📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 26 du RGPD : Responsables conjoints du traitement

Sommaire

Introduction 

L’article 26 du RGPD encadre la coresponsabilité dans le traitement des données personnelles, s’appliquant lorsque deux ou plusieurs entités déterminent conjointement les finalités et les moyens d’un traitement. Cette disposition impose une clarification des rôles entre les parties pour garantir la conformité au règlement et la protection des droits des personnes concernées.

Explication de l’article 

L’article 26 du RGPD s’applique lorsqu’au moins deux responsables de traitement définissent ensemble les finalités (le « pourquoi ») et les moyens essentiels (le « comment ») d’un traitement de données personnelles. Dans ce cas, ils sont qualifiés de responsables conjoints du traitement. Cette co-détermination est le critère clé, qu’elle résulte d’une décision commune ou de décisions convergentes. Contrairement au sous-traitant (réglementé par l’article 28), le responsable conjoint participe activement à la définition du traitement, ce qui implique une responsabilité partagée mais solidaire.

Obligations des responsables conjoints

Les responsables conjoints doivent formaliser leurs rôles par un accord écrit et transparent, qui précise notamment :

  • La répartition des responsabilités en matière de conformité RGPD,
  • Les modalités d’exercice des droits des personnes concernées (accès, rectification, effacement, etc.),
  • La communication des informations prévues aux articles 13 et 14 du RGPD.
    Cet accord doit refléter fidèlement les rôles respectifs et les relations vis-à-vis des personnes concernées, dont les grandes lignes doivent être mises à disposition. Un point de contact unique peut être désigné pour faciliter les demandes des personnes concernées.

Responsabilité solidaire

Un point fondamental de l’article 26 est que, indépendamment de l’accord interne, toute personne concernée peut exercer ses droits auprès de n’importe lequel des responsables conjoints. Cela signifie que chaque responsable est tenu de répondre à la demande, même si, selon l’accord, cette tâche incombait à un autre. Cette responsabilité solidaire renforce la protection des individus, mais impose une coordination étroite entre les co-responsables pour éviter les défaillances. 

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1.Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.

2.L’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.

3.Indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Aucune disposition correspondante

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 59

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Lorsque les finalités et les moyens du traitement sont déterminés par plusieurs responsables du traitement, leurs obligations respectives s’exercent dans les conditions prévues à l’article 26 du règlement (UE) 2016/679 du 27 avril 2016 et par la présente loi.

Analyse des 3 textes qui précèdent

L’article 26 du RGPD prévoit un régime juridique spécifique pour les responsables conjoints du traitement, c’est-à-dire plusieurs entités qui déterminent ensemble les finalités et les moyens du traitement des données personnelles. Cette disposition clarifie et formalise une relation qui n’était pas explicitement régulée par la Directive précédente, bien que cette dernière ait reconnu la co-responsabilité dans les définitions. L’article oblige les responsables conjoints à établir un accord écrit, transparent, et fidélisé à la réalité, précisant la répartition des responsabilités notamment en matière d’exercice des droits des personnes concernées et d’information (articles 13 et 14 RGPD). Un point de contact unique doit être désigné pour faciliter les relations avec les personnes concernées. Enfin, les personnes concernées peuvent exercer leurs droits contre chacun des responsables, indépendamment des accords internes entre eux.

Par comparaison, la Directive ne prévoyait pas de régime juridique spécifique en cas de pluralité de responsables conjoint, bien qu’elle ait permis de qualifier plusieurs acteurs en tant que responsables conjoint dans sa définition. Cela créait une certaine incertitude quant à la répartition des responsabilités et la transparence vis-à-vis des personnes concernées, incertitude que le RGPD tente de résoudre.

Néanmoins, certaines difficultés persistent dans l’application pratique de l’article 26. L’identification claire des responsables conjoints reste délicate, surtout dans des situations techniques complexes impliquant des sous-traitants aux rôles parfois très flous. Par ailleurs, le contenu de l’accord entre responsables reste imprécis quant à la limite de la répartition de responsabilités. Par exemple, il n’est pas clairement établi si un responsable peut totalement s’exonérer de sa responsabilité vis-à-vis d’un autre responsable conjoint, même si la responsabilité envers la personne concernée demeure inaliénable. Le RGPD suppose également que les responsables conjoints sont soumis au même droit national, ce qui n’est pas toujours le cas en réalité, ce qui complique encore davantage la détermination précise des obligations respectives.

Ainsi, cet article représente une avancée juridique importante pour encadrer la coresponsabilité en matière de traitement de données, en comblant une lacune de la Directive, tout en laissant une marge d’interprétation qui nécessite une vigilance accrue et parfois une adaptation nationale pour clarifier les responsabilités dans les cas complexes.

Jurisprudences

Européennes 

C-25/17 (10 Juillet 2018) – Jehovan todistajat

Cette affaire clarifie la notion de responsable du traitement dans le contexte d’une communauté religieuse et ses membres. Elle confirme que plusieurs entités peuvent être considérées comme responsables conjointement du traitement, ce qui renvoie à la qualification des responsables conjoints du traitement et à la nécessité de clarifier leurs rôles conformément à l’article 26 RGPD.

C-40/17 (29 Juillet 2019) – Fashion ID

Dans cette affaire, la Cour a analysé la responsabilité conjointe entre le gestionnaire d’un site web et le fournisseur d’un module social. Elle éclaire la notion de coresponsabilité entre plusieurs responsables du traitement quant à la détermination des finalités et moyens du traitement, ce qui engage directement l’application des règles de l’article 26 RGPD.

C-60/22 (4 mai 2023) – Bundesrepublik Deutschland

Cette décision aborde les obligations des responsables conjoints, notamment la portée des manquements à leurs obligations en vertu de l’article 26 (non-respect de l’accord déterminant la responsabilité conjointe) et précise les conséquences juridiques de ces manquements sur les droits des personnes concernées.

C-683/21 (5 décembre 2023) – Nacionalinis visuomenės sveikatos centras

L’affaire traite de la qualification de responsables conjoints du traitement même en l’absence d’accord formel sur leurs rôles respectifs, soulignant que la coresponsabilité peut exister sur la base de faits. Cela souligne les principes de l’article 26 RGPD et la réalité pratique de la coresponsabilité indépendamment des accords.

Françaises 

Délibération SAN-2023-009 du 15 juin 2023

Sanction de 40 000 000 euros d’amende  à CRITEO. La CNIL a relevé que Criteo n’avait pas conclu d’accord conforme avec ses partenaires pour définir clairement la responsabilité conjointe dans le traitement des données des utilisateurs. Cela a contribué à un défaut de transparence, au non-respect du consentement, à des pratiques inadéquates d’information, et à la difficulté pour les personnes concernées d’exercer leurs droits (accès, rectification, opposition). Cette sanction est l’une des plus élevées jamais imposées en Europe et illustre l’importance de respecter scrupuleusement l’article 26 dans les cas de coresponsabilité.

Recommandations 

G29

Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant» – wp169 (10 février 2010)

CEPD 

Lignes directrices concernant les notions de responsable du traitement et de sous-traitant dans le RGPD – 07/2020 (7 juillet 2021)

CNIL

Responsable du traitement, sous-traitants : comment bien identifier son rôle

Chaque entreprise est différente. Nos DPO externes s’adaptent à votre réalité.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.