A Baker Tilly network member
Le Règlement Général sur la Protection de Données (RGDP ou GDPR en anglais) définit les conditions et exigences dans lesquelles les entreprises peuvent traiter des données en caractère personnel, en tant que responsable du traitement ou sous-traitant.
Alors que seul le responsable du traitement faisait l’objet d’obligations légales – et donc de sanctions – sous l’empire de l’ancienne Loi Vie Privée du 8 décembre 1992 (transposant la Directive 45/96/CE), le GDPR impose expressément des obligations tant à l’égard du responsable du traitement que du sous-traitant, chacun étant responsable de la conformité à ses devoirs respectifs. L’évaluation et la détermination exacte du rôle de chaque partie impliquée dans des activités de traitement de données à caractère personnel est dès lors d’une importance capitale, eu égard à la répartition des responsabilités.
A la lumière du nombre croissant des décisions rendues par la chambre contentieuse de l’Autorité de protection de données belge (ADP) et du risque concret de sanction, la responsabilité des entreprises, pour leurs pratique en matière de vie privée, n’est certainement pas à reléguer au second plan. A titre d’exemple, en mai 2020, l’ADP a imposé une amende administrative de 50.000,00 EUR à l’exploitant – et donc au responsable du traitement – d’un site web de réseau social.
Dans l’économie numérique actuelle, où les technologies sont synonymes de profit et où la gestion des données (à caractère personnel) représente un atout essentiel, les entreprises collectent et traitent des informations, mais unissent également leurs forces dans ces tâches pour optimiser les coûts, les profits, le temps, etc. Il est bien établi que le traitement des données à caractère personnel peut – pour ne pas dire que c’est généralement le cas – impliquer l’intervention de plusieurs acteurs. La relation entre le responsable du traitement et le sous-traitant vient naturellement à l’esprit. La pratique révèle toutefois que cette relation est loin d’être la seule interaction existante.
Le sous-traitant traite les données à caractère personnel au nom et sur instruction du responsable du traitement, pour les finalités définies par ce dernier. Cela étant, dans de nombreux cas, les entreprises impliquées dans des activités de traitement de données à caractère personnel travaillent ensemble pour réaliser une finalité commune ou, tout en poursuivant leur propre finalité, elles partagent les moyens de traitement et/ou la même base de données. Dans de tels cas, les entreprises peuvent agir en tant que responsables conjoints du traitement ou en tant que responsables du traitement indépendants, traitant séparément les mêmes données à caractère personnel.
La doctrine et les lignes directrices ont largement mis l’accent sur la relation entre responsable du traitement et sous-traitant. En revanche, les écrits sur l’interaction entre responsables du traitement se font beaucoup plus rares.
Pourtant les formes contemporaines des affaires regorgent de situations dans lesquels les parties qui traitent des données à caractère personnel entretiennent une relation horizontale. Prenons l’exemple des plateformes en ligne de mise en relation de restaurants, livreurs et consommateurs, telles qu’Uber Eats, Deliveroo ou Takeway. Les exploitants de ces plateformes traitent, pour leurs propres finalités et par leurs propres moyens, les données à caractère personnel de leurs membres. Pour ce faire, ces opérateurs n’agissent pas sur instruction des restaurants. Ces derniers, pour le part, traitent les données accessibles sur la plateforme afin de préparer la commande des consommateurs. Ils agissent donc pour leur propre finalité. Dans une telle situation, agissent-ils sur instruction de la plateforme ? Les exploitants des plateformes et les restaurants sont-ils des responsables conjoints du traitement ? Ou sont-ils des responsables du traitement indépendants, traitant séparément les mêmes données ?
Les publications récentes de l’European Data Protection Board (EDPB) permettent réponder à ces questions. Le 2 septembre 2020, l’EDPB a adopté les « Guidelines 07/2020 on the concepts of controller and processor in the GDPR » (« Lignes directrices 07/2020 portant sur les concepts de responsable du traitement et de sous-traitant sous le GDPR »). Les lignes directrices de l’EDPB remplacent l’opinion WP169 du Groupe de travail 29 abordant le même thème. Elles ont pour objectif d’apporter des clarifications supplémentaires, ainsi que des directives plus développées et spécifiques.
