Ouvertes à consultation publique de septembre à octobre 2020, les nouvelles lignes directrices de l’EDPB (Comité européen de la protection des données) relatives à la responsabilité de traitement et à la sous-traitance (1) ont pour objectif d’éclairer l’interprétation de ces deux notions introduites par le RGPD à l’aune de la jurisprudence de la CJUE (Cour de justice de l’Union européenne).
L’article 4 du RGPD (2) définit le responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». La responsabilité de traitement peut également être partagée entre plusieurs acteurs, comme nous le verrons ci-dessous. Le sous-traitant est quant à lui « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
La notion de responsable du traitement est cruciale car c’est à ce dernier que revient la responsabilité de la conformité au RGPD. Or, les traitements de données sont de plus en plus complexes et font intervenir de nombreux acteurs ayant chacun leurs finalités propres.
Par exemple, l’intégration de publicités ciblées sur une page web occasionne un traitement de données à caractère personnel auquel participent plusieurs dizaines d’annonceurs mettant en œuvre à leur tour leurs traitements propres (ciblage publicitaire). De même, le seul fait d’ajouter un bouton de partage sur les réseaux sociaux à une page web peut entraîner le traitement des données des visiteurs à des fins statistiques, mais également à des fins publicitaires (par le réseau social). Ainsi les rôles de responsable de traitement, de responsable de traitement conjoint ou de sous-traitant sont parfois difficiles à discerner.
Afin de faciliter l’interprétation de ces notions, l’EDPB s’appuie sur trois jurisprudences de la CJUE relatives à la responsabilité de traitement :
- Arrêt témoins de Jéhovah (3) : un organisme peut être coresponsable d’un traitement sans pour autant avoir accès aux DCP (données à caractère personnel). Dans cet arrêt, la CJUE a estimé que la communauté religieuse était coresponsable avec ses membres chargés de l’organisation de porte-à-porte du traitement des données recueillies dans le cadre de cette activité. En effet, la Cour a estimé que l’existence d’instructions écrites précisesrelatives à l’organisation des porte-à-porte ainsi que le rôle de la communauté religieuse dans la détermination des fins et des moyens de l’organisation de l’activité de ses membres dans le but d’atteindre ses objectifs (prosélytisme) suffisent à faire de la communauté religieuse un coresponsable du traitement. Et ce alors que la communauté religieuse n’a pas accès aux DCP collectées religieuse un coresponsable du traitement. Et ce alors que la communauté religieuse n’a pas accès aux DCP collectées.
- Arrêt Fashion ID (4) : deux organismes peuvent être coresponsables d’un traitement même s’ils poursuivent des finalités différentes à condition que ces finalités soient intrinsèquement liées ou complémentaire. Dans son arrêt, la Cour a estimé que l’éditeur d’un site web marchand ayant ajouté un bouton de partage sur Facebook est coresponsable, conjointement à la société Facebook, de la collecte des données réalisée par ce bouton. En effet, les deux organismes ont tous deux participé à la détermination des moyens du traitement (l’éditeur en ajoutant le bouton et Facebook en réalisant le développement de ce bouton de manière autonome) mais chacune des parties poursuit sa propre finalité : Facebook collecte des données afin d’améliorer le ciblage publicitaire et l’éditeur du site a pour but d’améliorer la visibilité de ses produits sur les réseaux sociaux.
- Arrêt Wirtschaftsakademie (5) : il faut avoir une lecture extensive de la notion de participation à la détermination des moyens. Dans cet arrêt, la cour a estimé qu’« il y a lieu de considérer que l’administrateur d’une page hébergée sur Facebook […] participe, par son action de paramétrage […] à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan ».
Ces trois arrêts confirment qu’il faut avoir une lecture extensive de la définition de responsable de traitement.
Tous les coresponsables n’ont heureusement pas tous le même degré de responsabilité, comme le rappelle la Cour dans son arrêt Fashion ID : « L’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce ».
C’est pourquoi il est nécessaire, après avoir analysé le rôle de chaque acteur dans le traitement, d’encadrer contractuellement les responsabilités des différents acteurs au regard de la législation relative à la protection des données personnelles.
(1) Guidelines 07/2020 on the concepts of controller and processor in the GDPR
(2) article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
(3) CJUE 10 juillet 2018, Tietosuojavaltuutettu c. Jehovan todistajat – uskonnollinen yhdyskunta, aff. C-25/17
(4) CJUE 29 juillet 2019, Fashion ID GmbH & Co. KG c. Verbraucherzentrale NRW eV, aff. C-40/17
(5) CJUE 5 juin 2018, Unabhängiges Landeszentrum für DatenschutzSchleswig-Holstein c. Wirtschaftsakademie Schleswig-Holstein GmbH, aff. C-210/16
Source image : Pixabay
