arrow_back Retour à tous les articles

Article 26
Responsables conjoints du traitement

Textes
officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 26 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 26 keyboard_arrow_up

(79) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d'autres responsables du traitement, ou lorsqu'une opération de traitement est effectuée pour le compte d'un responsable du traitement.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 26.

Guidelines

Ici viendront les guidelines

Groupe 29

Guidelines on Personal data breach notification under Regulation 2016/679 (6 february 2018)

(Endorsed by the EDPB)

The General Data Protection Regulation (the GDPR) introduces the requirement for a personal data breach (henceforth “breach”) to be notified to the competent national supervisory authority (or in the case of a cross-border breach, to the lead authority) and, in certain cases, to communicate the breach to the individuals whose personal data have been affected by the breach.

Obligations to notify in cases of breaches presently exist for certain organisations, such as providers of publicly-available electronic communications services (as specified in Directive 2009/136/EC and Regulation (EU) No 611/2013). There are also some EU Member States that already have their own national breach notification obligation. This may include the obligation to notify breaches involving categories of controllers in addition to providers of publicly available electronic communication services (for example in Germany and Italy), or an obligation to report all breaches involving personal data (such as in the Netherlands). Other Member States may have relevant Codes of Practice (for example, in Ireland). Whilst a number of EU data protection authorities currently encourage controllers to report breaches, the Data Protection Directive 95/46/EC, which the GDPR replaces, does not contain a specific breach notification obligation and therefore such a requirement will be new for many organisations. The GDPR now makes notification mandatory for all controllers unless a breach is unlikely to result in a risk to the rights and freedoms of individuals. Processors also have an important role to play and they must notify any breach to their controller.

The Article 29 Working Party (WP29) considers that the new notification requirement has a number of benefits. When notifying the supervisory authority, controllers can obtain advice on whether the affected individuals need to be informed. Indeed, the supervisory authority may order the controller to inform those individuals about the breach. Communicating a breach to individuals allows the controller to provide information on the risks presented as a result of the breach and the steps those individuals can take to protect themselves from its potential consequences. The focus of any breach response plan should be on protecting individuals and their personal data. Consequently, breach notification should be seen as a tool enhancing compliance in relation to the protection of personal data. At the same time, it should be noted that failure to report a breach to either an individual or a supervisory authority may mean that under Article 83 a possible sanction is applicable to the controller.

Controllers and processors are therefore encouraged to plan in advance and put in place processes to be able to detect and promptly contain a breach, to assess the risk to individuals, and then to determine whether it is necessary to notify the competent supervisory authority, and to communicate the breach to the individuals concerned when necessary. Notification to the supervisory authority should form a part of that incident response plan.

The GDPR contains provisions on when a breach needs to be notified, and to whom, as well as what information should be provided as part of the notification. Information required for the notification can be provided in phases, but in any event controllers should act on any breach in a timely manner.

In its Opinion 03/2014 on personal data breach notification, WP29 provided guidance to controllers in order to help them to decide whether to notify data subjects in case of a breach. The opinion considered the obligation of providers of electronic communications regarding Directive 2002/58/EC and provided examples from multiple sectors, in the context of the then draft GDPR, and presented good practices for all controllers.

The current Guidelines explain the mandatory breach notification and communication requirements of the GDPR and some of the steps controllers and processors can take to meet these new obligations. They also give examples of various types of breaches and who would need to be notified in different scenarios.

Read the Guidelines

Le GDPR

L’article 26 du Règlement prévoit un régime juridique spécifique en cas d’identification des responsables du traitement conjoints.

Il précise d’abord -faisant double emploi avec ce qui est déjà prévu dans la définition du responsable du traitement (cfr article 4, 7)- les conditions d’application de cette qualification :  les responsables conjoints du traitement sont ceux qui, à deux ou plus, déterminent conjointement les finalités et les moyens du traitement (voir G29, avis du 16 février 2010 sur les notions de « responsable du traitement » et de « sous-traitant », p. 19 et suivantes)

Ces responsables conjoints doivent conclure un accord afin de définir de manière transparente leur responsabilité et rôle respectifs dans l’exécution des devoirs qui leur incombent en application du Règlement (par exemple, la répartition des tâches en cas d’exercice par les personnes concernées des droits prévus par le Règlement ou encore la communication des informations visées aux articles 13 et 14). Un point de contact unique doit être déterminé pour permettre de faciliter l’exercice des droits de la personne concernée (accès, rectification, etc.).

Le second paragraphe précise que cet accord doit être fidèle à la réalité à propos de leurs rôles respectifs et leurs relations vis-à-vis des personnes concernées. Un devoir de transparence est mis à charge des responsables qui doivent informer les personnes des « grandes lignes » de leur accord, de leur rôle respectif et de la relation avec elles.

