Retour

RGPD: la coresponsabilité, ça vous parle?

RGPD: la coresponsabilité, ça vous parle?

15 juin 2019

Le règlement européen a eu une influence directe sur les contrats conclus entre les responsables de traitement et les prestataires. Désormais, lorsqu’on échange de la donnée personnelle, il est nécessaire, voire essentiel de qualifier le rôle de chacune des parties prenantes. Objectif : éviter le flou juridique qui pourrait vous coûter cher.

 

La Cour de Justice de l’Union européenne (CJUE) a donné le « La » ! En se prononçant sur la question : « un administrateur d’une Fanpage hébergée sur Facebook peut-il être considéré comme responsable du traitement ? » la Cour a adopté une interprétation extensive de la notion de responsable de traitement. En effet, la Cour a considéré que l’administrateur d’une « Fanpage » hébergée sur Facebook, est, avec Facebook, conjointement responsable du traitement des données des visiteurs de sa page. Une première.

 

Une décision sévère mais justifiée

 

La CJUE fait donc jurisprudence en demandant aux coresponsables de traitement de prévoir la répartition de leurs obligations. Dans le cas évoqué, il devra ainsi être notamment défini, qui de Facebook ou de l’administrateur de la « Fanpage » doit recueillir le consentement des visiteurs de la « Fanpage » pour le dépôt de cookies sur leur ordinateur et les informer des finalités de ce traitement.

 

En clair, être « fan » ou « liker » une page n’est pas considéré juridiquement comme « consentir de façon éclairé » à ce que les données d’un utilisateur du réseau soient récoltées et traitées sans qu’il n’en connaisse la finalité.

 

Même si dans certains secteurs, comme celui de l’assurance en particulier, il n’est pas aisé de remonter la chaîne des responsabilités, les organisations doivent expressément faire la différence entre le détenteur direct de la donnée personnelle et celui qui agit au nom et pour le compte du responsable de traitement.

 

Sur le terrain, la mise en œuvre d’un traitement de données à caractère personnel nécessite la plupart du temps l’intervention de différents acteurs. Mais quelle que soit son activité, chaque partie prenante doit prendre la mesure juridique de la « coresponsabilité » évoquée comme principe directeur du règlement européen.

 

En cas de litige entre les parties, la CNIL a la possibilité de requalifier la relation contractuelle en saisissant le juge. Soit le juge se déclare compétent et tranche, soit le contentieux est portée devant la cour européenne. Dans tous les cas, la requalification sera « in concreto » c’est-à-dire que le juge prendra en compte le contexte et la façon dont a été mis en œuvre le traitement. Ainsi, dans son avis sur la holding Foncia, la CNIL a appliqué ce principe estimant qu’en mettant à disposition de ses entités juridiques (filiales) un traitement, la holding en était la responsable, puisque c’est elle qui détient en amont les données collectées.

 

De façon plus générale, chaque cas étant différent, les juges ont opté pour la qualification au cas par cas, le niveau de responsabilité étant évalué en tenant compte de toutes les circonstances pertinentes du cas. Ainsi, les coresponsables du traitement peuvent être impliqués dans un même traitement de données à caractère personnel à des stades et à des degrés différents. La reconnaissance d’une responsabilité conjointe n’implique pas une responsabilité à parts égales.

 

Et c’est pourquoi, afin d’éviter tout déséquilibre, le contrat de prestation est soumis au principe juridique selon lequel toute clause litigieuse, fausse ou abusive sera réputée non écrite par les juges.