Article 26
Responsables conjoints du traitement

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 26 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 26 keyboard_arrow_up

(79) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d'autres responsables du traitement, ou lorsqu'une opération de traitement est effectuée pour le compte d'un responsable du traitement.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 26.

Le GDPR

L’article 26 du Règlement prévoit un régime juridique spécifique en cas d’identification des responsables du traitement conjoints.

Il précise d’abord -faisant double emploi avec ce qui est déjà prévu dans la définition du responsable du traitement (cfr article 4, 7)- les conditions d’application de cette qualification :  les responsables conjoints du traitement sont ceux qui, à deux ou plus, déterminent conjointement les finalités et les moyens du traitement (voir G29, avis du 16 février 2010 sur les notions de « responsable du traitement » et de « sous-traitant », p. 19 et suivantes)

Ces responsables conjoints doivent conclure un accord afin de définir de manière transparente leur responsabilité et rôle respectifs dans l’exécution des devoirs qui leur incombent en application du Règlement (par exemple, la répartition des tâches en cas d’exercice par les personnes concernées des droits prévus par le Règlement ou encore la communication des informations visées aux articles 13 et 14). Un point de contact unique doit être déterminé pour permettre de faciliter l’exercice des droits de la personne concernée (accès, rectification, etc.).

Le second paragraphe précise que cet accord doit être fidèle à la réalité à propos de leurs rôles respectifs et leurs relations vis-à-vis des personnes concernées. Un devoir de transparence est mis à charge des responsables qui doivent informer les personnes des « grandes lignes » de leur accord, de leur rôle respectif et de la relation avec elles.

Les responsables conjoints sont toutefois dispensés de conclure pareil accord si leurs obligations respectives sont définies par le droit de l'Union ou par le droit de l'État membre auquel les responsables du traitement sont soumis.

Bien entendu, la personne concernée peut exercer ses droits à l‘égard et contre de chacun des responsables, quels que soient les termes de la convention passée entre eux.

La Directive

Les définitions du responsable du traitement permettaient, depuis la Directive, de qualifier de « responsables conjoints » plusieurs personnes qui conjointement déterminaient les finalités et les moyens du traitement de la Directive ; art. 1, § 4 de la loi du 8 décembre 1992 ; art. 3, I de la loi Informatique et Libertés) . Ni la Directive, ni les législations belge et française ne prévoyaient un régime juridique spécifique en cas de pluralité de responsables du traitement.

Difficultés probables ?

Le Règlement n’apportera pas de réponse à l’identification de l’existence de deux ou plusieurs responsables conjoints, ce qui en pratique, reste difficile, notamment au regard des relations avec certains sous-traitants techniques. La frontière entre les deux concepts est, on le sait, parfois fort ténue (cfr l’affaire Swift).

Il reste aussi très imprécis quant au contenu de l’accord entre responsables conjoints. Cette imprécision se marque surtout dans la répartition des responsabilités entre responsables, qui n’indique pas jusqu’où ils pourront aller dans celle-ci.

Ainsi, on peut se demander si un responsable peut aller jusqu’à s’exonérer complètement de sa responsabilité à l’égard de l’autre (étant entendu qu’il ne pourrait le faire à l’égard de la personne concernée). La réponse pourra dépendre des régimes de responsabilité des droits nationaux qui peuvent imposer un partage plus précis. A ce propos, la disposition ne prend en considération que l’hypothèse où les responsables conjoints sont soumis au même droit national, ce qui en pratique ne sera souvent pas le cas.

Groupe 29

Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (ci-après le «RGPD») introduit l’exigence que toute violation de données à caractère personnel (ci-après la «violation») soit notifiée à l’autorité de contrôle nationale compétente (ou en cas de violation transfrontalière, à l’autorité chef de file) et, dans certains cas, communiquée aux personnes dont les données à caractère personnel ont été affectées par ladite violation.

