RGPD et les PME/TPE

Introduction au concept de responsable du traitement

Au cœur du RGPD se trouve la notion de responsable du traitement. Tout n'est pas nouveau dans le règlement 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Certes, le RGPD a prévu l'abrogation de la directive 95/46/CE, mais ses définitions et la jurisprudence obtenue sur celle-ci restent très utiles à partir du 25 mai 2018 comme le montrent les conclusions de l'Avocat Général qui seront suivies par la Cour de Justice le 29 juillet 2019.

En parallèle, il est important de noter la position de la CNIL particulièrement étayée dans sa décision du 26 juillet 2021.

La démonstration de l'Avocat Général en octobre 2017

Dans l'affaire C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH, l'Avocat Général près de la Cour de justice a fourni une analyse fondamentale de la notion de responsable de traitement.

Résumé des faits

L'affaire porte sur un profil Facebook créé par la Wirtschaftsakademie, une structure de formation. Sa page Facebook permettait, via l'outil « Facebook Insights », d'obtenir des statistiques d'audience pour mieux cibler sa communication. Ces statistiques étaient établies à partir de cookies comportant un numéro ID unique, sauvegardé par Facebook sur le disque dur des visiteurs de la page.

L'ULD (organisme du Land de Schleswig-Holstein en charge de la protection des données personnelles) avait demandé à la Wirtschaftsakademie de désactiver cette page Facebook au motif que ni l'académie ni Facebook n'informaient les visiteurs de la collecte de leurs données personnelles.

Le rôle fondamental du responsable du traitement

Le responsable du traitement joue un rôle fondamental dans le cadre du système mis en place par la directive 95/46 et son identification est dès lors essentielle. La directive prévoit que le responsable du traitement est débiteur d'un certain nombre d'obligations destinées à assurer la protection des données à caractère personnel.

Ce rôle fondamental a été mis en exergue par la Cour dans son arrêt du 13 mai 2014, Google Spain et Google. Celle-ci a jugé que le responsable du traitement doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que le traitement de données satisfait aux exigences de la directive pour que les garanties prévues puissent développer leur plein effet.

Selon la jurisprudence de la Cour : Cette notion doit être définie de manière large afin d'assurer une protection efficace et complète des personnes concernées.

Une fonction exercée par plusieurs entités

Le responsable du traitement de données à caractère personnel est la personne qui décide pourquoi et comment seront traitées ces données. Cette notion est fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait.

Plusieurs entités peuvent exercer conjointement cette fonction de responsable de traitement, comme l'illustre la relation entre Facebook Inc., Facebook Ireland et les administrateurs de pages fan.

L'influence déterminante

L'administrateur d'une page fan est aussi responsable de traitement quand il exerce une influence de droit ou de fait sur les finalités et les moyens du traitement.

En ayant recours à Facebook pour diffuser son offre d'informations, l'administrateur de la page fan adhère au principe de la mise en œuvre d'un traitement des données à caractère personnel des visiteurs de sa page aux fins de l'établissement de statistiques d'audience.

Même s'il n'est pas le concepteur de l'outil « Facebook Insights », cet administrateur, en y ayant recours, prend part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page.

De plus, l'administrateur d'une page fan peut, à l'aide de filtres, définir une audience personnalisée, ce qui lui permet non seulement d'affiner le groupe de personnes à destination duquel des informations seront diffusées, mais aussi de désigner les catégories de personnes qui vont faire l'objet d'une collecte de données par Facebook.

Critères déterminants pour la qualification de responsable de traitement

1. La recherche de finalités étroitement liées

Sont responsables de traitement ceux qui recherchent des finalités étroitement liées. Par exemple, un administrateur de page fan veut obtenir des statistiques d'audience pour promouvoir son activité, tandis que Facebook utilise ce même traitement pour mieux cibler sa publicité.

2. L'impact des dispositions contractuelles

Des dispositions contractuelles ne permettent pas d'exclure la qualification de responsable de traitement, même si un des opérateurs n'a pas accès aux données. Le partage des tâches indiqué contractuellement ne peut fournir qu'un indice concernant le rôle réel des parties.

"Le fait que le contrat et ses conditions générales soient préparés par un prestataire de services et que l'opérateur qui a recours aux prestations offertes par ce prestataire n'ait pas accès aux données n'exclut pas qu'il puisse être considéré comme un responsable du traitement, dès lors qu'il a librement accepté les clauses contractuelles."

3. Absence de nécessité d'un contrôle complet

Pour qu'une personne puisse être considérée comme un responsable du traitement, il n'est pas nécessaire qu'elle dispose d'un pouvoir de contrôle complet sur tous les aspects du traitement. De plus en plus, les traitements ont une nature complexe, impliquant plusieurs parties exerçant différents degrés de contrôle.

L'arrêt de la CJUE du 29 juillet 2019 (C-40/17)

Dans son arrêt du 29 juillet 2019, la Cour de justice a confirmé cette analyse dans l'affaire Fashion ID :

1. Le gestionnaire d'un site Internet qui insère un module social (comme le bouton "j'aime" de Facebook) peut être considéré comme responsable du traitement, mais cette responsabilité est limitée aux opérations dont il détermine effectivement les finalités et les moyens (collecte et transmission des données).
2. Il est nécessaire que ce gestionnaire et le fournisseur du module poursuivent chacun un intérêt légitime pour que ces opérations de traitement soient justifiées.
3. Le consentement doit être recueilli par le gestionnaire uniquement pour les opérations de traitement dont il détermine les finalités et les moyens.
4. L'obligation d'information pèse également sur le gestionnaire, mais seulement pour les opérations de traitement dont il détermine les finalités et les moyens.

Implications pratiques pour les PME et TPE

À retenir

• Une entreprise qui utilise des outils comme Facebook Insights ou des plugins sociaux est considérée comme co-responsable de traitement pour certaines opérations
• Cette responsabilité s'applique même si l'entreprise n'a pas accès directement aux données
• Le simple fait d'adhérer aux conditions d'utilisation d'une plateforme ne vous exonère pas de vos responsabilités
• La qualification de responsable du traitement repose sur une analyse factuelle et non formelle

Actions à mettre en place

• Identifier tous les traitements de données personnelles dans votre entreprise
• Examiner les outils tiers utilisés (réseaux sociaux, analytique, etc.)
• Informer correctement les visiteurs de vos sites et pages
• Recueillir le consentement nécessaire pour les opérations dont vous déterminez les finalités
• Documenter vos choix et décisions concernant les traitements de données