Qui sont ces acteurs ?

Les responsables du traitement conjoints sont deux ou plusieurs responsables du traitement qui déterminent conjointement les finalités et les moyens du traitement des données personnelles. Pour un tel contrôle conjoint, des règles spécifiques sont introduites dans le RGPD pour régir la relation entre les responsables du traitement conjoints.

Quelles sont leurs tâches ?

Les tâches sont les mêmes que celles d’un responsable du traitement (unique) mais sont exécutées par tous les responsables du traitement conjoints ensemble.

Quand y a-t-il un contrôle conjoint ?

Il y a contrôle conjoint lorsqu’un traitement spécifique de données a lieu et que plusieurs responsables du traitement déterminent conjointement les moyens et la finalité du traitement. Cela signifie que plusieurs responsables du traitement décident ensemble du traitement. L’EDPB fait ici la distinction entre les décisions communes et les décisions convergentes.

• Décision commune : Les responsables du traitement conjoints décident ensemble, dans une intention commune, des moyens et des finalités du traitement.
• Décision convergente : “Desdécisions peuvent être considérées comme convergentes sur les finalités et les moyens si elles se complètent et sont nécessaires à la réalisation du traitement de telle sorte qu’elles ont un impact tangible sur la détermination des finalités et des moyens du traitement.” ^[1] Cela signifie que le traitement de chaque responsable est lié au traitement de l’autre responsable et ne serait pas possible sans lui.

Il peut également y avoir un contrôle conjoint si l’une des entités n’a pas accès aux données à caractère personnel. En ce qui concerne les moyens de traitement, tout responsable du traitement conjoint n’est pas tenu de déterminer tous les moyens à tout moment. Différents responsables du traitement peuvent utiliser différents moyens à différentes étapes du traitement des données à caractère personnel. Il en va de même pour les finalités des données. S’il y a contrôle conjoint lorsque les données à caractère personnel sont traitées pour la même finalité par tous les responsables du traitement, il peut également y avoir contrôle conjoint si les finalités des différents responsables du traitement sont étroitement liées les unes aux autres ou complémentaires. En d’autres termes, si le traitement profite à tous les responsables du traitement et que tous les responsables du traitement se sont mis d’accord sur les finalités et les moyens, un contrôle conjoint est formé.

Toutefois, la notion de contrôle conjoint doit être examinée attentivement et doit être décidée au cas par cas. Une vue d’ensemble claire de la relation entre toutes les parties impliquées, ainsi que du flux de données, est élémentaire pour déterminer si un contrôle conjoint a lieu ou non. L’EDBP fournit de multiples exemples dans ses directives sur cette question. ^[2]

Quels sont leurs droits et leurs responsabilités ?

Les droits et responsabilités des responsables du traitementconjoints sont définis à l’art. 26(1-2) duRGPD. Ici, les responsables du traitement conjoints

“déterminent de manière transparente leurs responsabilités respectives en ce qui concerne le respect des obligations découlant du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée et leurs devoirs respectifs de fournir les informations visées aux articles 13 et 14, au moyen d’un arrangement entre eux, à moins que, et dans la mesure où, les responsabilités respectives des responsables du traitement soient déterminées par le droit de l’Union ou de l’État membre auquel les responsables du traitement sont soumis. L’arrangement peut désigner un point de contact pour les personnes concernées.”

Pour ce faire, il convient d’utiliser des contrats types entre les responsables conjoints du traitement afin de déterminer clairement à quel responsable du traitement incombent exactement les responsabilités et les tâches à accomplir. Il s’agit notamment de déterminer les finalités du traitement ainsi que les moyens du traitement.^[3] Les personnes concernées doivent recevoir les coordonnées de l’un des responsables du traitement afin qu’il leur soit plus facile de déterminer à qui s’adresser pour les questions relatives au traitement des données. En outre, la répartition des responsabilités et les résultats essentiels de l’accord (le contrat) entre les responsables conjoints du traitement doivent être mis à la disposition des personnes concernées. Par exemple, un avis de confidentialité destiné à la personne concernée doit inclure l’identification des responsables conjoints du traitement et de leurs tâches et responsabilités en matière de traitement des données.

Cette répartition claire des responsabilités et des obligations est présentée au considérant 79 du RGPD comme une condition nécessaire pour les responsables du traitement conjoints. Toutefois, l’art. 26(3) ajoute que les personnes concernées peuvent aborder les questions et exercer leurs droits contre n’importe lequel des responsables conjoints du traitement.^[4]

Exemple 1 :

Les universités A, B et C décident de mener ensemble un projet de recherche commun. Pour ce projet, chaque université introduit des données à caractère personnel dans une base de données qui a été fournie par l’une des universités pour le projet de recherche commun. A, B et C traitent ensuite les données à caractère personnel contenues dans cette base de données pour leur projet de recherche commun, comme elles l’ont décidé au préalable quant aux finalités et aux moyens du traitement. Cela signifie que dans ce projet de recherche, les données sont collectées afin d’atteindre un objectif préalablement défini. Les données sont ensuite analysées à l’aide d’une solution logicielle spécifique, déterminée au préalable. Dans ce scénario, A, B et C sont des responsables conjoints du traitement car ils ont déterminé ensemble les moyens et les finalités du traitement. Ainsi, toutes les universités devraient déterminer, par le biais d’accords contractuels, les droits et les responsabilités de chaque partie en ce qui concerne le traitement des données de manière transparente.^[5] En outre, les personnes concernées doivent toujours savoir avec certitude à quelle partie elles peuvent et doivent s’adresser si elles ont des questions ou si elles souhaitent exercer les droits que leur confère le RGPD.

Si une université A traite des données à caractère personnel dans la base de données pour une autre finalité que celle du projet de recherche commun, cette université A devient un responsable du traitement distinct pour cette finalité particulière.

Exemple 2 :

La société A est la société mère d’un groupe de sociétés B, C et D. Pour stocker les données de recherche, les filiales utilisent une base de données hébergée et fournie par la société mère A.

Chaque entreprise B, C et D ne peut accéder qu’aux données personnelles qu’elle a elle-même introduites dans la base de données. Chaque société traite également les données pour ses propres besoins uniquement.Dans ce scénario, il n’y a pas de contrôle conjoint. Les entreprises B, C et D sont des responsables du traitement distincts, car elles déterminent les finalités de leur traitement des données. L’entreprise A est considérée comme un sous-traitant car elle fournit un moyen de traitement, à savoir le stockage de données à caractère personnel dans sa base de données.

 

 

1. EDPB. Lignes directrices 07/2020 sur les concepts de responsable du traitement et de sous-traitant dans le RGPD. Version 1.Adopté le 02 septembre 2020. Disponible sur : https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf p. 18. Dernière consultation le 30.10.2020. ↑
2. Ibid. P.18ff pour de multiples exemples pour et contre un contrôle conjoint. ↑
3. Ibid. p.3 ↑
4. Pour plus d’informations sur le contrôle conjoint, voir les lignes directrices du CEPD : Lignes directrices du CEPD sur les concepts de responsable du traitement, de sous-traitant et de contrôle conjoint en vertu du règlement (UE) 2018/1725, p.22ff. ↑
5. Pour plus d’informations sur la fonction de responsable du traitement conjoint, voir : CEPD, “Lignes directrices du CEPD sur les notions de responsable du traitement, de sous-traitant et de contrôle conjoint au titre du règlement (UE) 2018/1725”, novembre 2019, p. 16 et suivantes. ↑