L'article 26 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit Règlement général sur la protection des données (RGPD), régit les situations dans lesquelles deux ou plusieurs responsables du traitement déterminent conjointement les finalités et les moyens du traitement. Il établit le régime juridique de la responsabilité conjointe et impose aux coresponsables de définir de manière transparente leurs obligations respectives par un arrangement.
Cette disposition vise à apporter une réponse aux situations, de plus en plus fréquentes dans l'économie numérique, dans lesquelles plusieurs acteurs participent conjointement à un traitement de données personnelles, sans qu'il soit possible de désigner un responsable unique. Elle garantit que les personnes concernées disposent d'un point de contact clairement identifié et que les obligations du RGPD soient effectivement respectées par l'ensemble des coresponsables.
L'article 26 constitue ainsi un mécanisme essentiel de répartition des responsabilités et de garantie des droits des personnes concernées dans un contexte de traitements complexes impliquant plusieurs acteurs.
Texte officiel de l'article 26 du RGPD
L'article 26 du RGPD dispose :
1. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Ils définissent de manière transparente, au moyen d'un arrangement entre eux, leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement, notamment pour ce qui concerne l'exercice des droits de la personne concernée et leurs obligations respectives en matière de fourniture d'informations visées aux articles 13 et 14, sauf et dans la mesure où leurs obligations respectives sont définies par le droit de l'Union ou le droit de l'État membre auquel les responsables du traitement sont soumis. Cet arrangement indique dûment les points de contact respectifs des personnes concernées. L'essentiel de l'arrangement est mis à la disposition de la personne concernée.
2. L'arrangement visé au paragraphe 1 détermine de manière appropriée les fonctions et les relations respectives des responsables conjoints du traitement vis-à-vis des personnes concernées. L'essentiel de l'arrangement est mis à la disposition de la personne concernée.
3. Indépendamment des dispositions de l'arrangement visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard de et contre chacun des responsables du traitement.
Ce texte établit ainsi un régime de responsabilité solidaire des coresponsables à l'égard des personnes concernées, tout en leur permettant de répartir entre eux leurs obligations respectives.
La notion de responsabilité conjointe
L'article 26, paragraphe 1, définit les responsables conjoints du traitement comme deux ou plusieurs responsables qui déterminent conjointement les finalités et les moyens du traitement. La Cour de justice de l'Union européenne (CJUE) a précisé, dans plusieurs arrêts, que la responsabilité conjointe ne suppose pas nécessairement que les coresponsables aient un accès égal aux données ou qu'ils participent de manière équivalente au traitement : il suffit qu'ils participent conjointement à la détermination des finalités et des moyens, même de manière partielle ou complémentaire.
La qualification de responsables conjoints relève d'une analyse factuelle et non pas de la qualification contractuelle retenue par les parties. Ainsi, deux entités peuvent être considérées comme responsables conjoints même si elles n'ont pas formalisé leur relation ou si elles se considèrent comme responsable et sous-traitant. La détermination conjointe des finalités et des moyens est le critère déterminant.
La CJUE a notamment jugé, dans l'arrêt Wirtschaftsakademie Schleswig-Holstein (affaire C-210/16), que l'administrateur d'une page Facebook et Facebook Ireland sont responsables conjoints du traitement des données des visiteurs de la page, dès lors qu'ils participent conjointement à la détermination des finalités et des moyens du traitement, notamment par le choix des paramètres de la page permettant la collecte de données à des fins statistiques.
L'arrangement entre responsables conjoints
L'article 26, paragraphe 1, impose aux responsables conjoints de définir, au moyen d'un arrangement, leurs obligations respectives aux fins d'assurer le respect des exigences du RGPD. Cet arrangement doit notamment déterminer les responsabilités de chacun en matière d'exercice des droits des personnes concernées et de fourniture des informations prévues aux articles 13 et 14 (informations à fournir lors de la collecte des données).
L'arrangement doit être établi de manière transparente et son contenu essentiel doit être mis à la disposition de la personne concernée. Il ne s'agit pas nécessairement d'un contrat formel, mais d'un accord écrit précisant la répartition des rôles et des responsabilités entre les coresponsables. Cet arrangement peut prendre la forme d'une convention, d'un protocole, ou de toute autre modalité contractuelle.
L'arrangement doit indiquer les points de contact respectifs pour les personnes concernées, c'est-à-dire les interlocuteurs que celles-ci pourront solliciter pour exercer leurs droits ou obtenir des informations sur le traitement. Cette exigence vise à garantir que les personnes concernées ne soient pas renvoyées d'un coresponsable à l'autre sans obtenir de réponse satisfaisante.
La responsabilité solidaire à l'égard des personnes concernées
L'article 26, paragraphe 3, établit que, indépendamment de l'arrangement conclu entre les responsables conjoints, la personne concernée peut exercer les droits que lui confère le RGPD à l'égard de et contre chacun des responsables du traitement. Cette disposition consacre ainsi un principe de responsabilité solidaire : chaque coresponsable est intégralement responsable à l'égard des personnes concernées, indépendamment de la répartition interne des obligations prévue par l'arrangement.
