Précisions sur la notion de coresponsabilité dans le RGPD

 
edited.jpg
 
 

La notion de responsabilité conjointe ou de coresponsabilité de traitement a été introduite par l’article 26 du RGPD, notion qui s’entend comme la situation où deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement.

Bien que le RGPD ait innové en dédiant un article à cette notion, celle-ci n’est pas tout à fait nouvelle. En effet, la directive 95/46/CE — ancêtre du RGPD, aujourd’hui abrogée — prévoyait déjà, lorsqu’elle définissait le Responsable du traitement, que celui-ci puisse endosser sa responsabilité conjointement avec d’autres responsables du traitement (directive 95/46/CE, article 2).

La coresponsabilité de traitement avait d’ailleurs été évoquée en 2010, par (feu) le G 29, dans ses lignes directrices relatives aux notions de Responsable du traitement et de sous-traitant (16 février 2010, WP 169).

L’on va s’intéresser ici à la façon dont cette notion a été successivement forgée par la doctrine du G 29, mise en application dans la jurisprudence de la Cour de justice de l’Union européenne (CJUE), et enfin, consacrée, et renforcée dans le RGPD.

La coresponsabilité dans la doctrine du G 29

La nécessité d’une détermination commune des finalités et des moyens du traitement

On le sait, les traitements de données personnelles se présentent rarement sous une forme simple. Au contraire, il est fréquent que ceux-ci impliquent une multitude d’acteurs en cascade, dans le cadre de chaînes de traitement complexes, où les mêmes acteurs peuvent, tour à tour, tantôt endosser une responsabilité, tantôt obéir à une instruction, voir exercer ces deux fonctions simultanément.

Le G 29 a été amené à préciser assez tôt ce qu’il fallait entendre par une détermination conjointe des finalités et des moyens d’un traitement de données personnelles.

Le fait que plusieurs Responsables du traitement coopèrent, et échangent des données personnelles dans le cadre d’une telle chaîne de traitement complexe ne préjuge pas du caractère conjoint de leur responsabilité. La coresponsabilité se distingue en effet du cas où plusieurs Responsables du traitement interviennent indépendamment sur les mêmes jeux de données, chacun exerçant un contrôle spécifique. Pour que la responsabilité soit conjointe, il faut, en effet, que les coresponsables déterminent collectivement les finalités et les moyens du traitement.

L’exemple des agences de voyage

Le G 29 donne d’ailleurs plusieurs exemples de situations qui constituent effectivement une coresponsabilité, et d’autres qui n’en sont pas, dans ses lignes directrices susmentionnées (v. pts. 19 et s.). Ainsi, par exemple, lorsqu’une agence de voyages coopère avec une compagnie aérienne et une chaîne d’hôtels, et transfère à ces derniers des données personnelles relatives aux réservations effectuées par ses clients, chacun de ces acteurs constitue un Responsable du traitement unique à une étape déterminée de la chaîne de traitement, sans détermination commune des finalités et des moyens.

En revanche, il en va différemment si ces mêmes acteurs décident de collaborer de manière plus étroite, et de créer une plateforme unique sur Internet, mettant en commun ces mêmes fonctionnalités. Dans ce cas, l’agence de voyages, la compagnie aérienne et la chaîne d’hôtels contrôleront conjointement la façon dont les données à caractère personnel de leurs clients respectifs sont traitées, et elles seront donc coresponsables en ce qui concerne les opérations de traitement se rapportant à la plateforme de réservation commune sur Internet.

L’exemple des administrations étatiques

Un exemple analogue peut être trouvé dans le cadre de la collaboration de plusieurs administrations étatiques. Une administration de sécurité sociale et une administration fiscale qui se transmettent des données relatives à leurs membres aux fins de répondre chacune à leurs finalités propres, ne sont pas coresponsables. Il en va différemment si ces mêmes administrations décident de créer un portail unique sur internet. Dans ce cas, elles auront déterminé en commun les finalités et les moyens d’un traitement de données. Cette coresponsabilité se limitera toutefois aux traitements opérés sur la plateforme. Chaque administration continuera d’être Responsable du traitement unique pour les traitement répondant de ses finalités propres.

La coresponsabilité dans la jurisprudence de la CJUE

La jurisprudence de la CJUE en matière de traitements de données en ligne n’a, quant à elle pas manqué de s’intéresser à la notion de responsabilité conjointe. En effet, le fonctionnement des moteurs de recherche et des réseaux sociaux offre des exemples intéressants de détermination communes, concertées ou non, des finalités d’une chaîne de traitement de données, opérée à plusieurs niveaux.

L’affaire Google Spain et la coresponsabilité dans le cadre des moteurs de recherche

La CJUE adopte généralement une conception fonctionnelle, et extensive, de la notion de responsable du traitement — à l’instar de son interprétation de la notion de sous-traitant, comme elle a pu le faire dans une célèbre affaire du 13 mai 2014, Google Spain et Google (Aff. C‑131/12), dans laquelle elle a d’ailleurs consacré le droit à l’oubli. En effet, l’activité de référencement de pages web est une opération complexe, qui fait intervenir plusieurs acteurs — au moins trois — lesquels se partagent une chaîne de traitement: l’administrateur des pages web référencées, le moteur de recherche, et sa filiale éventuelle. Dans son arrêt la Cour de justice précise, non seulement que l’activité de référencement constitue un traitement de données à part entière, mais encore, que l’entreprise fournisseur du moteur de recherche, et sa filiale en son responsables.

