Relations contractuelles et notion de responsabilité du traitement
Arrêt du Tribunal administratif fédéral autrichien W274 2239030–1 du 3 octobre 2022
Lors d’un festival annuel, une foule de personnes fait l’objet d’un traitement de données. En effet, la Municipalité de la ville mandate l’entreprise A. pour l’organisation de son festival et le comptage des visiteurs. Celle-ci engage à son tour par l’intermédiaire de l’entreprise B., actionnaire unique et gérante de A., l’entreprise C. active dans la gestion d’espace public et de comptage de personnes.
Cette collecte de données est réalisée au moyen d’un système de caméras de surveillance placé à chaque entrée du festival. Les informations collectées sont filtrées en deux catégories : âge et sexe. Les personnes concernées, filmées à leur insu, contestent que leur droit à être informé a été restreint par les responsables du traitement et sous-traitants.
Les personnes concernées demandent à recevoir une copie de leurs données personnelles conformément à l’art. 15 RGPD et à limiter le traitement ultérieur conformément à l’art. 18 par. 1 RGPD. Il leur est répondu que les enregistrements n’étaient pas de nature à permettre une identification des personnes puisque seul le bas du corps était filmé. En addition, les personnes concernées sont informées que les enregistrements ont été supprimés. Les personnes concernées déposent alors une plainte auprès de l’Autorité autrichienne de protection des données.
Les entreprises A, B et C nient leur qualité de responsables du traitement au sens de l’art. 4 par. 7 RGPD. Cet article prévoit qu’est responsable
« la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
Les entreprises font valoir qu’elles organisent le festival et traitent ces données dans le cadre du contrat de mandat avec la Municipalité de la ville. Selon leur argument, seule la Municipalité doit être considérée comme le responsable du traitement. Or, la Municipalité a antérieurement résilié le contrat initial avec l’entreprise A. Les entreprises ont donc saisi le tribunal régional dans une procédure distincte pour contester la validité de cette résiliation.
En conséquence et conformément à son droit, l’Autorité de protection des données suspend la procédure de plainte devant elle jusqu’à ce que le Tribunal régional ait tranché la question de savoir si les défendeurs avaient agi sur la base d’un contrat valide avec la Municipalité. Elle estime que la validité du contrat est une question préliminaire essentielle pour établir la responsabilité du traitement conformément à l’art. 4 par. 7 RGPD.
Suivant la suspension de la procédure de plainte, les personnes concernées recourent contre cette décision auprès du Tribunal administratif fédéral d’Autriche. Elles font valoir que la question de savoir qui a donné l’ordre de traiter les données au moyen de la vidéosurveillance n’est qu’une question secondaire dans la procédure devant le Tribunal régional. Par conséquent, ces conclusions ne peuvent pas être contraignantes pour la procédure de plainte devant l’Autorité de protection des données d’Autriche.
Dans son arrêt, le Tribunal administratif fédéral d’Autriche estime qu’il est devenu évident, au cours des différentes procédures, que les entreprises A, B et C contrôlaient en pratique le traitement des données. Il en ressort que les trois entreprises doivent être considérées individuellement comme des responsables du traitement.
En outre, la décision de l’Autorité de suspendre la procédure de plainte ne précise pas en quoi la responsabilité de A, B ou C serait atténuée par la validité ou non de la résiliation du contrat.
Même en identifiant la partie qui a ordonné le comptage des visiteurs (in casu, l’adjoint au maire de la Municipalité), ses connaissances ou son mandat public n’auraient pas d’incidence sur le statut de responsables du traitement des données des défendeurs en raison de leur contrôle sur le traitement des données dans les faits.
Conséquemment, le Tribunal administratif fédéral d’Autriche a jugé qu’il n’existait aucun motif valable pour suspendre la procédure de plainte. Il annule la décision et ordonne la reprise de la procédure par l’Autorité de protection des données d’Autriche.
Ce jugement souligne l’un des éléments importants pour différencier le rôle du responsable du traitement de celui des autres acteurs. En effet, le responsable du traitement est celui qui « détermine » les finalités et moyens du traitement. Partant, il faut s’intéresser à l’influence du responsable sur le traitement par l’exercice d’un pouvoir décisionnel (CEPD, Lignes directrices 07/2020, p. 20 ss).
Comme le relève le CEPD, l’exercice d’un pouvoir décisionnel est « (…) notion fonctionnelle qui repose sur une analyse factuelle plutôt que formelle » (CEPD, Lignes directrices 07/2020, p. 21). Le contrôle sur le traitement de données peut découler tant de dispositions légales que d’une influence factuelle. En l’espèce, le Tribunal administratif fédéral d’Autriche a usé de la deuxième hypothèse en appréciant les circonstances du cas d’espèce.
Le CEPD confirme cette approche en rappelant que les différents rôles peuvent changer en fonction de l’activité spécifique analysée. Il rappelle que l’examen des clauses contractuelles est un élément pouvant faciliter l’identification du responsable. Cependant, elles ne sont pas toujours déterminantes. Elles ne permettent pas aux parties de répartir la responsabilité comme elles l’entendent. Il n’est donc pas possible de devenir responsable du traitement ou sous-traitant et de se soustraire aux obligations respectives, en formulant le contrat d’une certaine manière alors que les faits indiqueraient autre chose.
Proposition de citation : David Dias Matos, Relations contractuelles et notion de responsabilité du traitement, 27 février 2023 in www.swissprivacy.law/204
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.