Responsables conjoints : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Les responsables conjoints du traitement, ou coresponsables, désignent au sens de l'article 26 du Règlement (UE) 2016/679 deux ou plusieurs responsables de traitement qui déterminent conjointement les finalités et les moyens d'un même traitement de données personnelles.

Les responsables conjoints du traitement, ou coresponsables, désignent au sens de l'article 26 du Règlement (UE) 2016/679 deux ou plusieurs responsables de traitement qui déterminent conjointement les finalités et les moyens d'un même traitement de données personnelles. Cette qualification, distincte de la responsabilité unique et de la sous-traitance, organise un régime de responsabilité partagée qui impose aux coresponsables des obligations spécifiques de transparence et de coordination.

L'enjeu pratique de la coresponsabilité est devenu central avec la jurisprudence extensive de la CJUE. Les arrêts Wirtschaftsakademie (5 juin 2018, C-210/16), Jehovan todistajat (10 juillet 2018, C-25/17) et Fashion ID (29 juillet 2019, C-40/17) ont consacré une lecture extensive qui peut surprendre les opérateurs économiques engagés dans des partenariats numériques apparemment marginaux. Cette jurisprudence impose une vigilance renouvelée pour tous les acteurs collaborant avec des plateformes, des partenaires marketing ou des prestataires technologiques.

L'article 26 du RGPD impose aux coresponsables de définir, de manière transparente, leurs obligations respectives par un accord écrit qui doit notamment couvrir l'exercice des droits de la personne concernée et la délivrance des informations prévues aux articles 13 et 14. La pratique a forgé une typologie d'accords de coresponsabilité dont la rédaction conditionne la sécurité juridique des partenariats concernés.

Vous souhaitez sécuriser une situation de coresponsabilité ? Le Cabinet Aurore Bonavia rédige et négocie les accords de coresponsabilité conformes au RGPD. → Voir l'accompagnement en droit du numérique

La définition de l'article 26

L'article 26 paragraphe 1 du RGPD définit la coresponsabilité :

« Lorsque deux responsables du traitement, ou plus, déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Ils définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d'accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l'Union ou par le droit de l'État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l'accord. »

Trois éléments structurent la qualification :

  • une détermination conjointe des finalités du traitement, c'est-à-dire que plusieurs entités décident ensemble pourquoi le traitement est effectué ;
  • une détermination conjointe des moyens essentiels du traitement, c'est-à-dire les choix structurants (catégories de données, durées de conservation, destinataires) ;
  • l'existence d'un même traitement identifié, plutôt que de traitements distincts opérés en parallèle par chaque entité.

La coresponsabilité ne suppose pas une participation égale de chaque entité aux décisions. Une entité peut jouer un rôle prépondérant et l'autre un rôle plus accessoire, sans que cela ne fasse disparaître la qualification de coresponsabilité.

Les arrêts CJUE consacrant une lecture extensive

Plusieurs arrêts CJUE ont consacré une lecture extensive de la coresponsabilité, qui surprend régulièrement les opérateurs économiques :

  • l'arrêt Wirtschaftsakademie du 5 juin 2018 (C-210/16) a qualifié de coresponsable l'administrateur d'une page Fan sur Facebook, au motif qu'il participait à la définition des finalités du traitement par le paramétrage des audiences cibles et l'analyse des statistiques. Cette qualification a déclenché une vague de mises en conformité chez les administrateurs de pages, qui devaient désormais formaliser un accord de coresponsabilité avec Facebook ;
  • l'arrêt Jehovan todistajat du 10 juillet 2018 (C-25/17) a qualifié de coresponsable une communauté religieuse dont les membres collectent des données dans le cadre de leur prosélytisme à domicile, dès lors que la communauté organisait, coordonnait et encourageait cette activité ;
  • l'arrêt Fashion ID du 29 juillet 2019 (C-40/17) a qualifié de coresponsable un éditeur de site web intégrant un bouton « j'aime » Facebook, au motif que cette intégration entraînait la collecte automatique de données par Facebook au profit de son propre traitement, et que l'éditeur en bénéficiait commercialement.

Cette jurisprudence a été précisée et confirmée par les arrêts ultérieurs (notamment CJUE 4 juillet 2023, Meta Platforms Ireland v. Bundeskartellamt, C-252/21). La pratique impose désormais aux opérateurs économiques une analyse juridique systématique de leurs partenariats numériques, pour identifier les situations de coresponsabilité et formaliser les accords correspondants.

Le contenu de l'accord de coresponsabilité

L'accord de coresponsabilité prévu à l'article 26 doit définir de manière transparente les obligations respectives des coresponsables. La pratique impose une rédaction couvrant typiquement les points suivants :

  • la description du traitement concerné et l'identification des coresponsables (raison sociale, coordonnées, point de contact) ;
  • les finalités poursuivies par chaque coresponsable et la nature de leur détermination conjointe ;
  • la répartition des obligations en matière d'information des personnes concernées (articles 13 et 14) ;
  • la répartition des obligations en matière d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition) ;
  • la gestion des violations de données affectant les données traitées dans le cadre de la coresponsabilité ;
  • l'organisation de la réalisation des analyses d'impact (AIPD) lorsque le traitement le justifie ;
  • les mesures de sécurité mises en œuvre par chaque coresponsable ;
  • les transferts internationaux éventuellement effectués et les garanties appropriées ;
  • la résolution des litiges entre coresponsables et la gestion des sanctions éventuelles.

