La Cour de justice de l’Union européenne se prononce sur la responsabilité des responsables de traitement conjoints

Dans l’affaire C-683/21, rendue le 5 décembre 2023, la Cour de Justice de l’Union européenne a été amenée à clarifier la notion de responsabilité conjointe des responsables de traitement et leur étendue.

I.          Faits

Au mois de mars 2020, le Centre national de santé publique auprès du ministère de la Santé de Lituanie (NVSC) avait mandaté une société avec pour mission de développer une application de traçabilité des personnes touchées par le COVID-19. Plusieurs échanges ont ensuite eu lieu entre les parties relatifs aux attentes du NVSC quant à cette application.

Cette application a été mise en ligne auprès de Google Playstore et de l’App Store entre les 4 avril et 20 mai 2020.

Faute de moyens financiers suffisants, le NVSC a toutefois informé le 15 mai 2020 la société mandatée qu’elle n’était plus en mesure d’acquérir l’application, et invité la société à ne plus la mentionner d’aucune manière dans l’application en cause.

L’autorité de protection des données lituaniennes ayant considéré que l’exploitation de cette application menait à un traitement de données personnelles ne satisfaisant pas aux exigences posées par le RGDP, elle a condamné le NVSC au versement d’une amende de 12’000 euros.

Le NVSC a contesté cette décision devant le tribunal administratif régional de Vilnius en faisant valoir le fait que la société de développement devait être seule considérée comme responsable du traitement. Dite société considérait pour sa part qu’elle n’avait agi qu’en qualité de sous-traitant, sur les instructions du NVSC.

La juridiction de renvoi avait retenu les faits suivants :

• le NVSC avait conseillé la société de développement quant aux questions devant être posées aux utilisateurs pour mettre en œuvre les objectifs qu’il cherchait à atteindre au travers du développement de l’application ;
• le NVSC n’avait pas consenti ni autorisé la mise à disposition de l’application sur les boutiques en ligne susmentionnées ;
• Il n’existait aucun contrat de marché public entre le NVSC et la société de développement, la procédure y relative ayant pris fin faute de financement possible.

La question soumise à la CJUE consistait à savoir si le NVSC devait en dépit de ce contexte être considéré comme un responsable de traitement.

II.          Considérants

Sans surprise, la Cour retient que :

• la simple désignation du NVSC comme « responsable de traitement » dans la politique de protection de la vie privée de l’application mobile ne lie évidemment pas le juge ;
• le fait que le NVSC n’ait pas lui-même traité de données à caractère personnel et que ce traitement ait eu lieu au travers de la société de développement n’implique pas pour autant qu’il ne puisse être responsable de traitement ;
• peu importe qu’il n’ait pas existé de contrat entre ces entités, un tel contrat n’étant pas une condition impérative pour retenir la qualification de responsables de traitement conjoint et n’ayant pas d’effet constitutif ;
• peu importe enfin que le NVSC n’ait pas acquis l’application mobile ne cause et n’en ait pas autorisé la mise en ligne sur les boutiques susmentionnés.
• Seul importe le fait que le NVSC a chargé une entreprise de développer une application mobile en ayant clairement participé à la détermination de la finalité et des moyens du traitement et ne s’est pas expressément opposée à sa mise en ligne et au traitement qui en résultait (lequel traitement a eu lieu au travers de la société de développement pour le compte du NVSC selon la Cour).

La Cour en conclut que le NVSC est bien un responsable conjoint de traitement (la société de développement ayant par ailleurs procédé à certains traitements à ses propres fins).

A cet égard, la Cour relève que la responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Ces opérateurs peuvent être impliqués à différents stades de traitement et selon différents degrés, entraînant un niveau de responsabilité différent.

Le responsable peut ainsi être tenu non seulement en raison des traitements qu’il effectue lui-même, mais également pour ceux réalisés par une tierce entité pour son compte, telle l’hypothèse d’un sous-traitant.

III.          Commentaire

Au final, la décision de la CJUE ne surprend pas. Un tribunal suisse saisi des mêmes faits aboutirait à mon sens aux mêmes conclusions en application de la loi fédérale sur la protection des données.

Celui qui mandate une société informatique visant à un développement spécifique dont il définit la finalité apparaît donc comme un responsable de traitement, quand bien même la société serait ensuite en droit d’exploiter elle-même ledit développement ou assurerait le traitement des données en découlant pour le compte de l’entreprise l’ayant mandatée à cet effet.

L’adoption d’un contrat délimitant clairement les rôles et les responsabilités est donc d’autant plus important en cas de responsabilité conjointe.

On soulignera également que dans l’éventuelle renonciation par le mandant audit développement, en particulier s’il s’agit d’une entité publique, ne suffit pas à exclure sa qualité de responsable s’il tolère la mise sur le marché du développement dont il a déterminé la finalité et les moyens. Il est alors important qu’il se dissocie clairement du développement en interdisant sa mise sur le marché.