CJUE « Wirtschaftsakademie » 5 juin 2018 : commentaire sur la notion de responsabilité solidaire

Le 5 juin 2018, la CJUE a adopté un arrêt [1]CJUE 5 juin 2018 « Wirtschaftsakademie » Aff. C-210/16 qui porte sur deux aspects principaux :

  • La notion de responsabilité conjointe du traitement de données à caractère personnel
  • La détermination de l’autorité de contrôle compétente lorsqu’une entreprise dispose de plusieurs établissements sur le territoire de l’Union

Notons que cet arrêt se base sur la Directive 95/46/CE, désormais remplacée par le Règlement général de protection des données 2016/679/UE (RGPD pour les intimes). Or, ce dernier modifie substantiellement les règles sur la détermination du droit national applicable, sur la détermination l’autorité de contrôle compétente, et sur les critères de détermination du champ d’application territorial. Il n’en sera donc pas question dans ce court commentaire d’arrêt.

L’autre importante nouveauté qu’apporte l’arrêt « Wirtschaftsakademie » est que selon la CJUE, un administrateur de page fan sur Facebook est co-responsable du traitement avec Facebook.

Qu’on se rassure, la Cour précise bien qu’un utilisateur normal de Facebook n’est pas co-responsable. Cependant : « il y a lieu de considérer que l’administrateur d’une page hébergée sur Facebook […] participe, par son action de paramétrage […] à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan » [2]CJUE 5 juin 2018 « Wirtschaftsakademie » Aff. C-210/16, pt. 39.

Ceci correspond au régime de responsabilité conjointe défini dans le RGPD à l’article 26 du RGPD.

Cet article 26 dit que :

« Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement » [3]Art 26 (1) RGPD

Cet article fait dire à de nombreux commentateurs, en tout cas en France, que simplement parce qu’il y a responsabilité conjointe de traitement, il y aurait responsabilité solidaire, par exemple en cas de sanction administrative. C’est ce qu’on peut lire par exemple dans cet article publié par une initiative conjointe entre plusieurs cabinets de conseil.

S’ils avaient raison, cela voudrait dire que l’administrateur d’une page fan sur Facebook pourrait être poursuivi de façon solidaire avec Facebook au même titre que ce dernier. Une perspective quelque peu alarmante !

Rassurons-nous.

D’une part, l’article 83 du RGPD prévoit que les sanctions administratives doivent prendre en compte de nombreux facteurs, parmi lesquels le chiffre d’affaire du responsable du traitement individuel. Les sanctions ne peuvent donc pas être collectivement appliquées selon un même montant à Facebook et à l’administrateur d’une page fan. De toutes façons, l’article 83 du RGPD ne prévoit pas de régime de sanctions solidaires pour les responsables conjoints d’un même traitement.

D’autre part, comme le précisait l’avocat général dans ses conclusions :

« L’existence d’une responsabilité conjointe ne signifie pas une responsabilité sur un pied d’égalité. Au contraire, les différents responsables du traitement peuvent être impliqués dans un traitement de données à caractère personnel à différents stades et à différents degrés » [4]Conclusions de l’avocat général M. Yves Bot dans l’affaire C-210/16, pt. 75

La CJUE a suivi cet avis en inventant la notion de « responsabilité à titre principal » pour désigner Facebook dans cette affaire [5]CJUE 5 juin 2018 « Wirtschaftsakademie » Aff. C-210/16, pt. 30, et en précisant plus loin que :

« L’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce » [6]CJUE 5 juin 2018 « Wirtschaftsakademie » Aff. C-210/16, pt. 43

 

Comme cette jurisprudence est parfaitement compatible avec le RGPD, la notion de responsabilité conjointe n’étant pas une nouveauté, mais la consécration en droit positif d’une doctrine du Groupe de travail de l’Article 29 [7]Avis 1/2010 du G29, p. 20 et 21, il n’y a pas de raison que la CJUE revienne sur son interprétation. Ce qui éloigne considérablement le spectre, en tout cas en vertu du droit de l’Union, d’une responsabilité solidaire des responsables conjoints d’un même traitement, sans tenir compte des circonstances de l’espèce.

 

Pour aller plus loin :

Télécharger la dernière version du guide de la jurisprudence

1 CJUE 5 juin 2018 « Wirtschaftsakademie » Aff. C-210/16
2 CJUE 5 juin 2018 « Wirtschaftsakademie » Aff. C-210/16, pt. 39
3 Art 26 (1) RGPD
4 Conclusions de l’avocat général M. Yves Bot dans l’affaire C-210/16, pt. 75
5 CJUE 5 juin 2018 « Wirtschaftsakademie » Aff. C-210/16, pt. 30
6 CJUE 5 juin 2018 « Wirtschaftsakademie » Aff. C-210/16, pt. 43
7 Avis 1/2010 du G29, p. 20 et 21

Laisser un commentaire