L'article 26 paragraphe 2 du RGPD précise que les points essentiels de l'accord doivent être mis à la disposition des personnes concernées. Cette mise à disposition s'effectue typiquement par publication sur les sites web des coresponsables, dans une rubrique dédiée à la protection des données. L'article 26 paragraphe 3 du RGPD garantit par ailleurs aux personnes concernées la possibilité d'exercer leurs droits à l'égard de chacun des coresponsables, indépendamment de la répartition interne organisée par l'accord.

La responsabilité civile et administrative des coresponsables

L'article 82 du RGPD organise un régime de responsabilité civile spécifique aux coresponsables :

« Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

Lorsque plusieurs responsables de traitement sont impliqués dans le même traitement, l'article 82 paragraphe 4 du RGPD précise que chacun d'eux est tenu pour l'intégralité du dommage, afin de garantir à la personne concernée une réparation effective. Le coresponsable qui aura indemnisé l'intégralité du dommage peut ensuite récupérer la part correspondant à la responsabilité des autres coresponsables (article 82 paragraphe 5 du RGPD).

Cette solidarité externe vis-à-vis de la personne concernée constitue un risque juridique majeur pour les coresponsables. Un opérateur économique peut être tenu pour la totalité du dommage subi par une personne du fait d'un manquement principalement imputable à son partenaire, à charge pour lui de se retourner ensuite contre ce dernier. La rédaction de clauses internes de répartition des responsabilités et de garanties d'indemnisation entre coresponsables devient ainsi un enjeu central des accords.

Sur le plan administratif, chaque coresponsable peut être individuellement sanctionné par l'autorité de contrôle pour les manquements qui lui sont imputables. La pratique CNIL retient une analyse contextuelle, qui distingue les manquements communs (sanctionnables solidairement) et les manquements propres à chaque coresponsable (sanctionnables individuellement).

Spécificité juridique sur la distinction avec la sous-traitance

La distinction entre coresponsabilité et sous-traitance constitue l'un des points les plus délicats de la qualification juridique en matière RGPD. Le critère de distinction repose sur la détermination des finalités et des moyens :

  • le sous-traitant (article 4 paragraphe 8 du RGPD) traite des données pour le compte d'un responsable de traitement, sans déterminer lui-même les finalités ni les moyens essentiels ; il agit selon les instructions du responsable ;
  • le coresponsable participe à la détermination des finalités et des moyens essentiels, même de manière minoritaire ou indirecte.

La pratique impose une analyse fonctionnelle plutôt que formelle de la qualification. La rédaction d'un contrat de sous-traitance ne suffit pas à éviter la qualification de coresponsabilité si l'analyse révèle une participation effective du prétendu sous-traitant à la détermination des finalités et moyens. Inversement, une convention de partenariat peut relever de la sous-traitance si l'analyse révèle l'absence de participation effective d'une partie aux décisions structurantes.

L'EDPB a précisé dans ses Lignes directrices 07/2020 sur les notions de responsable et de sous-traitant les critères d'analyse de cette qualification. Plusieurs indices guident la pratique :

  • qui décide quelles catégories de personnes concernées sont visées par le traitement ?
  • qui décide quelles catégories de données sont collectées ?
  • qui décide les durées de conservation ?
  • qui décide les destinataires des données ?
  • qui détermine la base légale du traitement ?
  • qui exerce un contrôle sur l'application des instructions et la qualité du traitement ?

Lorsque ces décisions sont partagées entre plusieurs entités, la qualification de coresponsabilité s'impose en principe. Lorsqu'une seule entité conserve l'ensemble des décisions structurantes et que les autres se contentent d'exécuter selon ses instructions, la qualification de sous-traitance reste opérationnelle.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de responsables conjoints

  • l'analyse juridique de vos partenariats numériques pour identifier les situations de coresponsabilité ;
  • la rédaction et la négociation des accords de coresponsabilité conformes à l'article 26 du RGPD ;
  • la rédaction des clauses internes de répartition des responsabilités et de garanties d'indemnisation ;
  • la mise en place des dispositifs d'information et d'exercice des droits dans les situations de coresponsabilité ;
  • la défense face aux actions civiles fondées sur l'article 82 du RGPD dans les situations de coresponsabilité ;
  • la défense face aux contrôles CNIL portant sur l'identification et la formalisation des coresponsabilités ;
  • l'audit des partenariats numériques pour requalifier les situations de coresponsabilité non identifiées ;
  • l'articulation entre coresponsabilité, sous-traitance et autres mécanismes contractuels du RGPD ;
  • la formation des équipes juridiques et opérationnelles aux enjeux de la coresponsabilité.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 4.7, art. 4.8, art. 26, art. 82, art. 83, EDPB Lignes directrices 07/2020 sur les notions de responsable et de sous-traitant, jurisprudence CJUE 5 juin 2018 (Wirtschaftsakademie C-210/16), 10 juillet 2018 (Jehovan todistajat C-25/17), 29 juillet 2019 (Fashion ID C-40/17), 4 juillet 2023 (Meta Platforms Ireland C-252/21). Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.