Article 26 – Responsables conjoints du traitement

Article 26 - Responsables conjoints du traitement

1. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d'accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l'Union ou par le droit de l'État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l'accord.

2. L'accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l'accord sont mises à la disposition de la personne concernée.

3. Indépendamment des termes de l'accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard de et contre chacun des responsables du traitement.

En savoir plus...

L'article 26 met en œuvre le concept de contrôle conjoint dans les cas où deux responsables du traitement ou plus déterminent ensemble les finalités et les moyens du traitement.

L'objectif de cette disposition est de parvenir à une répartition claire des responsabilités au titre du RGPD entre les responsables conjoints du traitement. Par conséquent, les responsables conjoints du traitement doivent déterminer conjointement leurs responsabilités respectives en matière de conformité dans le cadre d'un accord conclu entre eux. La disposition permet également aux personnes concernées, qui ne doivent subir aucun désavantage du fait du contrôle conjoint, en exigeant la transparence et l'obligation de rendre compte lorsque plusieurs responsables du traitement s'engagent conjointement dans des opérations de traitement. Les personnes concernées doivent être informées de l'essence de cet accord afin de renforcer leur compréhension du traitement et de faciliter l'exercice de leurs droits à l'encontre de chaque responsable du traitement.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Modalités d'information des personnes afin de favoriser la transparence]
58. Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu'il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre.

[Claire répartition des responsabilités]
79. La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d'autres responsables du traitement, ou lorsqu'une opération de traitement est effectuée pour le compte d'un responsable du traitement.

Droit souple

Lignes directrices et recommandations

> CEPD - Lignes directrices 07/2020 - Concepts de responsable de traitement et de sous-traitant

07 juillet 2021, v2.0

Guides pratiques

> CNIL - Guide pratique - Commande publique : responsabilité des acteurs

2 juin 2022

Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !

Références

Cet article cite...

> Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

> Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

Cet article est cité par...

> Article 83 - Conditions générales pour imposer des amendes administratives

En savoir plus...

Droit souple (sectoriel ou transversal)

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année :

Autorité :

Thème :

Secteur :

