[data] RGPD-GDPR CJUE 5 juin 2018 responsabilité CONJOINTE et CO-traitance de données personnelles

[12 juin 2018 v2] L’arrêt CJUE « Wirtschaftsakademie » du 5 juin 2018 est le premier, en 20 ans d’application de feu la Directive 95/46, qui traite de la responsabilité conjointe d’un traitement de données à caractère personnel. Cette jurisprudence est l’occasion de (re)visiter en profondeur le régime GDPR de la CO-traitance, d’où la présente présentation (en BD bien sûr !) « RGPD-GDPR CJUE 5 juin 2018 responsabilité CONJOINTE et CO-traitance de données personnelles« .

L’arrêt « Wirtschaftsakademie« , extrêmement détaillé et argumenté, conclut fort logiquement que la Directive 95/46 doit être interprétée dans le sens de la protection des droits des personnes dont les data sont traitées. Si deux sens sont possibles, la Cour de Justice de l’UE privilégie celui qui tranche en faveur des droits et libertés des personnes physiques.

Ce n’est pas moi qui le dit, c’est la CJUE qui l’impose aux juridictions et autorités de contrôle (les CNIL) des 27 pays de l’UE. Moi, je lis et je modifie les contrats en conséquence (c’est pour Stephen et Frédéric…).

RGPD-GDPR CJUE 5 juin 2018 responsabilité CONJOINTE et CO-traitance : la décision concrète

Plus concrètement, cet arrêt du 5 juin 2018 de la CJUE (re)qualifie « l’administrateur » d’une « page fan » sur le réseau social Facebook de « responsable conjoint« , avec Facebook, du traitement des données personnelles des visiteurs de cette « page fan ». Car dans l’affaire « C-210/16 Wirtschaftsakademie » qui nous intéresse ici, « l’administrateur » paramétrait très finement les catégories de données personnelles dont il demandait le traitement statistique à Facebook. Facebook, pour sa part, collectait, stockait et traitait ces données de manière directement personnelles, déjà pour son compte propre (première finalité du traitement). Facebook ne restituait à « l’administrateur » que le résultat statistique du traitement paramétré (seconde finalité donc). « Wirtschaftsakademie » (« l’administrateur« ) pensait ne pas traiter de données personnelles, parce que Facebook ne lui transmettait que des « statistiques anonymes » ?

Franchement, la CJUE fait une stricte et juste interprétation de la définition de « responsable de traitement » : celui qui détermine la finalité d’un traitement qui lui soit propre. C’était bien le cas de « l’administrateur« . 

Si « l’administrateur » est responsable CONJOINT, il doit le dire aux visiteurs de la page fan : il doit révéler la finalité du traitement qui lui est propre. C’est, maintenant, clairement la règle.

RGPD-GDPR CJUE 5 juin 2018 responsabilité CONJOINTE et CO-traitance : une solution à l’identique avec la GDPR !

Cet arrêt est particulièrement important dans la mesure où la définition du « responsable de traitement » est strictement identique dans la Directive 95/46 et dans la GDPR (Règlement UE 2016/679) en application depuis le 25 mai 2018 (il y a trois petites semaines). La règle posée par la CJUE est donc transposable à l’identique – sans qu’il soit besoin de se faire des noeuds au cerveau – sous le régime actuel de la GDPR.

Je précise tout de suite qu’il n’y a pas que l’usage à titre professionnel des réseaux sociaux qui soit impacté : tous les traitements opérés par des services web, BtoB ou BtoC, résultats statistiques (là est la vraie grande nouveauté de l’arrêt du 5 juin 2018) ou données directement « personnelles ».



RGPD-GDPR CJUE 5 juin 2018 : 2 cas de responsabilité CONJOINTE

Il y a deux manières de « bénéficier » de la qualification de « responsable CONJOINT » :


RGPD-GDPR CJUE 5 juin 2018 responsabilité CONJOINTE et CO-traitance : le contrat

Le contrat de CO-traitance ne pose pas de problème particulier (sauf en droit des bases de données, ce que nous verrons juste après). Les parties qui décident de leur responsabilité conjointe (une responsabilité « solidaire » au sens du droit civil – merci Alice !) écrivent leur accord (le contrat) et doivent en fournir « les grands traits » aux users dont elles traitent « ensembles » les data personnelles.

« ensemble avec » ou « pas seul » ? Ce sont les deux critères de la « responsabilité conjointe » selon l’avis « wp.169 » du G.29 du 16 février 2010 (dont la lecture est indispensable pour celles et ceux qui veulent avoir un avis éclairé sur la question).