Les responsables conjoints sont toutefois dispensés de conclure pareil accord si leurs obligations respectives sont définies par le droit de l'Union ou par le droit de l'État membre auquel les responsables du traitement sont soumis.

Bien entendu, la personne concernée peut exercer ses droits à l‘égard et contre de chacun des responsables, quels que soient les termes de la convention passée entre eux.

La Directive

Les définitions du responsable du traitement permettaient, depuis la Directive, de qualifier de « responsables conjoints » plusieurs personnes qui conjointement déterminaient les finalités et les moyens du traitement de la Directive ; art. 1, § 4 de la loi du 8 décembre 1992 ; art. 3, I de la loi Informatique et Libertés) . Ni la Directive, ni les législations belge et française ne prévoyaient un régime juridique spécifique en cas de pluralité de responsables du traitement.

Difficultés probables

Le Règlement n’apportera pas de réponse à l’identification de l’existence de deux ou plusieurs responsables conjoints, ce qui en pratique, reste difficile, notamment au regard des relations avec certains sous-traitants techniques. La frontière entre les deux concepts est, on le sait, parfois fort ténue (cfr l’affaire Swift).

Il reste aussi très imprécis quant au contenu de l’accord entre responsables conjoints. Cette imprécision se marque surtout dans la répartition des responsabilités entre responsables, qui n’indique pas jusqu’où ils pourront aller dans celle-ci.

Ainsi, on peut se demander si un responsable peut aller jusqu’à s’exonérer complètement de sa responsabilité à l’égard de l’autre (étant entendu qu’il ne pourrait le faire à l’égard de la personne concernée). La réponse pourra dépendre des régimes de responsabilité des droits nationaux qui peuvent imposer un partage plus précis. A ce propos, la disposition ne prend en considération que l’hypothèse où les responsables conjoints sont soumis au même droit national, ce qui en pratique ne sera souvent pas le cas.

Règlement
1e 2e

Art. 26

1. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d'accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l'Union ou par le droit de l'État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l'accord.

2. L'accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l'accord sont mises à la disposition de la personne concernée.

3. Indépendamment des termes de l'accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard de et contre chacun des responsables du traitement.

Proposition 1 close

Lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités, conditions et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d’accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée.

Proposition 2 close

1. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement de données à caractère personnel, ils sont les responsables conjoints du traitement. Ils définissent de manière transparente, par voie d'accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment (…) l'exercice des droits de la personne concernée et leurs obligations respectives quant à la communication des informations visées à l'article 14 et à l'article 14 bis, sauf si et dans la mesure où les obligations respectives des responsables du traitement sont définies par le droit de l'Union ou la législation de l'État membre à laquelle les responsables des données sont soumis. L'accord précise lequel des responsables conjoints sert de point de contact unique pour que les personnes concernées puissent exercer leurs droits.
 

2. Indépendamment des termes de l'accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard et contre chacun des (...) responsables du traitement.

3. L'accord reflète dûment les rôles effectifs respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées et ses grandes lignes sont mises à disposition de la personne concernée. Le paragraphe 2 ne s'applique pas lorsqu'il a été indiqué à la personne concernée, de manière transparente et sans ambiguïté, lequel des responsables conjoints a procédé au traitement, sauf si cet accord autre qu'un accord déterminé par le droit de l'Union ou la législation d'un État membre est abusif au regard des droits de la personne concernée (...).

Directive close

Absence de régime spécifique

France

Aucune disposition spécifique.

Art. 110-3

Du décret pris pour l'application de la loi n°78-17 du 6 janvier 1978.

Le 1 de l'article 26 du règlement (UE) 2016/679 du 27 avril 2016 précité est applicable en ce qu'il concerne l'exercice des droits de la personne concernée prévus par la section 3 du chapitre XIII de la loi du 6 janvier 1978 susvisée et la communication des informations visées à l'article 70-18 de la même loi.

Toutefois, la désignation, parmi les responsables conjoints du traitement, du point de contact pour les personnes concernées est obligatoire. Cette désignation doit être mentionnée dans l'acte instaurant le traitement, ou lorsque ce traitement n'est pas mis en œuvre pour le compte de l'Etat, dans l'accord conclu entre les responsables conjoints du traitement.

Si le point de contact n'a pas été désigné ou si sa désignation n'a pas été rendue publique, la personne concernée peut exercer ses droits à l'égard de et contre chacun des responsables du traitement.

Ancienne loi
en France
close

Absence de régime spécifique

Belgique

Absence de régime spécifique

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK