Article 26 – Responsables conjoints du traitement

Article 26 - Responsables conjoints du traitement

1. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d'accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l'Union ou par le droit de l'État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l'accord.

2. L'accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l'accord sont mises à la disposition de la personne concernée.

3. Indépendamment des termes de l'accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard de et contre chacun des responsables du traitement.

En savoir plus...

L'article 26 met en œuvre le concept de contrôle conjoint dans les cas où deux responsables du traitement ou plus déterminent ensemble les finalités et les moyens du traitement.

L'objectif de cette disposition est de parvenir à une répartition claire des responsabilités au titre du RGPD entre les responsables conjoints du traitement. Par conséquent, les responsables conjoints du traitement doivent déterminer conjointement leurs responsabilités respectives en matière de conformité dans le cadre d'un accord conclu entre eux. La disposition permet également aux personnes concernées, qui ne doivent subir aucun désavantage du fait du contrôle conjoint, en exigeant la transparence et l'obligation de rendre compte lorsque plusieurs responsables du traitement s'engagent conjointement dans des opérations de traitement. Les personnes concernées doivent être informées de l'essence de cet accord afin de renforcer leur compréhension du traitement et de faciliter l'exercice de leurs droits à l'encontre de chaque responsable du traitement.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Modalités d'information des personnes afin de favoriser la transparence]
58. Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu'il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre.

[Claire répartition des responsabilités]
79. La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d'autres responsables du traitement, ou lorsqu'une opération de traitement est effectuée pour le compte d'un responsable du traitement.

Droit souple

Lignes directrices et recommandations

Guides pratiques

Documents anciens

Références

Cet article cite...

> Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

> Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

Cet article est cité par...

> Article 83 - Conditions générales pour imposer des amendes administratives

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Lien
MED-2020-040	LAPI Commune X	24/11/2020	2020	France	CNIL ou équivalent	Responsable de traitement	Administration	Responsabilités du traitement - Concession de service public - Qualification du concessionnaire - Qualification de l’autorité publique concédante	La qualification de responsable de traitement est reconnue au concessionnaire dès lors qu’il agit pour son propre compte avec une autonomie certaine sur les traitements des données d’usagers qu’il met en œuvre dans l’exécution de ses missions, en déterminant les finalités et les moyens essentiels du traitement. - Cependant, l’autorité publique concédante est également qualifiée de responsable des traitements des données à caractère personnel des usagers mis en œuvre par le concessionnaire dans le cadre de l’exécution du service, dès lors que le traitement de ces données est nécessaire à la satisfaction des finalités poursuivies par la collectivité et que cette dernière a substantiellement défini les traitements de données en cause et leurs conditions de réalisation par le concessionnaire, notamment à travers des clauses contractuelles ou des instructions précises quant à leur mise en œuvre durant l’exécution du contrat.	4, 24, 26	8ce5af29fdc1bba6fa462556f98ce0fb61c67e64	Non publié. Source: CNIL, Tables Informatique et Libertés
C-40/17	Fashion ID	29/07/2019	2019	Allemagne	Cour de Justice de l'UE	A classer	Technologie	Gestionnaire d’un site internet équipé du bouton « j’aime » de Facebook - Responsabilité conjointe entre le gestionnaire du site et Facebook - Admission	75. En l’occurrence, sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, il ressort du dossier dont dispose la Cour que, en ayant inséré sur son site Internet le bouton « j’aime » de Facebook, Fashion ID semble avoir offert la possibilité à Facebook Ireland d’obtenir des données à caractère personnel des visiteurs de son site Internet, une telle possibilité étant déclenchée dès le moment de la consultation d’un tel site, et ce indépendamment du fait que ces visiteurs soient membres du réseau social Facebook ou qu’ils aient cliqué sur le bouton « j’aime » de Facebook ou encore qu’ils aient connaissance d’une telle opération. - 76. Compte tenu de ces informations, il convient de constater que les opérations de traitement de données à caractère personnel dont Fashion ID est susceptible de déterminer, conjointement avec Facebook Ireland, les finalités et les moyens sont, au regard de la définition de la notion de « traitement à caractère personnel » figurant à l’article 2, sous b), de la directive 95/46, la collecte et la communication par transmission des données à caractère personnel des visiteurs de son site Internet.	24, 26	8ce5af29fdc1bba6fa462556f98ce0fb61c67e64	Cliquer pour accéder à la décision
C-25/17	Jehovan todistajat	10/07/2018	2018	Finlande	Cour de Justice de l'UE	A classer		Responsabilité conjointe - Obligation que chaque responsable de traitement participe de manière équivalente et/ou ait accès aux données et/ou ait donné des consignes écrites relatives aux traitements - Absence	66. L’objectif de cette disposition étant d’assurer, par une définition large de la notion de « responsable », une protection efficace et complète des personnes concernées, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce (voir, en ce sens, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, points 28, 43 et 44). [...] 75. Eu égard aux considérations qui précèdent, il convient de répondre aux troisième et quatrième questions que l’article 2, sous d), de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il permet de considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements.	24, 26	8ce5af29fdc1bba6fa462556f98ce0fb61c67e64	Cliquer pour accéder à la décision
C-210/16	Wirtschaftsakademie Schleswig-Holstein	05/06/2018	2018	Allemagne	Cour de Justice de l'UE	A classer	Technologie	Responsabilité conjointe - Obligation que chaque responsable de traitement ait accès aux données et/ou participe de manière équivalente - Absence	38. S’il est vrai que les statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée, il n’en demeure pas moins que l’établissement de ces statistiques repose sur la collecte préalable, au moyen de cookies installés par Facebook sur l’ordinateur ou sur tout autre appareil des personnes ayant visité cette page, et le traitement des données personnelles de ces visiteurs à de telles fins statistiques. En tout état de cause, la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées. [...] 43. Cela étant, il y a lieu de préciser, ainsi que l’a relevé M. l’avocat général aux points 75 et 76 de ses conclusions, que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce.	24, 26	8ce5af29fdc1bba6fa462556f98ce0fb61c67e64	Cliquer pour accéder à la décision
C-210/16	Wirtschaftsakademie Schleswig-Holstein	05/06/2018	2018	Allemagne	Cour de Justice de l'UE	A classer	Technologie	Gestionnaire d’une page hébergée sur un réseau social (Facebook) - Responsabilité conjointe entre le gestionnaire et le fournisseur du service - Admission	39. Dans ces circonstances, il y a lieu de considérer que l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement, au sens de l’article 2, sous d), de la directive 95/46.	24, 26	8ce5af29fdc1bba6fa462556f98ce0fb61c67e64	Cliquer pour accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