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Lien
SAN-2023-009	Criteo	15/06/2023	2023	France	CNIL ou équivalent	Responsable de traitement	Marketing et prospection	Responsabilité conjointe - Collecte du consentement pour le compte de sociétés partenaires - Obligation du responsable de traitement ne collectant pas le consentement d’être en mesure de démontrer que la personne concernée a donné son consentement	60. Précisément, elle remarque, en l’occurrence, que la société s’est organisée d’une telle façon avec ses partenaires que les conditions générales d’utilisation des services Criteo, auxquelles les partenaires de la société ont adhéré, précisent qu’il revient bien au partenaire de recueillir le consentement de la personne concernée pour le traitement subséquent opéré à partir des données collectées par ce cookie. 61. La formation restreinte estime cependant que le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revienne aux partenaires n’exonère pas la société de son obligation, en application de l’article 7 du RGPD, d’être en mesure de démontrer que la personne concernée a donné son consentement.	7, 26	8ce5af29fdc1bba6fa462556f98ce0fb61c67e64	Accéder à la décision
MED-2020-040	LAPI Commune X	24/11/2020	2020	France	CNIL ou équivalent	Responsable de traitement	Administration	Responsabilités du traitement - Concession de service public - Qualification du concessionnaire - Qualification de l’autorité publique concédante	La qualification de responsable de traitement est reconnue au concessionnaire dès lors qu’il agit pour son propre compte avec une autonomie certaine sur les traitements des données d’usagers qu’il met en œuvre dans l’exécution de ses missions, en déterminant les finalités et les moyens essentiels du traitement. Cependant, l’autorité publique concédante est également qualifiée de responsable des traitements des données à caractère personnel des usagers mis en œuvre par le concessionnaire dans le cadre de l’exécution du service, dès lors que le traitement de ces données est nécessaire à la satisfaction des finalités poursuivies par la collectivité et que cette dernière a substantiellement défini les traitements de données en cause et leurs conditions de réalisation par le concessionnaire, notamment à travers des clauses contractuelles ou des instructions précises quant à leur mise en œuvre durant l’exécution du contrat.	4, 24, 26	8ce5af29fdc1bba6fa462556f98ce0fb61c67e64	Non publié. Source: CNIL, Tables Informatique et Libertés
C-40/17	Fashion ID	29/07/2019	2019	Allemagne	Cour de Justice de l'UE	A classer	Technologie	Gestionnaire d’un site internet équipé du bouton « j’aime » de Facebook - Responsabilité conjointe entre le gestionnaire du site et Facebook - Admission	75. En l’occurrence, sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, il ressort du dossier dont dispose la Cour que, en ayant inséré sur son site Internet le bouton « j’aime » de Facebook, Fashion ID semble avoir offert la possibilité à Facebook Ireland d’obtenir des données à caractère personnel des visiteurs de son site Internet, une telle possibilité étant déclenchée dès le moment de la consultation d’un tel site, et ce indépendamment du fait que ces visiteurs soient membres du réseau social Facebook ou qu’ils aient cliqué sur le bouton « j’aime » de Facebook ou encore qu’ils aient connaissance d’une telle opération. 76. Compte tenu de ces informations, il convient de constater que les opérations de traitement de données à caractère personnel dont Fashion ID est susceptible de déterminer, conjointement avec Facebook Ireland, les finalités et les moyens sont, au regard de la définition de la notion de « traitement à caractère personnel » figurant à l’article 2, sous b), de la directive 95/46, la collecte et la communication par transmission des données à caractère personnel des visiteurs de son site Internet.	24, 26	8ce5af29fdc1bba6fa462556f98ce0fb61c67e64	Accéder à la décision
C-25/17	Jehovan todistajat	10/07/2018	2018	Finlande	Cour de Justice de l'UE	A classer		Responsabilité conjointe - Obligation que chaque responsable de traitement participe de manière équivalente et/ou ait accès aux données et/ou ait donné des consignes écrites relatives aux traitements - Absence	66. L’objectif de cette disposition étant d’assurer, par une définition large de la notion de « responsable », une protection efficace et complète des personnes concernées, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce (voir, en ce sens, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, points 28, 43 et 44). [...] 75. Eu égard aux considérations qui précèdent, il convient de répondre aux troisième et quatrième questions que l’article 2, sous d), de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il permet de considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements.	24, 26	8ce5af29fdc1bba6fa462556f98ce0fb61c67e64	Accéder à la décision
C-210/16	Wirtschaftsakademie Schleswig-Holstein	05/06/2018	2018	Allemagne	Cour de Justice de l'UE	A classer	Technologie	Responsabilité conjointe - Obligation que chaque responsable de traitement ait accès aux données et/ou participe de manière équivalente - Absence	38. S’il est vrai que les statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée, il n’en demeure pas moins que l’établissement de ces statistiques repose sur la collecte préalable, au moyen de cookies installés par Facebook sur l’ordinateur ou sur tout autre appareil des personnes ayant visité cette page, et le traitement des données personnelles de ces visiteurs à de telles fins statistiques. En tout état de cause, la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées. [...] 43. Cela étant, il y a lieu de préciser, ainsi que l’a relevé M. l’avocat général aux points 75 et 76 de ses conclusions, que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce.	24, 26	8ce5af29fdc1bba6fa462556f98ce0fb61c67e64	Accéder à la décision
C-210/16	Wirtschaftsakademie Schleswig-Holstein	05/06/2018	2018	Allemagne	Cour de Justice de l'UE	A classer	Technologie	Gestionnaire d’une page hébergée sur un réseau social (Facebook) - Responsabilité conjointe entre le gestionnaire et le fournisseur du service - Admission	39. Dans ces circonstances, il y a lieu de considérer que l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement, au sens de l’article 2, sous d), de la directive 95/46.	24, 26	8ce5af29fdc1bba6fa462556f98ce0fb61c67e64	Accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

Note: le flux RSS correpondant à cet article semble vide. Nous vous proposons donc le flux ci-dessous, qui utilise un filtre plus large.