L’EDPB consacre plusieurs pages aux relations entre responsables du traitement, définissant et illustrant entre autres le concept de responsable conjoint du traitement et ses conséquences juridiques.
Nous résumons ci-dessous les lignes directrices de l’EDPB sur les relations entre responsables du traitement :
Définition de la responsabilité conjointe. En vertu de l’article 26 du GDPR, « [l]orsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement ». Le responsable du traitement étant l’entité légale qui détermine les finalités et les moyens du traitement, la responsabilité conjointe du traitement renvoie logiquement à la situation dans laquelle cette détermination est conjointement faite par deux ou plusieurs entités légales.
Selon l’EDPB, l’évaluation de la responsabilité conjointe doit être réalisée sur une base factuelle plutôt que faire l’objet d’une analyse formelle. En d’autres termes, il faut considérer le rôle réel joué par chacune des parties dans la détermination des finalités (« pourquoi » le traitement a lieu) et des moyens (« comment » le traitement a lieu) du traitement, par opposition à la nomination ou à la désignation formelle d’un responsable conjoint du traitement. La participation conjointe à la détermination des finalités et des moyens susmentionnée est le critère « général ». Il permet de distinguer
- entre le responsable conjoint du traitement et le sous-traitant. En effet, le sous-traitant traite les données à caractère personnel exclusivement pour le compte et sur instruction du responsable du traitement. Contrairement au responsable conjoint du traitement, le sous-traitant n’a pas son mot à dire dans la détermination des finalités et des moyens du traitement ;
- entre les responsables conjoints du traitement et plusieurs responsables du traitement indépendants, traitant le même ensemble de données ou traitant des données en partageant uniquement l’infrastructure de traitement.
Evaluation de la participation conjointe. La participation conjointe signifie que toutes les entités concernées ont une influence décisive sur la détermination des finalités et des moyens du traitement. Cela peut résulter
- d’une décision commune. Par exemple, deux instituts de recherche décident de mener ensemble un projet de recherche commun. Ensemble, ils décident de lancer une enquête en ligne et définissent les questions à poser aux participants potentiels ; ou
- de décisions convergentes. Les décisions des entités sont convergentes lorsqu’elles « se complètent et sont nécessaires pour que le traitement ait lieu, de telle manière qu’elles aient un impact tangible sur la détermination des finalités et des moyens du traitement ». Le traitement ne peut avoir lieu sans la participation de chaque entité. Elles sont inséparables et inextricablement liées. Par exemple, la société A fait appel aux services de la société B, qui est un bureau de chasseurs de têtes possédant et gérant sa propre plateforme et sa base de données de CV. Pour aider la société A à trouver les profils adéquats pour les postes vacants, la société B traite les données de sa base de données ainsi que les CV directement reçus par la société A. Ces CV sont ajoutés à la base de données de la société B. La décision de la société B de gérer sa base de données et la décision de la société A d’enrichir cette base de données avec les CV qu’elle reçoit directement sont des décisions convergentes. Elles sont en effet toutes deux nécessaires pour trouver les profils adéquats pour la société A. En ce qui concerne ce traitement spécifique, la société A et la société B sont des responsables conjoints du traitement.
La détermination (et donc la participation) conjointe doit également être évaluée par activité de traitement spécifique, et non comme un mécanisme global qui couvre toutes les activités de traitement qu’une entité légale entreprend. En d’autres termes, une entreprise peut être responsable conjoint du traitement dans le cadre de l’opération de traitement 1 et agir en tant responsable du traitement indépendant dans le cadre de l’opération de traitement 2. A cet égard, l’EDPB adopte une approche pragmatique en fournissant des exemples étendus ainsi qu’un organigramme permettant d’appliquer les concepts de responsable du traitement, de sous-traitant et de responsable conjoint du traitement.
