Les concepts de responsable du traitement, de responsable conjoint du traitement et de sous-traitant jouent un rôle crucial dans l’application du RGPD, car ils déterminent qui est responsable du respect des différentes règles de protection des données et comment les personnes concernées peuvent exercer leurs droits dans la pratique[1] (voir les “Principaux acteurs” dans la partie II des présentes lignes directrices, principalement les sections consacrées au “Responsable du traitement” ou au “Sous-traitant”). Dans le cas de l’utilisation des réseaux sociaux pour le traitement des données, il est tout aussi important de bien distinguer le responsable du traitement des données du sous-traitant, car les responsabilités de chacun sont différentes.
Certains doutes peuvent surgir quant à savoir laquelle des parties impliquées dans ce cadre joue le rôle de responsable du traitement, de sous-traitant ou, le cas échéant, s’il existe une situation de contrôle conjoint. Pour dissiper ces doutes, nous devons d’abord nous tourner vers la liste des définitions du RGPD, interprétées conformément aux lignes directrices de l’EDPB 7/2020 sur les concepts de responsable du traitement et de sous-traitant dans le RGPD et aux lignes directrices de l’EDPB 8/2020 sur le ciblage des utilisateurs de médias sociaux[2] et à la jurisprudence pertinente de la CJUE[3] .
En ce qui concerne l’utilisation des réseaux sociaux pour la recherche, et sans préjudice de la prudence casuistique susmentionnée, on peut affirmer qu’il n’existe pas de situation de contrôle conjoint, dans la mesure où les moyens et les finalités de chaque traitement ne sont pas déterminés conjointement par le réseau social et l’institution chargée du développement des TIC, mais où le réseau social permet au développeur d’utiliser son environnement. La relation entre les chercheurs et les réseaux sociaux repose généralement sur ce que l’on appelle les politiques des développeurs. La plupart des réseaux sociaux n’autorisent les chercheurs/innovateurs à collecter des données par le biais de leurs interfaces de programmation d’applications (API) que s’ils suivent les instructions définies dans ces politiques. Les chercheurs/innovateurs doivent donc s’assurer qu’ils procèdent effectivement à cette collecte s’ils veulent éviter d’être tenus pour responsables d’un traitement illégal des données. Bien entendu, il existe une exception possible à cette règle générale : si un développeur loue les services d’un réseau social pour traiter des données en son nom, cela peut impliquer un contrôle conjoint (cela dépendra des conditions concrètes du contrat et de la manière dont les responsabilités sur les données sont attribuées aux partenaires). Toutefois, si une telle exception ne s’applique pas :
- le réseau social est considéré comme le responsable du traitement des données qu’il effectue conformément aux finalités et aux objectifs qu’il poursuit, et le développeur TIC est le responsable du traitement des données pour les activités de traitement des données qu’il contrôle ;
- la relation entre le développeur et le réseau social est la suivante :
- le réseau social joue le rôle de fournisseur de services de la société de l’information, et
- l’institution de recherche le rôle de l’utilisateur des services de la société de l’information.
- les activités menées par l’institution de recherche à partir de son profil de recherche doivent être autorisées par le réseau social en tant que prestataire de services de la société de l’information, mais cela n’implique pas qu’il existe une situation de contrôle conjoint ni que la licence d’utilisation des données garantisse une base juridique pour le traitement des données à caractère personnel.
Ainsi, dans les scénarios les plus courants, les chercheurs et les innovateurs en TIC joueront le rôle d’un tiers par rapport aux réseaux sociaux et aux personnes concernées. Le réseau leur fournira des données qui appartiennent aux personnes concernées. Une fois que ces données sont déjà sous le contrôle des chercheurs/innovateurs, ils deviennent les responsables du traitement de ces données et assument les responsabilités correspondantes.
Bien qu’une situation de contrôle conjoint n’existe généralement pas, il n’est pas impossible qu’une telle situation se produise. Il convient donc de rappeler les garanties de l’article 26 du RGPDen cas de contrôle conjoint (voir la section “Acteurs principaux” de la partie II des présentes lignes directrices) entre le réseau social et l’institution de recherche :
- Le développeur de TIC et le réseau social déterminent tous deux, de manière transparente, leurs responsabilités respectives en matière de respect des obligations prévues par le RGPD, notamment en ce qui concerne l’exercice des droits de la personne concernée et leurs devoirs respectifs de fournir les informations visées aux articles 13 et 14, au moyen d’un arrangement entre eux.
- L’arrangement
- est mis à la disposition de la personne concernée ;
- peut désigner un point de contact pour les personnes concernées ;
- reflètent dûment les rôles et les relations respectifs des responsables conjoints du traitement vis-à-vis des personnes concernées.
- Enfin, tous les responsables du traitement, les responsables conjoints du traitement et les sous-traitants doivent se rappeler que les personnes concernées peuvent exercer leurs droits en vertu du RGPD (art. 26.3 du RGPD).
- Lignes directrices 07/2020 de l’EDPB sur les concepts de responsable du traitement et de sous-traitant dans le RGPD, p. 3, à l’adresse : https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-072020-concepts-controller-and_en . ↑
- Lignes directrices de l’EDPB (Lignes directrices 8/2020 sur le ciblage des utilisateurs de médias sociaux Version 2.0 adoptée le 13 avril 2021, à l’adresse : https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_082020_on_the_targeting_of_social_media_users_en.pdf, p. 11). ↑
- Les arrêts Wirtschaftsakademie (C-210/16), Témoins de Jéhovah (C-25/17) et Fashion ID (C-40/17) sont particulièrement pertinents en l’espèce. ↑