Les contrats du RGPD : le cas de la responsabilité conjointe

Tribune n°273
Le Fil RGPD

Lors d'un précédent Fil RGPD, nous évoquions les obligations contractuelles qui incombent au responsable du traitement – avocat compris – en matière de traitement de données à caractère personnel.

Pour mémoire, deux grandes hypothèses appellent la conclusion d’un contrat encadrant ces traitements :

  • d’une part, lorsqu’un responsable du traitement fait appel à un sous-traitant ;
  • d’autre part, lorsqu’il agit conjointement avec un ou plusieurs autres acteurs en tant que responsable conjoint du traitement.

Après avoir traité de la première situation dans la précédente édition[1], penchons-nous à présent sur la seconde : celle de la responsabilité conjointe.

  1. La responsabilité conjointe

Comme évoqué précédemment, il n’est pas toujours aisé, en pratique, de distinguer un sous-traitant (processor) d’un responsable conjoint (joint controller) du traitement.

Le RGPD prévoit que le responsable du traitement peut agir « seul ou conjointement avec d’autres » pour déterminer les finalités et les moyens du traitement[2]. La jurisprudence de la Cour de justice de l’Union européenne abonde en décisions analysant cette question de la qualification des acteurs[3]. En complément, le Comité européen de la protection des données (« CEPD ») a publié des lignes directrices, précisant notamment qu’ « une participation conjointe à la détermination des finalités et des moyens implique que plus d’une entité exerce une influence déterminante sur la question de savoir si et comment le traitement a lieu »[4]. Il ajoute qu’une responsabilité conjointe peut naître :

  • d'une décision commune : les parties arrêtent ensemble les finalités et les moyens ; ou
  • de décisions convergentes : chacune agit indépendamment, mais leurs décisions sont interdépendantes et indispensables à la réalisation du traitement[5].

En d’autres termes, une action coordonnée ou interdépendante suffit à caractériser une coresponsabilité, sans qu’une volonté explicite de collaboration soit nécessaire.

Cela étant, même pour des praticiens aguerris, l’enjeu de la qualification peut prêter à discussion. Plusieurs lectures peuvent parfois paraître défendables, selon la configuration des faits. Retenez surtout que ce qui prime est le degré d'influence effective exercé sur les finalités et moyens du traitement. Un cas d’école, pour l’avocat, est la collaboration avec un confrère sur un même dossier, impliquant un traitement commun de données personnelles.

Quel que soit votre choix de qualification, il est fondamental de documenter votre raisonnement – analyse du rôle de chaque acteur, critères pris en compte – afin de pouvoir en justifier lors d’un contrôle ou d’un audit.

  1. L’obligation de conclure un contrat de responsabilité conjointe

En cas de responsabilité conjointe, le RGPD vous impose de conclure un accord formel[6].

Celui-ci a une double fonction :

  • il définit les obligations respectives de chaque coresponsable dans le respect du RGPD ; et
  • il clarifie leurs relations vis-à-vis des personnes concernées, en assurant transparence et traçabilité.

En raison de cette seconde fonction, les grandes lignes de l’accord doivent être portées à la connaissance des personnes concernées[7], par exemple via votre privacy notice ou tout autre support d'information adapté.

Contrairement au contrat de sous-traitance, pour lequel la Commission européenne dispose de la faculté d’élaborer des clauses types, aucun mécanisme de ce type n’existe pour l’accord entre responsables conjoints.

L’absence de modèle standard oblige donc à faire preuve de rigueur et de précision lors de la rédaction de l’accord. Elle augmente également, malheureusement, la charge administrative dans votre chef.

  1. Le contrat de responsabilité conjointe en pratique
  2. a) Approche pratique

Comment faire en pratique ? Pour plus d’efficacité, il est recommandé — lorsqu’une collaboration structurelle existe — de conclure un accord-cadre (ou « accord parapluie »).

Exemple : vous travaillez régulièrement avec d’autres cabinets spécialisés (en droit social, en droit des sociétés…). Chacun intervient dans la définition des finalités et moyens des traitements des données clients, caractérisant ainsi une responsabilité conjointe. Dans ce cas, un accord général peut être conclu, contenant les clauses que vous vous engagez à respecter et la répartition de vos obligations quant aux traitements de données dont vous êtes responsables dans le cadre de votre collaboration. Une solution peut être d’accompagner cet accord d’une annexe évolutive répertoriant les traitements concernés.