Note importante : Le flux RSS correpondant à cet article semble vide. Nous avons très récemment re-structuré la partie 'veille' afin de vous proposer des actualités plus précises sur le RGPD annoté, mais il va falloir un peu de temps pour 'remplir' la partie actualité de chaque article. En attendant, nous vous proposons le flux ci-dessous, qui utilise une catégorie plus large.

CNIL

02 janvier 2025

Certification RGPD des sous-traitants : la CNIL consulte sur un projet de référentiel d’évaluation Le sous-traitant et le responsable de traitement sont tenus à un certain nombre d’obligations en application du RGPD. Les obligations du sous-traitant concernent tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme (le responsable de traitement), […]

Disponible sur: veille.portail-rgpd.com

Comité européen sur la protection des données (EDPB)

03 décembre 2024

L’EDPB clarifie les règles relatives au partage de données avec les autorités de pays tiers et approuve la certification du sceau de protection des données. Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a publié des lignes directrices sur l’article 48 du RGPD (seulement disponibles en anglais pour […]

Disponible sur: veille.portail-rgpd.com

CNIL

21 novembre 2024

Non-désignation d’un délégué à la protection des données : clôture de la procédure à l’encontre de la commune de KOUROU La commune de KOUROU, comme toute autorité publique, a pour obligation de désigner un délégué à la protection des données (article 37 du RGPD). La CNIL lui avait rappelé cette obligation à plusieurs reprises, successivement […]

Disponible sur: veille.portail-rgpd.com

DPA (autorité grecque)

21 novembre 2024

Amende de 56 000 euros prononcée à l’encontre d’un club nautique traitant des données biométriques pour contrôler les accès Dans un communiqué publié ce jour, l’autorité a imposé une amende totale de 56 000 euros à l’encontre du Nautical Club of Vouliagmeni (N.O.V.), notamment pour avoir traité des données biométriques sans base légale et sans […]

Disponible sur: veille.portail-rgpd.com

UODO (autorité polonaise)

19 novembre 2024

Absence de nomination écrite et suffisamment claire d’un DPO : l’autorité polonaise sanctionne une entité publique Aujourd’hui, l’UODO a annoncé avoir imposé une amende administrative de 25 000 PLN (environ 5700 euros) contre l’inspecteur du contrôle des bâtiments du district de Częstochowa pour avoir omis de désigner un délégué à la protection des données et, […]

Disponible sur: veille.portail-rgpd.com

Comité européen sur la protection des données (EDPB)

09 octobre 2024

Le CEPD adopte un avis sur les sous-traitants, des lignes directrices sur l’intérêt légitime, une déclaration sur le projet de règlement relatif à l’application du RGPD et le programme de travail 2024-2025 Lors de sa dernière plénière, le Comité européen de la protection des données (CEPD) a adopté un certain nombre de documents : Le […]

Disponible sur: veille.portail-rgpd.com

CNIL

26 août 2024

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE […]

Disponible sur: veille.portail-rgpd.com

CJUE – Arrêt 461/22

11 juillet 2024

Curatelle: selon la CJUE, un ancien curateur traitant les données de la personne protégée doit être qualifié de responsable de traitement Dans un arrêt publié ce jour et à l’occasion d’une affaire opposant ce qui semble être des particuliers, la Cour de Justice de l’UE a été amenée à préciser si un ancien curateur ayant […]

Disponible sur: veille.portail-rgpd.com

CJUE – Arrêt C-604/22

07 mars 2024

Vente aux enchères des données à caractère personnel à des fins publicitaires: la Cour clarifie les règles sur la base du RGPD IAB Europe est une association sans but lucratif établie en Belgique qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen. IAB Europe a élaboré […]

Disponible sur: veille.portail-rgpd.com