L’obligation de notifier les violations existe déjà à l’heure actuelle pour certaines organisations, telles que les fournisseurs de services de communications électroniques accessibles au public [comme prévu par la directive 2009/136/CE et le règlement (CE) nº 611/2013]. Certains États membres disposent par ailleurs déjà de leur propre obligation de notification des violations. Il peut s’agir de l’obligation de notifier les violations impliquant certaines catégories de responsables du traitement autres que les fournisseurs de services de communications électroniques accessibles au public (par exemple, en Allemagne et en Italie), ou de l’obligation de notifier toutes les violations portant sur des données à caractère personnel (par exemple, aux Pays-Bas). D’autres États membres peuvent disposer de codes de bonne pratique pertinents (par exemple, en Irlande). Cependant, si un certain nombre d’autorités européennes chargées de la protection des données encouragent actuellement les responsables du traitement à notifier les violations, la directive 95/46/CE sur la protection des données, que le RGPD remplace, ne contient pas d’obligation spécifique à cet égard. Une telle exigence sera donc nouvelle pour de nombreuses organisations. Le RGPD rend en effet cette notification obligatoire pour tous les responsables du traitement à moins qu’une violation soit peu susceptible d’engendrer un risque pour les droits et libertés des individus. Les sous-traitants ont également un rôle important à jouer et doivent notifier toute violation au responsable du traitement.

Le groupe de travail «Article 29» (G29) considère que cette nouvelle exigence de notification présente plusieurs avantages. Lors de la notification à l’autorité de contrôle, les responsables du traitement peuvent notamment obtenir des conseils afin de savoir s’il convient d’informer les personnes concernées. En effet, l’autorité de contrôle peut ordonner au responsable du traitement d’informer lesdites personnes de la violation7. D’un autre côté, la communication d’une violation aux personnes concernées permet au responsable du traitement de leur fournir des informations sur les risques résultant de la violation et sur les mesures qu’elles peuvent prendre afin de se protéger des conséquences potentielles. Tout plan de réaction à une violation devrait viser à protéger les individus et leurs données à caractère personnel. Aussi la notification des violations devrait-elle être vue comme un outil permettant de renforcer la conformité en matière de protection des données à caractère personnel. Parallèlement, il convient de noter que la non-communication d’une violation aux personnes concernées ou à l’autorité de contrôle pourrait entraîner une sanction pour le responsable du traitement en vertu de l’article 83.

Les responsables du traitement et les sous-traitants sont ainsi encouragés à prévoir à l’avance et à mettre en place des processus leur permettant de détecter et d’endiguer rapidement toute violation, d’évaluer les risques pour les personnes concernées et de déterminer ensuite s’il est nécessaire d’informer l’autorité de contrôle compétente et de communiquer, si nécessaire, la violation aux personnes concernées. La notification à l’autorité de contrôle devrait faire partie intégrante de ce plan de réaction aux incidents.

Le RGPD contient des dispositions concernant les cas où une violation doit être notifiée, les personnes et entités auxquelles il convient de la notifier ainsi que les informations que devrait comprendre cette notification. Les informations requises pour une telle notification peuvent certes être communiquées de façon échelonnée, mais les responsables du traitement devraient réagir à toute violation dans des délais appropriés.

Dans son avis 03/2014 sur la notification des violations de données à caractère personnel9, le G29 a fourni des orientations aux responsables du traitement afin de les aider à décider s’il convient d’informer les personnes concernées en cas de violation. L’avis portait sur l’obligation imposée aux fournisseurs de communications électroniques au titre de la directive 2002/58/CE, fournissait des exemples tirés de nombreux secteurs, dans le contexte du RGPD, encore à l’état de projet à l’époque, et présentait une série de bonnes pratiques à l’intention de tous les responsables du traitement.

Les présentes lignes directrices expliquent les obligations établies par le RGPD en matière de notification et de communication des violations ainsi que certaines des mesures que les responsables du traitement et les sous-traitants peuvent adopter en vue de respecter ces nouvelles obligations. Elles fournissent également des exemples de différents types de violations et des entités et personnes à informer dans différents cas de figure.

Lien

Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant»

La notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application de la directive 95/46/CE, car elles déterminent la ou les personnes chargées de faire respecter les règles de protection des données, la manière dont les personnes concernées peuvent exercer leurs droits, le droit national applicable, et le degré d'efficacité des autorités chargées de la protection des données.

Les modes d’organisation différenciés dans les secteurs public et privé, le développement des TIC ainsi que la mondialisation du traitement des données rendent plus complexe le traitement des données à caractère personnel et appellent à préciser ces notions, pour garantir la bonne application et le respect de la directive dans la pratique.

La notion de responsable du traitement est autonome, en ce sens que son interprétation relève principalement de la législation européenne sur la protection des données, et fonctionnelle, car elle vise à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle repose par conséquent sur une analyse factuelle plutôt que formelle.