Une responsabilité « conjointe / solidaire » ? Un des co-traitants cause un dommage à une personne en ne respectant pas la GDPR ? La personne peut lui demander l’indemnisation de la totalité du dommage qu’elle subi, même face à plusieurs « responsables conjoints » du traitement. Puis celui qui a payé peut « se retourner » judiciairement contre les autres (pour qu’ils cotisent chacun au remboursement du « payeur »…). Tout ça ne concerne pas la sanction pécuniaire à 2% CA / 10 millions ou 4% CA / 20 millions, on parle ici d’indemnisation judiciaire d’un préjudice subi et prouvable. La preuve de ce préjudice sera en réalité le seul frein du système GDPR, sauf à voir fleurir les actions collectives, en France comme en Europe d’ailleurs (voir le « bilan GDPR au 26 mai 2018 » en cliquant sur ce lien). Bref…

Seul bémol pour les « CO-responsables » ? L’organisation interne de la gestion des droits GDPR est inopposable aux personnes concernées. OK… je reprends ma phrase : quoi que prévoit le contrat de CO-traitance, les personnes dont les données sont traitées peuvent exercer leur droit d’accès, de rectification, d’opposition à prospection/profilage (etc.) auprès de l’un quelconque des CO-responsables. A charge pour celui qui reçoit la demande de répercuter aux autres CO-traitants les droits exercés (droit à notification aux destinataires des données » art.19 GDPR). C’est plus clair comme cela ?


RGPD-GDPR CJUE 5 juin 2018 responsabilité CONJOINTE et CO-traitance : qui est « producteur » de la base de données « commune » ???

Ici, on parle des bases de données numériques, que leur contenu soit constitué de données à caractère personnel ou de « data » d’un autre type. Ou des deux. C’est l’application de la Directive 96/9/CE du 11 mars 1996. Le « producteur » d’une base de données est la personne (souvent morale) qui prouve avoir investi en moyens « humain, matériel et financier » (L.341-1 CPI) en vue de la collecte et de la conservation du « contenu » d’une base de données (client / salariés / prospects / visiteurs web, abonnés / etc.).

S’il est producteur du contenu « à caractère personnel », le « responsable du traitement » peut autoriser un tiers contractant à « extraire » tout ou partie du contenu de sa base pour « exploiter » des données personnelles. Pour faire de la pub ciblée en ligne, par exemple… Celui qui traite pour des finalités définies par le « responsable du traitement ? C’est un sous-traitant (art.4.8 GDPR).

Alors, qui est « producteur » de la base de donnés des visiteurs d’un site web (de presse en ligne ou de e-commerce) (au hasard…) ? Le producteur, c’est la « marque » que recherche l’internaute ? La « marque » de l’administrateur de la « page fan » de Facebook comme dans l’arrêt de la CJUE du 5 juin 2018 ? J’ai franchement très envie de vous dire « évidemment ! », mais dans l’arrêt CJUE du 5 juin 2018, Facebook semble être le producteur « principal » du contenu de la base de données « visiteurs » (ce sont aussi (et d’abord ?) des visiteurs Facebook ???).

Interessons nous ici à l’affaire CJUE C‑210/16 « Wirtschaftsakademie » du 5 juin 2018.

CJUE 5 juin 2018 : le montage juridique et les flux de données.


CJUE 5 juin 2018 le problème : l’administrateur paramètre mais ne reçoit que les statistiques du traitement, PAS LES DONNEES !


OK… mais vous avez vu la liste des paramètres dont dispose l’administrateur ?


Le critère retenu pour requalifier le rôle de l’administrateur 


RGPD-GDPR CJUE 5 juin 2018 responsabilité CONJOINTE et CO-traitance : les conséquences de la requalification

Si vous n’en retenez qu’une, retenez celle-là : L’OBLIGATION D’INFORMATION (article 12 GDPR). Il faut officiellement informer les internautes que vous traitez VOUS AUSSI les données que vous recevez du service web de réseau social. MEME SI VOUS N’EN RECEVEZ QUE LE RESULTAT STATISTIQUE.


RGPD-GDPR CJUE 5 juin 2018 responsabilité CONJOINTE et CO-traitance : le critère de l’UE depuis 2010

L’avis wp169 du G.29 qui date du 16 février 2010 est très, très clair sur ce point : celui qui détermine une finalité est responsable du traitement de cette finalité. ET alors possiblement responsable CONJOINT d’un traitement – plus vaste – avec un autre responsable de traitement.

C’est ça, la décision de la CJUE du 5 juin 2018.

Et être « responsable », conjoint ou pas, « de traitement, » c’est supporter la charge de l’information des personnes dont les données sont traitées, les « personnes concernées » (« data subject » en Shakespeare dans le texte).  