L’un des exemples les plus parlants que l’EDPB détaille est la relation entre l’agence de voyage, la compagnie aérienne et l’hôtel, pour la réservation de forfaits de voyage :
- Scenario 1 : la compagnie aérienne et l’hôtel confirment à l’agence de voyage la disponibilité des sièges et des chambres. L’agence de voyage délivre les documents de voyage et les coupons à ses clients. Toutefois, chaque acteur traite les données à caractère personnel des clients pour ses propres activités (donc pour ses propres finalité) et avec ses propres moyens. Ils agissent, dans cette situation spécifique, en tant que responsables du traitement indépendants et non en tant que responsables conjoints du traitement.
- Scenario 2 : l’agence de voyage, la compagnie aérienne et l’hôtel décident conjointement de lancer une plateforme web, avec pour finalité de proposer des offres et de réserver des forfaits de voyage. Les trois acteurs ont une influence décisive sur l’objectif (soit la réalisation d’actions de marketing conjointes) et le moyen (soit via la plateforme web) du traitement. Ils sont, pour cette opération de traitement spécifique, des responsables conjoints du traitement. Ils restent toutefois chacun le seul responsable du traitement pour leurs autres activités de traitement respectives en dehors de la plateforme web.
Par analogie, on peut conclure que (i) les exploitants de plateformes de mise en relation de restaurants, de coursiers et de consommateurs, d’une part, et (ii) les restaurants qui utilisent ces plateformes pour livrer des repas aux consommateurs, d’autre part, agissent en tant que responsables du traitement indépendants dans cette situation spécifique. En effet, aucune des parties ne participe à la détermination des finalités et des moyens de l’activité de traitement respective de chacune des parties. Le simple fait que les restaurants utilisent l’infrastructure (et donc les moyens) de traitement de l’exploitant de la plateforme ne remet pas en cause cette qualification. En outre, le transfert de données des consommateurs entre l’exploitant de la plateforme et les restaurants est un transfert entre responsables du traitement et non un transfert d’un responsable du traitement vers un sous-traitant. Aucune des parties n’agit au nom et sur instruction de l’autre partie, dans la situation spécifique dont question.
Conséquences de la responsabilité conjointe. En principe, les responsables conjoints du traitement doivent, de manière transparente, déterminer et s’accorder sur leurs responsabilités respectives en ce qui concerne le respect des obligations du GDPR (par exemple, à l’égard de l’exercice des droits des personnes concernées et de la fourniture des informations requises).
La répartition des responsabilités n’est pas limitée à la qualité de responsable conjoint du traitement. Toutes les autres obligations imposées aux responsables du traitement doivent être couvertes. En conséquence, chaque responsable conjoint du traitement doit veiller à s’y conformer.
Contrairement aux dispositions régissant la relation (contractuelle) entre le responsable du traitement et le sous-traitant, le GDPR ne précise pas la forme juridique de l’accord entre les responsables conjoints du traitement. L’EDPB recommande qu’un tel accord « soit conclu sous la forme d’un document contraignant tel qu’un contrat ou un autre acte juridique contraignant en vertu du droit de l’UE ou du droit des États membres auquel les responsables du traitement sont soumis ».
L’accord doit dûment refléter les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord doivent être mises à la disposition des personnes concernées. Celles-ci sont en outre habilitées à exercer leurs droits à l’égard et contre chacun des responsables conjoints du traitement, indépendamment de l’accord conclu entre eux.
Enfin, l’ADP, ainsi que toute autorité de contrôle compétente, n’est ni liée par la qualification de responsable conjoint du traitement, ni par les termes de l’accord relatif à la responsabilité conjointe, ni en ce qui concerne le point de contact désigné.
L’évaluation du rôle des parties impliquées dans les activités de traitement est l’une des étapes fondamentales dans la mise en œuvre de politiques et de pratiques conformes en matière de respect de la vie privée. Les conséquences en termes de responsabilités et de sanctions sont loin d’être négligeables. Nous sommes bien entendu à votre disposition pour répondre aux questions que vous pourriez avoir, ainsi que pour vous assister dans cet exercice particulièrement technique.