Cela signifie que la personne concernée peut adresser sa demande d'exercice de droits (accès, rectification, effacement, etc.) à l'un quelconque des responsables conjoints, et que celui-ci est tenu d'y répondre, quand bien même la demande concernerait une opération relevant, en vertu de l'arrangement, de la responsabilité d'un autre coresponsable. En pratique, les coresponsables doivent donc organiser entre eux les modalités de traitement des demandes et de coordination de leurs réponses.
La responsabilité solidaire s'applique également en cas de manquement aux obligations du RGPD : chaque coresponsable peut être tenu intégralement responsable à l'égard de la personne concernée, sauf à exercer un recours contre les autres coresponsables sur le fondement de l'arrangement conclu entre eux.
Exemples de situations de responsabilité conjointe
Les situations de responsabilité conjointe sont fréquentes dans l'économie numérique. On peut citer, à titre d'exemples, les cas suivants : la gestion conjointe d'un site internet ou d'une application par plusieurs entités (par exemple, un éditeur de contenu et un prestataire technique qui déterminent conjointement les finalités et moyens du traitement des données des utilisateurs) ; l'utilisation conjointe d'une plateforme de marketing ou de gestion de la relation client (CRM) par plusieurs filiales d'un groupe ; la mise en œuvre conjointe d'un traitement de données de santé par plusieurs établissements de santé participant à un projet de recherche.
La CJUE a également reconnu la responsabilité conjointe dans le cadre de l'utilisation de plug-ins sociaux (par exemple, le bouton « J'aime » de Facebook) sur un site internet, dès lors que l'administrateur du site et le réseau social participent conjointement à la collecte de données sur les visiteurs du site.
Dans tous ces cas, les coresponsables doivent conclure un arrangement définissant leurs responsabilités respectives et mettre son contenu essentiel à la disposition des personnes concernées.
Distinction entre responsabilité conjointe et sous-traitance
Il est essentiel de bien distinguer la situation de responsabilité conjointe, régie par l'article 26, de la relation de sous-traitance, régie par l'article 28. Dans la relation de sous-traitance, le sous-traitant agit pour le compte du responsable du traitement, conformément à ses instructions, et ne détermine pas les finalités et les moyens du traitement. Dans la responsabilité conjointe, en revanche, les coresponsables déterminent conjointement les finalités et les moyens du traitement, dans le cadre d'une relation de partenariat ou de collaboration.
La qualification de sous-traitant ou de responsable conjoint dépend de l'analyse factuelle de la relation entre les parties et non de la qualification contractuelle retenue. Ainsi, un prestataire qui se considère comme sous-traitant peut être requalifié en responsable conjoint s'il participe, de fait, à la détermination des finalités et des moyens du traitement.
Sanctions et jurisprudence
Le non-respect de l'article 26 est susceptible d'entraîner des sanctions administratives en application de l'article 83 du RGPD. Les autorités de contrôle sanctionnent régulièrement les responsables conjoints qui n'ont pas conclu d'arrangement définissant leurs obligations respectives ou qui n'ont pas mis le contenu essentiel de cet arrangement à la disposition des personnes concernées.
La jurisprudence de la CJUE relative à l'article 26 est abondante et en constante évolution. Outre les arrêts précités relatifs aux pages Facebook et aux plug-ins sociaux, la CJUE a également statué sur la responsabilité conjointe dans le cadre de la transmission de données entre un exploitant de site internet et un fournisseur de services de médias sociaux, ou dans le cadre de traitements réalisés par plusieurs administrations publiques dans le cadre de procédures conjointes.
Recommandations de la CNIL et du CEPD
La Commission nationale de l'informatique et des libertés (CNIL) recommande aux responsables conjoints de formaliser leur arrangement par écrit, de préciser clairement les responsabilités de chacun en matière de respect des droits des personnes concernées, de fourniture des informations prévues aux articles 13 et 14, de sécurité des données, et de gestion des violations de données. Elle insiste également sur la nécessité de mettre le contenu essentiel de l'arrangement à la disposition des personnes concernées, par exemple en le publiant sur le site internet de chacun des coresponsables.
Le Comité européen de la protection des données (CEPD) a publié des lignes directrices sur les notions de responsable du traitement et de sous-traitant (Guidelines 07/2020), dans lesquelles il précise les critères de qualification de responsables conjoints et fournit des exemples pratiques. Il souligne que la responsabilité conjointe ne suppose pas une participation égale au traitement et qu'elle peut exister même si les coresponsables poursuivent des finalités différentes mais convergentes.
L'article 26 du RGPD établit le régime juridique de la responsabilité conjointe, en imposant aux coresponsables de définir de manière transparente leurs obligations respectives et en garantissant que les personnes concernées puissent exercer leurs droits à l'égard de chacun des responsables du traitement.
Pour les organisations impliquées dans des traitements complexes faisant intervenir plusieurs acteurs, il est essentiel de déterminer avec précision si elles relèvent d'une situation de responsabilité conjointe, de conclure un arrangement conforme aux exigences de l'article 26, et de mettre en place des mécanismes de coordination permettant de traiter efficacement les demandes des personnes concernées et de garantir le respect des obligations du RGPD. La responsabilité solidaire à l'égard des personnes concernées impose une vigilance particulière et une collaboration étroite entre les coresponsables.