Bonjour, je peux vous aider ?
Discutons !

Posez une question

June 13, 2019

Conseils juridique et social

- Modifié le June 13, 2019

RGPD : la coresponsabilité, ça vous parle ?

RGPD : la coresponsabilité, ça vous parle ?

Le règlement européen a eu une influence directe sur les contrats conclus entre les responsables de traitement et les prestataires. Désormais, lorsqu’on échange de la donnée personnelle, il est nécessaire, voire essentiel de qualifier le rôle de chacune des parties prenantes. Objectif : éviter le flou juridique qui pourrait vous coûter cher. 

La Cour de Justice de l’Union européenne (CJUE) a donné le « La » ! En se prononçant sur la question : « un administrateur d’une Fanpage hébergée sur Facebook peut-il être considéré comme responsable du traitement ? » la Cour a adopté une interprétation extensive de la notion de responsable de traitement. En effet, la Cour a considéré que l’administrateur d’une « Fanpage » hébergée sur Facebook, est, avec Facebook, conjointement responsable du traitement des données des visiteurs de sa page.

Une première.

Une décision sévère mais justifiée

La CJUE fait donc jurisprudence en demandant aux coresponsables de traitement de prévoir la répartition de leurs obligations. Dans le cas évoqué, il devra ainsi être notamment défini, qui de Facebook ou de l’administrateur de la « Fanpage » doit recueillir le consentement des visiteurs de la « Fanpage » pour le dépôt de cookies sur leur ordinateur et les informer des finalités de ce traitement.

En clair, être « fan » ou « liker » une page n’est pas considéré juridiquement comme « consentir de façon éclairé » à ce que les données d’un utilisateur du réseau soient récoltées et traitées sans qu’il n’en connaisse la finalité.

Même si dans certains secteurs, comme celui de l’assurance en particulier, il n’est pas aisé de remonter la chaîne des responsabilités, les organisations doivent expressément faire la différence entre le détenteur direct de la donnée personnelle et celui qui agit au nom et pour le compte du responsable de traitement.

Sur le terrain, la mise en œuvre d’un traitement de données à caractère personnel nécessite la plupart du temps l’intervention de différents acteurs. Mais quelle que soit son activité, chaque partie prenante doit prendre la mesure juridique de la « coresponsabilité » évoquée comme principe directeur du règlement européen. 

En cas de litige entre les parties, la CNIL a la possibilité de requalifier la relation contractuelle en saisissant le juge.

Soit le juge se déclare compétent et tranche, soit le contentieux est portée devant la cour européenne. Dans tous les cas, la requalification sera « in concreto » c’est-à-dire que le juge prendra en compte le contexte et la façon dont a été mis en œuvre le traitement. Ainsi, dans son avis sur la holding Foncia, la CNIL a appliqué ce principe estimant qu’en mettant à disposition de ses entités juridiques (filiales) un traitement, la holding en était la responsable, puisque c’est elle qui détient en amont les données collectées.

De façon plus générale, chaque cas étant différent, les juges ont opté pour la qualification au cas par cas, le niveau de responsabilité étant évalué en tenant compte de toutes les circonstances pertinentes du cas. Ainsi, les coresponsables du traitement peuvent être impliqués dans un même traitement de données à caractère personnel à des stades et à des degrés différents. La reconnaissance d’une responsabilité conjointe n’implique pas une responsabilité à parts égales.

Et c’est pourquoi, afin d’éviter tout déséquilibre, le contrat de prestation est soumis au principe juridique selon lequel toute clause litigieuse, fausse ou abusive sera réputée non écrite par les juges.

RT, ST : quelles différences ?

Le responsable du traitement

Il désigne une personne, une autorité publique, une société ou un organisme qui détermine les finalités et les moyens d’un traitement de données à caractère personnel. En ce sens, le responsable de traitement est en charge de la conformité des plateformes, des systèmes employés et de ses prestataires (ci-dessous appelés « sous- traitant ») imposée par le RGPD.

Le sous-traitant

C’est un prestataire, une entité (personne physique ou morale) désigné par le responsable de traitement. Son rôle est d’exécuter tout ou partie des traitements sur les données (collecte, traitement, transferts, etc..) pour le compte de son responsable de traitement.

La jurisprudence de la cour européenne a donc entériné, sans attendre les nouvelles directives du G29, la notion de coresponsabilité. Une notion désormais opposable devant un tribunal.

In fine, pour assurer la pérennité des relations commerciales, il est important d’être vigilant sur la répartition contractuelle des rôles au regard des contours fixés par le Règlement et de la finalité des traitements des données.

 

Rebecca Dadi

Consultante RGPD chez  GDPR RATING

TPE Sanction PME CNIL Responsabilité Facebook Linkedin crm responsabilité du dirigeant Responsabilité des personnes morales Responsabilité des Personnes Physiques sous traitant rgpd co-responsabilité mise en conformité amende gdpr rating laurent zeitoun cour de justice européenne protection des données

Réagissez à cet article

Commentaires (0)

À lire également

February 10, 2020

Conseils juridique et social

0

CNIL : LES AMENDES AVANT ET APRES LE RGPD

Dans la première partie, nous avons pu constater que l’arrivée du règlement sur la protection des données a donné lieu à une inflation des sanctions. Dans cette deuxième partie, Benjamin s’est p...

January 10, 2020

Conseils juridique et social

0

RGPD : entreprises, qu’est-ce qui vous attend en 2020 ?

Cette nouvelle année signe pour les entreprises et les organisations la fin de la période transitoire accordée par la CNIL pour qu’elles se mettent en conformité. En 2020, l’autorité de régulation pour...

November 7, 2019

Conseils juridique et social

0

Purge des données : le nouveau cauchemar des DSI

Le RGPD, entré en vigueur en mai 2018, modifie en profondeur les exigences liées à la collecte, l’exploitation et le stockage des données personnelles. En effet, L’article 6.5 du règlement dispose que pour fa...

July 11, 2019

Conseils juridique et social

0

Nicolas Sarkozy : Un cérébral qui n’existe que dans l’action

Nicolas Sarkozy. Né le 28 janvier 1955. 22 heures. Paris VERSEAU ASCENDANT VIERGE Verseau ascendant Vierge. Drôle d’alliance entre ces deux signes qui sonnent en /v / et en / r /. « Vrrr », « Vrrr », on enten...

Dernières questions

April 30, 2020

Gestion des formalités administratives et outils

0

masques FFP2

où puis je trouver des masques FFP2

March 4, 2020

Création d'entreprise

0

Sticking to a single domain name

There have been instances where content creators changed their domains name which resulted in a decrease within their ranking on search engines. In efforts to increase search engine ranking what most content creators do is continuously change their domain...

Vous avez un nouveau message