Le 29 juillet 2019, la Cour de justice de l’Union européenne (CJUE) a précisé qu’un éditeur de site web ayant incorporé un module de réseau social permettant la communication des données personnelles de ses visiteurs à ce réseau est responsable conjoint de ce traitement. Dès lors, le gestionnaire du site a une obligation d’information et doit recueillir le consentement préalable des internautes. Toutefois, cette responsabilité conjointe et ces obligations se limitent à la collecte et à la transmisison des données et non aux traitements ultérieurs que le réseau social pourraient faire. Cette solution en apparence simple et équilibrée soulève en pratique plusieurs questions.
L’arrêt Fashion ID (CJUE 29 juill. 2019, Fashion ID, aff. C-40/17, ECLI:EU:C:2019:629) constitue le troisième moment jurisprudentiel illustrant la propension de la CJUE à définir largement la notion de responsable conjoint. Dans son arrêt Wirtschaftsakademie, la CJUE avait déjà considéré que l’administrateur d’une page Facebook n’est pas un simple utilisateur de ce réseau social, mais un responsable conjoint avec Facebook du traitement par ce réseau des données personnelles de ses visiteurs. Dans son arrêt Témoins de Jéhovah, la CJUE a jugé que la communauté des témoins de Jéhovah était responsable conjoint avec ses membres prédicateurs des traitements de données personnelles liés au porte à porte qu’ils réalisent. Face aux inquiétudes des praticiens, l’arrêt Fashion ID permet de mieux cerner la notion de responsable conjoint tout en délimitant sa portée. Rendu dans le contexte de l’ancienne directive 95/46 remplacée aujourd’hui par le RGPD, l’arrêt Fashion ID invite à s’interroger sur les implications à venir de cette définition large de la notion de responsable conjoint. En effet, à la différence de la directive, l’article 26 du RGPD pose explicitement des obligations supplémentaires aux responsables conjoints.
Que signifie exactement être responsable conjoint aujourd’hui ?
La notion de responsable conjoint vise tant dans la directive 95/46 que dans le RGPD la situation où plusieurs acteurs déterminent les finalités et les moyens du traitement. Cela couvre les cas où plusieurs acteurs décident de traiter ensemble des données à caractère personnel pour une finalité commune. La jurisprudence récente de la CJUE témoigne que cette notion de responsable conjoint couvre de nombreuses hypothèses de partage de données personnelles très courantes. L’arrêt Fashion ID apporte à cet égard plusieurs clarifications. Il permet de comprendre dans quelle mesure l’influence qu’un acteur a sur un traitement de données à caractère personnel peut le faire qualifier de responsable conjoint du traitement.
• Les responsables conjoints du traitement sont à l’origine du traitement
Dans les trois affaires mentionnées, cette idée est essentielle. Sans l’initiative prise par l’un des responsables conjoints, le traitement de données à caractère personnel en cause par l’autre responsable conjoint n’aurait pas eu lieu. Ainsi, même si ses prédicateurs peuvent décider d’eux-mêmes de procéder au traitement des données à caractère personnel dans le cadre de leur porte à porte, la communauté des témoins de Jéhovah est aussi à l’origine de ces traitements qu’elle encourage et coordonne. L’administrateur d’une page Facebook joue également un rôle majeur dans le déclenchement du traitement de données de ses visiteurs par Facebook, notamment à travers les paramétrages qu’il met en place pour cibler son audience. L’introduction par le gestionnaire de sites internet, de blog, de boutons de réseaux sociaux permettant à ses visiteurs de partager ses contenus ou de donner leur avis est bien à l’origine d’une collecte de données à caractère personnel par ces réseaux sociaux qui n’aurait pas eu lieu sans l’intervention du gestionnaire du site ou du blog. Le fait d’autoriser la collecte de données à caractère personnel et leur transmission à un autre responsable de traitement est déterminant, mais pas suffisant. Les responsables conjoints de traitement sont à l’origine non seulement du « comment » c’est-à-dire des moyens mis en place pour opérer le traitement, mais aussi des « finalités », c’est-à-dire le pourquoi.
• Les responsables conjoints du traitement doivent accepter la finalité du traitement
Le partage des données avec l’autre responsable conjoint doit avoir une finalité propre, telle que l’optimisation de la visibilité des produits ou services offerts par son site web. Dans son arrêt Fashion ID, la CJUE considère que cette condition est réalisée en raison du consentement implicite de l’entreprise à la collecte et transmission des données à caractère personnel des visiteurs de son site, afin de pouvoir optimiser la publicité sur son site.
Autrement dit, déterminer les finalités peut simplement vouloir dire être d’accord avec le business model proposé par des prestataires numériques dont il peut paraître aujourd’hui difficile de se passer. Dans les affaires mentionnées, la finalité poursuivie par les deux responsables conjoints était de même nature : la poursuite d’un intérêt économique dans les affaires Fashion ID et Wirschaftsakademie, voire d’un intérêt ideologique dans l’affaire des témoins de Jéhova. Que décidera la CJUE lorsque la finalité aura une nature distincte ?
L’intérêt économique du réseau social et l’intérêt non économique d’un bloggeur offrant à son public des contenus libre d’accès pourront-ils entrainer la qualification de responsables conjoints ? Dans ce cas, il existe bien aussi une forme d’acceptation de l’avantage mutuel du traitement de données à caractère personnel pour des finalités distinctes.
