables dans différents secteurs d’activité.

N’hésitez donc pas à nous contacter si vous avez besoin de conseils pour la rédaction de tels documents ou la négociation de contrats.

Vous pouvez trouver la version anglaise de cet article ici.