L’exemple des jurisprudences CJUE relatives aux administrateurs de pages sur les réseaux sociaux

Plus tard, la Cour de justice a encore été amenée à préciser les modalités d’un responsabilité conjointe dans le cadre de ses jurisprudences relatives aux administrateurs de pages des réseaux sociaux, dans une affaire du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (aff. C‑210/16). Suivant en cela les conclusions du très regretté Avocat général Yves Bot, la Cour a estimé qu’un simple administrateur de page Facebook — en l’espèce, il s’agissait d’une université allemande — devait être considéré comme conjointement responsable, avec le réseau social, et sa filiale européenne — Facebook Ireland —, des traitements relatifs aux mesures d’audience effectué sur cette page, dès lors que ladite page n’est pas administrée aux fins d’une activité strictement domestique. En effet, pour la Cour de justice, le fait que l’administrateur puisse participer, via le réseau social, au paramétrage des outils de mesure d’audience, via le dépôt de cookies, caractérise une participation à la détermination des finalités et des moyens du traitement — dans le cas d’espèce, il s’agissait pourtant de statistiques anonymisées (voir pt. 38 dudit arrêt).

La Cour de justice a réaffirmé un tel raisonnement dans un arrêt du 29 juillet 2019, Fashion ID GmbH & Co. KG, (aff. n°C‑40/17). Etait ici en cause, non seulement l’administration d’une fan page Facebook, mais encore l’introduction d’un bouton j’aime issu de Facebook sur le site internet d’une entreprise. La Cour de justice a encore vu là le signe d’une codétermination des finalités du traitement.

En insérant un tel bouton sur son site, — lequel permettait aux cookies de Facebook, et donc, in fine au réseau social, d’accéder à des données sur les visiteurs dudit site internet — l”administrateur de la page intervenait comme une sorte de prolongement du réseau social, élargissant de sa propre initiative le champ de collecte de données opéré par ce dernier. Les finalités d’une telle collectes, qui servaient les intérêts économiques, tant du réseau social que de l’administrateur de la page, étaient ainsi codéterminées par ces deux acteurs.

A ce titre, comme la Cour de justice l’avait déjà affirmé dans son arrêt Unabhängiges Landeszentrum de 2019 (voir pt. 69), le fait que l’administrateur de la page Facebook n’avait pas directement accès aux données personnelles en cause, et ne se voyait communiquer que des données statistiques anonymes, ne faisait pas obstacle à sa qualification de coresponsable, dès lors que celui-ci pouvait paramétrer les modalités de collecte des données en cause — il contrôlait ainsi les finalités du traitement.

Les spécificités du RGPD en matière de coresponsabilité

La nécessité de signer un accord de coresponsabilité

Certes, la coresponsabilité s’appuie sur des notions déjà développées par la jurisprudence et la doctrine. Toutefois, force est de constater que ce corpus a été élaboré en application du cadre juridique antérieur au RGPD — celui de la directive 95/46/CE. Or, le RGPD encadre aujourd’hui de façon beaucoup plus approfondie cette notion.

Si la notion de coresponsabilité n’est pas une nouveauté du RGPD, cette notion ayant été déjà précisément encadrée par la doctrine et la jurisprudence de la Cour de justice, en revanche, l’article 26 de ce texte, précédemment évoqué, introduit une nouvelle obligation : celle pour les coresponsables d’un même traitement de conclure un accord écrit définissant leurs obligations respectives aux fins d’assurer le respect des règles en matière de protection des données, en particulier la satisfaction des droits des personnes concernées — obligations d’information, droit d’accès, droit à l’oubli, droit à la portabilité des données, etc.

Cette nouvelle obligation de contractualisation constitue en quelque sorte le pendant de l’obligation de conclure une convention de sous-traitance, énoncée à l’article 27 du même règlement.

Si l’obligation de rédiger des Data Processing Addenda (ou DPAs) avec les sous-traitants constitue une pratique aujourd’hui clairement identifiée, que les entreprises n’ont pas manqué de s’approprier, les contours de l’obligation de rédaction d’une convention de coresponsabilité demeurent toutefois moins clairs. De plus, force est de constater qu’une telle pratique n’a toujours par fait l’objet d’une véritable appropriation, même dans les cas que la jurisprudence a expressément assimilé à des situation de coresponsabilité. Ainsi, Facebook ne semble pas proposer aux administrateurs de ses pages ou de ses groupes l’équivalent d’une telle convention de coresponsabilité dans ses conditions générales d’utilisation, de la même manière que l’entreprise propose un DPA aux utilisateurs du réseau social.

Les autres spécificités du RGPD en matière de coresponsabilité

Outre la nécessité de signer la convention dont il a été précédemment question, l’article 26 du RGPD contraint également les coresponsables du traitement à rendre public les grandes lignes dudit accord (article 26.2 du RGPD).

Les coresponsables ont ainsi l’obligation d’élaborer, en plus de la convention elle-même, un document synthétique résumant de manière intelligible les principaux éléments qui déterminent l’équilibre d’un tel accord. L’on peut toutefois imaginer que les Responsable puissent insérer ces éléments dans leurs documents d’information généraux, dus en application des articles 13 et 14 RGPD.

De même, le RGPD proclame une forme de solidarité des coresponsables quant aux demandes des personnes intéressées. En effet, lesdites personnes intéressées doivent pouvoir se tourner, alternativement, vers l’un ou l’autre des coresponsables, afin de faire valoir leurs droits (article 26.3).

Là encore, de telles obligations semblent assez imparfaitement appliquées.