• Le responsable conjoint ne nécessite pas d’avoir accès aux données personnelles
Seul l’un des responsables conjoints peut avoir accès aux données à caractère personnel, voire même en théorie aucun des deux si ces données sont traitées uniquement par un sous-traitant pour leur compte. Le responsable conjoint tout comme le responsable tout court peut simplement avoir un pouvoir de décision et de direction du traitement sans prendre en charge la concrétisation des différentes étapes de mise en œuvre du traitement.
• La responsabilité conjointe ne s’étend pas aux traitements ultérieurs de l’un des responsables
Dans son arrêt Fashion ID, la CJUE précise que la responsabilité conjointe ne concerne que le traitement des données dans lequel l’entreprise est impliquée, mais pas les traitements ultérieurs de ces données que Facebook pourrait décider de son propre chef. Autrement dit, la notion de responsable conjoint est une notion dynamique et fonctionnelle reposant sur une approche traitement par traitement. Elle ne couvre pas la situation où l’un des responsables conjoints décide de traiter ultérieurement les données pour une finalité qui lui est propre et non acceptée par l’autre. Un tel raisonnement semble inclure l’hypothèse où cette nouvelle finalité est compatible avec la première. Le retraitement des données à caractère personnel par les réseaux sociaux repose toujours sur une finalité de nature économique.
• La responsabilité conjointe ne préjuge pas du niveau de responsabilité des responsables conjoints
L’arrêt opère une clarification bienvenue entre la notion de responsable conjoint et le régime de la responsabilité des acteurs concernés. La CJUE reprend la formule selon laquelle être responsables conjoints ne signifie pas avoir « une responsabilité équivalente ». Pour autant l’article 82, § 4, du RGPD instaure une responsabilité solidaire obligeant chaque responsable conjoint à entièrement réparer le dommage subi par un individu causé par un traitement constituant une violation du RGPD. Le responsable conjoint ne pourra être exonéré que s’il apporte la preuve que le dommage lui est nullement imputable. En cas de partage de responsabilité, le responsable conjoint ayant assumé la réparation totale dispose, en revanche, d’une action récursoire. Autrement dit, la qualification de responsable conjoint peut être lourde de conséquences.
Quelles sont les obligations des responsables conjoints du traitement aujourd’hui ?
L’arrêt Fashion ID évoque la nécessité pour l’entreprise qui a déclenché le traitement d’informer préalablement et d’obtenir le consentement de l’internaute uniquement pour les opérations de traitement dont il détermine les moyens et les finalités. Aujourd’hui, ces obligations d’information ont été précisées aux articles 12 et 13 du RGPD. Cette information et ce consentement doivent être obtenus au moment de la collecte. En outre, la CJUE relève qu’en cas de responsabilité conjointe, l’exonération de consentement préalable pour le traitement sur la base d’un intérêt légitime doit nécessairement être un intérêt légitime poursuivi par chacun des responsables du traitement concerné. Cela devrait limiter encore la possibilité de recours à cette exonération, exception déjà strictement interprétée.
Reste alors une interrogation de taille. Comment le responsable conjoint de traitement peut-il valablement obtenir un tel consentement ? En effet, ce consentement doit être aujourd’hui libre, spécifique, éclairé et univoque, et peut dans certains être soumis à autorisation parentale pour les mineurs en vertu de l’article 8 du RGPD. Il faut aussi rappeler que la violation des règles relatives au consentement comme celles relatives aux droits des personnes concernées sont passibles d’une amende pouvant aller jusqu’à 20 millions d’euros.
En outre, l’article 26 RGPD impose désormais aux responsables conjoints d’assumer la réalité de leurs relations par le biais d’un contrat définissant leurs relations respectives et de désigner un point de contact pour les personnes concernées. La violation de cette obligation peut entraîner une amende pouvant aller jusqu’à 10 millions d’euros. Aussi, dans le contexte actuel du RGPD, la mise en œuvre de l’arrêt Fashion ID nécessite un accompagnement des acteurs par les régulateurs. Des recommandations sont actuellement en cours d’élaboration au sein du Comité européen de la protection des données.
La généralisation des responsables conjoints est-elle une bonne chose ?
La qualification de responsables conjoints attribuée aux utilisateurs de services numériques et d’une manière générale en cas de partage de données à caractère personnel vise incontestablement à assurer une meilleure protection des individus. Certains pourraient douter qu’elle parvienne à ce résultat parce qu’il existe un déséquilibre des rapports de forces entre les responsables conjoints et les individus dont ils traitent les données.
Pourtant, il est à la portée de chacun d’entre nous de faire évoluer les choses. Max Schrems et David Caroll ont su montrer la voie. Leur combat contre Facebook pour dénoncer le non respect du traitement de leurs données à caractère personnel a su éveiller nos consciences.
Quant aux utilisateurs des services et plateformes numériques, accepter leur rôle de responsables conjoints pourrait se transformer en une opportunité. Il s’agirait pour eux de limiter leur responsabilité aux traitements dont ils ont clairement assumé et précisé la finalité. Il s’agirait aussi d’être plus pro-actif dans la diffusion d’une véritable culture de la protection des données auprès de leurs prestataires. Pourquoi le feraient-ils ? Par crainte des poursuites, sans doute, mais aussi simplement pour défendre leurs valeurs et leur réputation auprès d’un public de plus en plus sensible au respect de la protection de données à caractère personnel.