L’avantage de cette approche consiste en le fait qu’elle ne nécessite pas la conclusion d’un nouveau contrat à chaque fois qu’un dossier entre dans le champ de votre collaboration, tout ayant été analysé et couvert à l’avance pour l’ensemble des dossiers entrants. Par ailleurs, en cas de nouveau traitement de données, il suffit de modifier l’annexe et d’ajouter ce traitement à la liste, sans toucher aux clauses. Il est dès lors utile de prévoir un mécanisme simplifié de modification de l’annexe, n’impliquant pas la conclusion d’un avenant.

  1. b) Contenu recommandé

Si aucune obligation quant au contenu de l’accord n’existe, le CEPD fournit une série de recommandations précieuses. Selon lui, l’accord devrait notamment couvrir les éléments suivants :

  • la mise en œuvre des principes généraux de la protection des données (article 5), la base juridique du traitement (article 6) ;
  • les mesures de sécurité (article 32) ;
  • la notification d’une violation de données à caractère personnel à l’autorité de contrôle et à la personne concernée (articles 33 et 34) ;
  • les analyses d’impact relatives à la protection des données (articles 35 et 36) ;
  • le recours à un sous-traitant (article 28) ;
  • les transferts de données vers des pays tiers (chapitre V) ; et
  • l’organisation de contacts avec les personnes concernées et les autorités de contrôle[8].

À des fins de sécurité juridique, le plus simple consiste à suivre cette recommandation et à inclure des clauses relatives à ces questions dans l’accord.

En résumé :

  1. Lorsqu’une partie tierce intervient dans un traitement de données personnelles dont vous êtes responsable, réalisez une analyse afin de qualifier le rôle de chacun(e) : cette partie joue-t-elle un rôle de responsable conjoint ou de sous-traitant ?
  2. Si elle est qualifiée de responsable conjoint, vous comme elle êtes responsable de conclure un accord, qui détermine « qui fait quoi » en matière de traitement de données à caractère personnel.
  3. En pratique, nous vous recommandons d’établir un « accord parapluie » en cas de collaboration structurelle, et de suivre les recommandations du CEPD s’agissant du contenu de cet accord.

[1] Voy. la Tribune n° 271, disponible ici : http://latribune.avocats.be/fr/le-contrat-de-sous-traitance-rgpd-de-quoi-parle-t.

[2] RGPD, art. 4 (7). Nous soulignons.

[3] Voy. par ex., C.J., arrêt Fashion ID GmbH & Co.KG c. Verbraucherzentrale NRW eV, 29 juillet 2019, C-40/17, EU:C:2019:629 ; C.J., arrêt IAB Europe c. Gegevensbeschermingsautoriteit, 7 mars 2024, C-604/22, EU:C:2024:214.

[4] Comité européen pour la protection des données, Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, Version 2.0, 7 juillet 202, point 54, p. 22. Nous soulignons.

[5] Comité européen pour la protection des données, Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, Version 2.0, 7 juillet 202, points 54 et 55, p. 22.

[6] RGPD, art. 26 (1).

[7] RGPD, art. 26 (2).

[8] Comité européen pour la protection des données, Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, Version 2.0, 7 juillet 202, point 166, pp. 51-52.

A propos de l'auteur

Profile picture for user latribune
La
Tribune
latribune

a également publié

Informations pratiques

Jurisprudence professionnelle : textes et arrêts de la CEDH

Vous trouverez sur le site internet de la Délégation des Barreaux de France les résumés en français des principaux arrêts de la Cour européenne des droits de l’homme qui concernent la profession d’avocat.

Rentrées des jeunes barreaux

Catégories

Agenda des formations

Prenez connaissance des formations, journées d'études, séminaires et conférences organisées par les Ordres des avocats et/ou les Jeunes Barreaux en cliquant ici.

Si vous souhaitez organiser une formation et que vous souhaitez l'octroi de points pour celle-ci, veuillez consulter les modalités qui s'appliquent aux demandes d'agrément dans le document suivant et complétez le formulaire de demande.