CNIL

20 mars 2025

Conformité et sécurité des dossiers médicaux : la CNIL lance une consultation publique sur un projet de recommandation

À la suite de contrôles et de mises en demeure de plusieurs établissements de santé, la CNIL a élaboré un projet de recommandation pour la conformité et la sécurité du dossier patient informatisé (DPI). Le document, qui rappelle également les règles applicables, est soumis à consultation publique jusqu [...]

AEPD (autorité espagnole)

18 mars 2025

En Espagne, la banque Caixa condamnée à une amende de 3,5 millions d’euros suite à une violation: une mère accédait au compte commun entre son enfant et un tiers

L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de CAIXABANK, S.A. en lien avec une fuite de données personnelles. Cette procédure fait suite à une réclamation portant sur le [...]

AEPD (autorité espagnole)

18 mars 2025

Une commune condamnée pour absence de désignation d’un DPO mais pas d’amende à la clef

L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre du « Conseil municipal de Lardero » pour ne pas avoir désigné et notifié son Délégué à la Protection des Données (DPD) à l’autorité de contrôle, en violation de l’article 37 du RGPD. [...]

DPA (autorité grecque)

15 mars 2025

Une entreprise condamnée à une amende de 45 000 euros pour l’envoi de SMS non sollicités et le manque de coopération

L’Autorité hellénique de protection des données personnelles a, ce vendredi, publié une décision condamnant «ΑΝΟΙΞΙΣ» (ANOIXIS) à une amende de 45 000 euros en raison de l’envoi de SMS non sollicités et de son manque de coopération. Les 15 plaignants ont signalé avoir reçu des SMS promou [...]

APD (autorité belge)

15 mars 2025

Un sauna érotique reçoit un avertissement en raison des données traitées dans son livre d’or (mais pas que!)

La Chambre des litiges de l’Autorité belge de protection des données (GBA) a, ce vendredi, adressé un avertissement à un sauna érotique en raison de manquements en matière de licéité du traitement des données de son livre d’or. L’affaire commence par une plainte déposée en octobre 2019 par [...]

Datatilsynet (autorité norvégienne)

15 mars 2025

345 000 euros d’amende pour manquements concernant le rôle du délégué à la protection des données et le contrôle interne.

Ce vendredi, l’autorité norvégienne a annoncé avoir imposé une amende de 4M de couronnes (soit environ 345 000 euros) à Telenor ASA en raison de l’absence d’indépendance de leur DPO.
L’autorité note, en particulier, que que:
* L’indépendance du DPO n&rs [...]

UODO (autorité polonaise)

12 mars 2025

Amende prononcée contre une radio polonaise pour l’absence de procédures protégeant les droits des protagonistes des publications

L’autorité polonaise a aujourd’hui publié un communiqué de presse annonçant la condamnation de la radio Szcezin en raison de l’absence de procédures protégeant les droits des personnes concernées par les publications même lorsqu’il ne s’agit pas de personna [...]

DVI (autorité lettonne)

06 mars 2025

La DVI élabore une liste de traitements pour lesquels une AIPD n’est pas nécessaire

Comme nous l’avons déjà informé, l’Inspection nationale des données a élaboré et publié des directives intitulées « Évaluation de l’impact sur la protection des données », qui offrent une approche pragmatique et claire pour l’identification et la gestion des risques, aidant à comprendre quand et comment effe [...]

AEPD (autorité espagnole)

04 mars 2025

Violation de données de santé : GETECCU sanctionné par l’AEPD

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre du « Groupe de travail espagnol sur la maladie de Crohn et la colite ulcéreuse » (GETECCU) suite à une faille de sécurité majeure ayant compromis des données de santé de patients dans le cadre d’un projet de recherche scientifique. L’incident a été détecté le 14 [...]

AEPD (autorité espagnole)

03 mars 2025

Utilisation illégale de la biométrie pour l’accès aux stades : La Liga sanctionnée à 10 millions d’euros d’amende par l’AEPD

Vendredi, l’Agence Espagnole de Protection des Données (AEPD) a sanctionné la Liga Nacional de Fútbol Profesional (LNFP) pour l’implantation de systèmes de reconnaissance biométrique visant à contrôler l’accès aux « gradas de animación » des stades de football. L’affaire a débuté après [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu