Responsabilité conjointe : l’un des casse-têtes introduits par le RGPD
Par Bruno RASLE • Expert RGPD - Formateur de DPO • Avril 2019 • Journal du Management Juridique
La notion de coresponsabilité du traitement est l’une des nouveautés introduites par le RGPD et sans doute l’une des questions les plus délicates à traiter par les Délégués à la Protection des Données (DPD - ou DPO, pour Data Protection Officer).
« Seul ou conjointement avec d’autres »
En matière de traitement de données à caractère personnel, le RGPD (Règlement Général relatif à la Protection des Données) prévoit dans son article 4 un nombre limité d’acteurs : le responsable de traitement, le destinataire, le sous-traitant, la personne concernée. Le responsable de traitement y est défini comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
C’est, mot à mot, la définition qui figurait déjà dans la directive 95/46/CE.
En 2004, lors de la transposition de la directive de 1995 dans le droit français, l'Assemblée nationale avait écarté les termes « seul ou conjointement avec d'autres » de la loi Informatique et Libertés, sur proposition de son rapporteur de la commission des Lois, estimant imprécise cette notion de coresponsabilité : « La notion de responsable détermine notamment le droit national applicable ; or, il s'agit d'éviter des conflits de lois en cas de pluralité des responsables, ou la répartition d'office de la présomption de responsabilité entre plusieurs personnes ».
Le RGPD étant d’application directe, la qualité de responsable conjoint s’impose désormais à nous. Elle est définie par l’article 26. du RGPD, dont le 1 dispose que « Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement ». C’est l’une des nouveautés majeures introduites par le RGPD, que les acteurs concernés découvrent peu à peu et qui soulève de nombreuses questions. Quelle est sa portée ? Comment se matérialise-t-elle ? Comment s’organise-t-elle ?
Le G29 (regroupement des autorités de contrôle européennes, précurseur du CEPD - Comité Européen de Protection des Données) abordait dès 2010 cette notion dans son avis 1/2010 (WP 169). Il y était précisé que la participation des parties à la détermination conjointe peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale.
Une répartition transparente des rôles
Le RGPD dispose que les responsables conjoints du traitement doivent définir, de manière transparente, leurs obligations respectives (qui informe les personnes, qui gère les droits des personnes, qui se charge de sécuriser les données, de les purger une fois la durée de conservation atteinte, etc.). Cette « répartition claire des responsabilités » est également exigée dans le considérant 79 du RGPD.
Tout cela doit se retrouver dans un « accord » (contrat, convention, etc.), dont les grandes lignes peuvent être mises à la disposition des personnes concernées. Notons que, pour les responsables de traitement soumis à la loi CADA, il s’agit là d’un document administratif communicable.
Dans cet accord, les responsables conjoints doivent ventiler entre eux les thématiques de la conformité : mesures techniques et organisationnelles, réception et instruction des demandes d’exercice de leurs droits par les personnes concernées, détection, alerte et notification des violations de données personnelles, définitions des bases légales et contenu des mentions d’information, gestion des sous-traitants ultérieurs, purge des données, encadrement des flux transfrontaliers de données, etc.
Au titre de l’article 13 du RGPD, il convient d’indiquer clairement aux personnes concernées qui sont les responsables conjoints du traitement. Même si les parties prenantes ont pris soin dans cet accord d’affecter la gestion des demandes de droits à l’un d’entre eux et bien qu’un point de contact pour les personnes concernées puisse être désigné dans cet accord, celles-ci peuvent tout de même exercer les droits que leur confère le présent règlement « à l’égard de et contre chacun des responsables du traitement ». Il faut donc organiser une procédure de transfert des demandes vers le responsable de traitement pertinent.
Les Délégués à la Protection des Données ont quelques difficultés à déterminer les situations de responsabilité conjointe et à les encadrer lorsqu’un même projet fait intervenir de façon imbriquée plusieurs acteurs souvent qualifiés de « partenaires » (notion qui ne correspond pas à l’une des qualités définies par le RGPD). Comme ces situations sont extrêmement diverses, il semble difficile de formuler une règle générique. Il faut examiner au cas par cas et « découper » le projet global traitement par traitement, afin de définir, pour chacun d’entre eux, qui en détermine les finalités, les choix stratégiques d’architecture et les moyens purement d’exécution.
L’exercice est crucial, car les conséquences sont importantes. Et en cas de crise, de litige, de contrôle de la CNIL, de sanction, voire d’indemnisation de victimes, sur qui tombera la foudre… et qui paiera au final ?
Il faut prévoir une possible sanction récursoire entre acteurs
Ainsi, il a fallu attendre l’arrêt de la Cour de justice Européenne du 5 juin 2018 (Arrêt CJUE c-210/16) pour avoir confirmation que l’entreprise qui administre une page de réseau social (en l'espèce Facebook) est co-responsable du traitement de collecte de données personnelles, au même titre que le réseau social. En sa qualité de responsable conjoint, il revenait à l’entreprise concernée d’informer les personnes que leurs données personnelles allaient être collectées et traitées par le réseau social américain.
Outre les sanctions administratives que peuvent infliger les autorités de contrôle, il faut prévoir les possibles indemnités qui devraient être versées au titre du droit à la réparation : l'article 82 du RGPD (« Droit à réparation et responsabilité ») dispose que les responsables conjoints du traitement sont solidaires. Le 4 de cet article indique que « Lorsque plusieurs responsables du traitement …/… participent au même traitement et, lorsque ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement …/… est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective ». Le 5 du même article apporte un complément : « Lorsqu’un responsable du traitement …/… a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement …/… ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage. ».
C’est donc bien la possibilité d’une action récursoire entre responsables conjoints que prévoit le RGPD.
Dans l’attente de clarifications et de précisions du CEPD – qui travaille actuellement sur le sujet – de nombreuses questions se posent aux DPO. Cette responsabilité solidaire est-elle réellement envisageable entre des acteurs de tailles très différentes ou entre des entités d’un même groupe (quand l’un des acteurs est en position d’imposer sa prééminence) ? Y-a-t-il responsabilité conjointe quand un acteur définit la finalité et qu’un autre acteur définit les moyens ? En cas de violation de données, quand commencent les « 72 heures si possible » pour la notifier à la CNIL ? Lorsque le premier des responsables conjoints en est informé… ou bien le dernier ? Et si l’un d’entre eux met son veto à la notification à la CNIL ou à la communication aux personnes concernées ? Que faire si le responsable qui était censé s’en charger s’y refuse ? Autant de points dont les adhérents de l’AFCDP (Association Française des Correspondants à la protection des Données) débattent très fréquemment pour, ensemble, essayer de déterminer une doctrine opérationnelle.