RGPD-GDPR CJUE 5 juin 2018 responsabilité CONJOINTE et CO-traitance : le renvoi de la conséquence pratique à la juridiction nationale

Il est interessant de noter que la CJUE relève que « ni [l’administrateur de la page fan] ni Facebook n’informaient les visiteurs de la page fan que [Facebook] collectait, à l’aide de cookies, des informations à caractère personnel les concernant et qu’ils [l’administrateur de la page fan ET Facebook donc] traitaient ensuite [NDLT : « chacun »] ces informations » [NDLT : « pour une finalité propre à chacun »] .

Hélas, les conséquences en termes de condamnation ne sont pas du ressort de la CJUE, qui renvoie à la compétence des juridictions nationales (l’Allemagne en l’espèce). Comptez 12 à 24 mois ? (en Allemagne, la justice est rapide et prévisible, car les juges allemands appliquent la législation de l’Union Européenne – incroyable, non ?). Ce sera à la juridiction de renvoi de nous éclairer. J’espère qu’on recevra une traduction (au moins en anglais) de la décision de renvoi.


RGPD-GDPR CJUE 5 juin 2018 responsabilité CONJOINTE et CO-traitance : tout cela pour comprendre la notion de « finalité » d’un traitement

La notion de « finalité » d’un traitement n’est « officiellement » définie qu’à un seul et unique endroit : un document de travail (working paper) du 16 février 2010 produit par le Groupe article 29 (le groupe de toutes les autorités de contrôle de l’UE). Le « wp.169 » du 16 février 2010 dispose en substance que celui/celle qui définit la finalité d’un traitement est « responsable de traitement » de ce traitement précis. Certes, il faut aller lire les 38 pages pour le découvrir. Mais bon…


RGPD-GDPR CJUE 5 juin 2018 responsabilité CONJOINTE et CO-traitance : BONUS sur la « publicité ciblée en ligne »


Tant qu’à lire le wp.169 du 16 février 2010… ET PAF : trois pages sur la « publicité comportementale » ! Que retenir ?

Les « diffuseurs » (les éditeurs de site web avec contenu : presse, e-commerce, etc.) commercialisent des espaces publicitaires. Ils sont certainement « responsable de traitement » au titre de la finalité « faire de la pub ciblée en ligne ».

Là où le wp169 reste dans le flou allégorique, c’est lorsque on attaque la partie « les fournisseurs de réseaux publicitaires … remplissent ces espaces avec des publicités ciblées« . Et d’en tirer comme conclusion que « Le fournisseur de réseau publicitaire sera également responsable du traitement dès lors qu’il détermine les finalités (suivre les utilisateurs sur les différents sites web) ou les moyens essentiels du traitement de données. »

MAIS… qui sont ces mystérieux prestataires tous réfugiés (cachés ?) derrière la notion fourre-tout de « fournisseur de réseau publicitaire ». En 2010, date de signature du wp.169, un « réseau publicitaire », c’est par exemple Facebook ? Facebook affirme aujourd’hui publiquement être un « réseau social », pas un « réseau publicitaire ». Alors, qui sont ces « fournisseurs de réseau publicitaire » ? A l’époque de la vente aux enchères électroniques des espaces publicitaires en ligne pricés au « print », des DMP (« Data Managment Platform »), et des SSP (« Supply Side Platform »), il est compliqué de s’y retrouver.


RGPD-GDPR —> A SUIVRE : « responsable de traitement » ou « sous-traitant » ?

Que disait la Directive 95/46 et aujourd’hui la GDPR sur les notions de « responsable de traitement » et de « sous-traitant » ? Tant qu’à lire le wp.169 du 16 février 2010, profitons-en pour refaire un tour complet de la problématique. En fait, ma démarche n’est pas complètement innocente. Avec l’entrée en vigueur de la GDPR, nombre d’entreprises se sentent (enfin) directement concernées par ce choix de qualification (et ses conséquences). C’est avec l’élévation du niveau de sanction que certaines d’entre elles décident de réfléchir concrètement au problème. Car telle est (encore) la perception de cette législation pour beaucoup de professionnels : c’est un « problème ». [mise à jour du 21 juin 2018 : cliquez ici pour accéder à cette présentation spécifique]


Les perspectives d’un traitement massif de données personnelles : l’exemple du « crédit social » chinois

Je ne cesse de le dire, la protection des données personnelles est d’abord une révolution culturelle. Voulons-nous, nous les européens, d’un monde comme celui qui se dessine en Chine ? Lisez « En Chine, 1,4 milliard de suspects sous surveillance » dans les Echos du 6 juin 2018 et découvrez le « crédit social » made in 中华人民共和国 : 1,4 milliards de personnes dont les moindres comportements sont numérisés, stockés puis analysés/traités (en temps réel ou plus tard… un jour…) sans aucun droit à l’oubli – ni à l’erreur d’ailleurs.

Décidément, Rabelais avait raison !