La définition énoncée dans la directive s’articule en trois volets: - l’aspect individuel («la personne physique ou morale, l’autorité publique, le service ou tout autre organisme»); - la possibilité d’une responsabilité pluraliste («qui seul ou conjointement avec d’autres»); et - les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs («détermine les finalités et les moyens du traitement de données à caractère personnel»).

L’analyse de ces volets conduit à plusieurs conclusions, résumées au point IV de l’avis.

Le présent avis analyse également la notion de sous-traitant, dont l’existence dépend d’une décision prise par le responsable du traitement, lequel peut choisir de traiter les données au sein de son organisation ou de déléguer tout ou partie des activités de traitement à une organisation extérieure. Pour agir en qualité de sous-traitant, il convient, d’une part, d’être une personne morale distincte du responsable du traitement et, d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier.

Le groupe de travail reconnaît la difficulté d’appliquer les définitions de la directive dans un environnement complexe, qui permet d’envisager maints scénarios faisant intervenir des responsables du traitement et des sous-traitants, seuls ou conjointement avec d’autres, avec différents degrés d’autonomie et de responsabilité.

Dans son analyse, il souligne la nécessité d’attribuer les responsabilités de sorte à garantir comme il se doit le respect des règles de protection des données dans la pratique. Il estime cependant n'avoir aucune raison de penser que la distinction actuelle entre responsables du traitement et sous-traitants n’est plus pertinente ni réaliste dans cette perspective.

Par conséquent, le groupe de travail espère que les explications figurant dans le présent avis, illustrées par des exemples concrets tirés de l’expérience quotidienne des autorités chargées de la protection des données, donneront des indications utiles pour l’interprétation de ces définitions fondamentales de la directive.

Lien

Règlement
1e 2e

Art. 26

1. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d'accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l'Union ou par le droit de l'État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l'accord.

2. L'accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l'accord sont mises à la disposition de la personne concernée.

3. Indépendamment des termes de l'accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard de et contre chacun des responsables du traitement.

Proposition 1 close

Lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités, conditions et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d’accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée.

Proposition 2 close

1. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement de données à caractère personnel, ils sont les responsables conjoints du traitement. Ils définissent de manière transparente, par voie d'accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment (…) l'exercice des droits de la personne concernée et leurs obligations respectives quant à la communication des informations visées à l'article 14 et à l'article 14 bis, sauf si et dans la mesure où les obligations respectives des responsables du traitement sont définies par le droit de l'Union ou la législation de l'État membre à laquelle les responsables des données sont soumis. L'accord précise lequel des responsables conjoints sert de point de contact unique pour que les personnes concernées puissent exercer leurs droits.
 

2. Indépendamment des termes de l'accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard et contre chacun des (...) responsables du traitement.

3. L'accord reflète dûment les rôles effectifs respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées et ses grandes lignes sont mises à disposition de la personne concernée. Le paragraphe 2 ne s'applique pas lorsqu'il a été indiqué à la personne concernée, de manière transparente et sans ambiguïté, lequel des responsables conjoints a procédé au traitement, sauf si cet accord autre qu'un accord déterminé par le droit de l'Union ou la législation d'un État membre est abusif au regard des droits de la personne concernée (...).

Directive close

Absence de régime spécifique

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 59

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Lorsque les finalités et les moyens du traitement sont déterminés par plusieurs responsables du traitement, leurs obligations respectives s'exercent dans les conditions prévues à l'article 26 du règlement (UE) 2016/679 du 27 avril 2016 et par la présente loi.

Ancienne loi close

Art. 110-3

Du décret pris pour l'application de la loi n°78-17 du 6 janvier 1978.

Le 1 de l'article 26 du règlement (UE) 2016/679 du 27 avril 2016 précité est applicable en ce qu'il concerne l'exercice des droits de la personne concernée prévus par la section 3 du chapitre XIII de la loi du 6 janvier 1978 susvisée et la communication des informations visées à l'article 70-18 de la même loi.

Toutefois, la désignation, parmi les responsables conjoints du traitement, du point de contact pour les personnes concernées est obligatoire. Cette désignation doit être mentionnée dans l'acte instaurant le traitement, ou lorsque ce traitement n'est pas mis en œuvre pour le compte de l'Etat, dans l'accord conclu entre les responsables conjoints du traitement.

Si le point de contact n'a pas été désigné ou si sa désignation n'a pas été rendue publique, la personne concernée peut exercer ses droits à l'égard de et contre chacun des responsables du traitement.

close