La délicate qualification de responsable conjoint du traitement 

Le RGPD distingue trois qualifications juridiques : le responsable du traitement (« RT »), le sous-traitant (« ST ») et les responsables conjoints de traitement (« RTC »). 

Le RT est l’entité (généralement l’entreprise ou l’administration) qui décide des éléments clés d’un traitement de données : il détermine les finalités poursuivies, c’est-à-dire, l’objectif, le « pourquoi » ce traitement doit être réalisé, ainsi que les moyens y étant consacrés, c’est-à-dire le « comment » le traitement est réalisé. 

Le ST au sens de l’article 28 du RGPD est le tiers (souvent un prestataire) désigné par le RT pour exécuter tout ou partie du traitement qu’il a défini (collecte, analyse, stockage, transmission, archivage, etc.) pour le compte du RT. Le RT doit s’assurer notamment qu’il recourt à des services, des plateformes et des systèmes conformes aux exigences de la réglementation, et les prestataires qui sont ses sous-traitants s’obligent envers lui (par contrat) à respecter les principes de protection des données. 

Les Responsables Conjoints du Traitement (« RTC ») sont les entités qui déterminent conjointement les finalités et les moyens d’un traitement. Autrement dit, plusieurs entités ont ensemble le rôle de RT sur un même traitement. L’article 26 du RGPD leur fait obligation d’organiser ensemble, de manière « transparente », les obligations que chacune prend respectivement en charge pour assurer la conformité au RGPD du traitement concerné. Par exemple, l’information préalable devant être délivrée aux personnes concernées (art. 13 ou 14 du RGPD) et la détermination d’un point de contact dans le cadre de la procédure d’exercice des droits des personnes sont à cet égard des points particulièrement importants. 

La qualification juridique des acteurs constitue une étape préalable indispensable quant à la phase de contractualisation, afin d’attribuer, dans un second temps, les droits et obligations des parties. 

En pratique, il convient de procéder à la qualification des acteurs au regard du RGPD indépendamment de la qualification contractuelle qui pourrait d’ores et déjà exister (client, donneur d’ordre, prestataire, sous-traitant, etc.). La qualification des parties repose sur des éléments opérationnels et factuels : il s’agit d’une opération approfondie qui nécessite une analyse minutieuse du rôle de chacune des parties dans la détermination des finalités et des moyens des traitements. 

En 2020, l’EDPB a publié une version mise à jour de ses guidelines sur les concepts de responsable de traitement et sous-traitant et y propose une grille d’analyse afin de qualifier les parties soit de RT (ou de RTC), soit de ST, laquelle prend notamment en considération : 

• Le niveau d’instruction donné par le client au prestataire : quelle est l’autonomie du prestataire dans la réalisation de sa prestation ? ; 

• Le degré de contrôle par le client de l’exécution de la prestation : quel est le degré de « surveillance » du client sur la prestation ? ; 

• La valeur ajoutée fournie par le prestataire : le prestataire dispose-t-il d’une expertise approfondie dans le domaine ? ; 

• Le degré de transparence sur le recours à un prestataire : l’identité du prestataire est-elle connue des personnes concernées qui utilisent les services du client ? 

La qualification de RTC est quant à elle souvent moins aisée. De façon très synthétique, dès lors qu’un partenaire participe à la détermination des finalités d’un traitement, et/ou qu’il détermine tout ou partie des moyens « structurants » d’un traitement (choix des catégories des données collectées, détermination des délais d’effacement des données, détermination des destinataires des données, etc.), par opposition aux purs moyens « techniques » (choix des infrastructures et logiciels, détermination des dispositifs et procédures de sécurité, etc.), ce dernier sera probablement qualifié de responsable conjoint du traitement de données personnelles. 

Par exemple : trois entités, une agence de voyages, une chaîne d’hôtels et une compagnie aérienne, créent ensemble un service centralisé de réservation en ligne. Le service optimise leur pénétration commerciale et encapsule les clients dans un bouquet de prestations fournies par elles trois. Ces trois entités conviennent des modalités de collecte des données, de gestion des réservations, de transfert des clients et de conservation des données : déterminant ainsi conjointement les finalités et les moyens de ces traitements, elles seront qualifiées de RTC, et le contrat devra refléter précisément les flux de données et décrire les zones de responsabilités technique et organisationnelle entre ces trois entités. 

Pour une autre illustration, cette fois tirée de la jurisprudence européenne, notons que dans une décision du 5 juin 2018 C-210/16, la CJUE a qualifié de conjointe la responsabilité entre l’administrateur d’une page Facebook et Facebook, pour les collectes de données effectuées à partir de cette page. En tant qu’éditeur, Facebook demeure le responsable principal de la collecte de données effectuée via le réseau social. Néanmoins, le paramétrage de la page Facebook est réalisé par son administrateur, qui peut « personnaliser » les statistiques du réseau social selon des critères qu’il détermine. Il prend donc l’initiative de la collecte et détermine les catégories de données collectées. 

Toutefois, le travail de qualification n’est souvent pas aussi simple en pratique, en particulier s’agissant des situations suivantes : mandats de gestion, intermédiation en assurance, distribution commerciale, plateformes expertes, partenariats commerciaux, groupes de société, etc. 

Pour chaque situation, et en cas de doute, il convient toujours (i) de réaliser une analyse in concreto et traitement par traitement, et (ii) de se placer du point de vue de la personne concernée.

La qualification juridique des acteurs a un impact sur la gestion contractuelle du RGPD. Si l’entreprise doit actualiser ses contrats types afin d’être en conformité avec les obligations du RGPD, ce contrat comprendra des clauses différentes selon les qualifications juridiques retenues, soit au moins 3 clauses : 

• Une clause dans laquelle le RT fait appel à un ST ; 

• Une clause dans laquelle les deux parties sont RTC ; 

• Une clause dans laquelle les deux parties sont RT distincts, c’est-à-dire que les deux parties traitent des données pour leur propre compte, sans que l’un traite les données pour le compte de l’autre. 

Dans le cadre des relations entre RTC, il conviendra de veiller particulièrement à la définition des obligations entre chaque acteur et des responsabilités qui en découlent, notamment en termes d’exploitation applicative, de notification des failles de sécurité entraînant une violation de données personnelles, d’information des personnes concernées (voire de recueil du consentement) et de gestion des demandes d’exercice de droits des personnes concernées. 

Rappelons, en effet, que l’article 82 du RGPD prévoit que les RTC sont tenus solidairement des dommages causés par une violation du RGPD. Cette responsabilité solidaire impose une bonne gestion contractuelle pour appliquer efficacement une action récursoire entre les protagonistes quels qu’ils soient. 

On voit donc bien toute l’importance de procéder au travail de qualification précité, puisqu’il découlera nécessairement de cette analyse — devant refléter la réelle participation des intervenants au titre des traitements de données qu’ils mettent en œuvre — des engagements contractuels et des zones de responsabilité pouvant être recherchées en cas de non-conformité à la réglementation.