Arrêt du Tribunal admi­nis­tra­tif fédé­ral autri­chien W274 2239030–1 du 3 octobre 2022

Lors d’un festi­val annuel, une foule de personnes fait l’objet d’un trai­te­ment de données. En effet, la Municipalité de la ville mandate l’entreprise A. pour l’organisation de son festi­val et le comp­tage des visi­teurs. Celle-ci engage à son tour par l’intermédiaire de l’entreprise B., action­naire unique et gérante de A., l’entreprise C. active dans la gestion d’espace public et de comp­tage de personnes.

Cette collecte de données est réali­sée au moyen d’un système de camé­ras de surveillance placé à chaque entrée du festi­val. Les infor­ma­tions collec­tées sont filtrées en deux caté­go­ries : âge et sexe. Les personnes concer­nées, filmées à leur insu, contestent que leur droit à être informé a été restreint par les respon­sables du trai­te­ment et sous-traitants.

Les personnes concer­nées demandent à rece­voir une copie de leurs données person­nelles confor­mé­ment à l’art. 15 RGPD et à limi­ter le trai­te­ment ulté­rieur confor­mé­ment à l’art. 18 par. 1 RGPD. Il leur est répondu que les enre­gis­tre­ments n’étaient pas de nature à permettre une iden­ti­fi­ca­tion des personnes puisque seul le bas du corps était filmé. En addi­tion, les personnes concer­nées sont infor­mées que les enre­gis­tre­ments ont été suppri­més. Les personnes concer­nées déposent alors une plainte auprès de l’Autorité autri­chienne de protec­tion des données.

Les entre­prises A, B et C nient leur qualité de respon­sables du trai­te­ment au sens de l’art. 4 par. 7 RGPD. Cet article prévoit qu’est responsable

« la personne physique ou morale, l’au­to­rité publique, le service ou un autre orga­nisme qui, seul ou conjoin­te­ment avec d’autres, déter­mine les fina­li­tés et les moyens du trai­te­ment ».

Les entre­prises font valoir qu’elles orga­nisent le festi­val et traitent ces données dans le cadre du contrat de mandat avec la Municipalité de la ville. Selon leur argu­ment, seule la Municipalité doit être consi­dé­rée comme le respon­sable du trai­te­ment. Or, la Municipalité a anté­rieu­re­ment rési­lié le contrat initial avec l’entreprise A. Les entre­prises ont donc saisi le tribu­nal régio­nal dans une procé­dure distincte pour contes­ter la vali­dité de cette résiliation.

En consé­quence et confor­mé­ment à son droit, l’Autorité de protec­tion des données suspend la procé­dure de plainte devant elle jusqu’à ce que le Tribunal régio­nal ait tran­ché la ques­tion de savoir si les défen­deurs avaient agi sur la base d’un contrat valide avec la Municipalité. Elle estime que la vali­dité du contrat est une ques­tion préli­mi­naire essen­tielle pour établir la respon­sa­bi­lité du trai­te­ment confor­mé­ment à l’art. 4 par. 7 RGPD.

Suivant la suspen­sion de la procé­dure de plainte, les personnes concer­nées recourent contre cette déci­sion auprès du Tribunal admi­nis­tra­tif fédé­ral d’Autriche. Elles font valoir que la ques­tion de savoir qui a donné l’ordre de trai­ter les données au moyen de la vidéo­sur­veillance n’est qu’une ques­tion secon­daire dans la procé­dure devant le Tribunal régio­nal. Par consé­quent, ces conclu­sions ne peuvent pas être contrai­gnantes pour la procé­dure de plainte devant l’Autorité de protec­tion des données d’Autriche.

Dans son arrêt, le Tribunal admi­nis­tra­tif fédé­ral d’Autriche estime qu’il est devenu évident, au cours des diffé­rentes procé­dures, que les entre­prises A, B et C contrô­laient en pratique le trai­te­ment des données. Il en ressort que les trois entre­prises doivent être consi­dé­rées indi­vi­duel­le­ment comme des respon­sables du traitement.

En outre, la déci­sion de l’Autorité de suspendre la procé­dure de plainte ne précise pas en quoi la respon­sa­bi­lité de A, B ou C serait atté­nuée par la vali­dité ou non de la rési­lia­tion du contrat.

Même en iden­ti­fiant la partie qui a ordonné le comp­tage des visi­teurs (in casu, l’adjoint au maire de la Municipalité), ses connais­sances ou son mandat public n’au­raient pas d’in­ci­dence sur le statut de respon­sables du trai­te­ment des données des défen­deurs en raison de leur contrôle sur le trai­te­ment des données dans les faits.

Conséquemment, le Tribunal admi­nis­tra­tif fédé­ral d’Autriche a jugé qu’il n’existait aucun motif valable pour suspendre la procé­dure de plainte. Il annule la déci­sion et ordonne la reprise de la procé­dure par l’Autorité de protec­tion des données d’Autriche.

Ce juge­ment souligne l’un des éléments impor­tants pour diffé­ren­cier le rôle du respon­sable du trai­te­ment de celui des autres acteurs. En effet, le respon­sable du trai­te­ment est celui qui « déter­mine » les fina­li­tés et moyens du trai­te­ment. Partant, il faut s’intéresser à l’influence du respon­sable sur le trai­te­ment par l’exercice d’un pouvoir déci­sion­nel (CEPD, Lignes direc­trices 07/​2020, p. 20 ss).

Comme le relève le CEPD, l’exercice d’un pouvoir déci­sion­nel est  « (…) notion fonc­tion­nelle qui repose sur une analyse factuelle plutôt que formelle » (CEPD, Lignes direc­trices 07/​2020, p. 21). Le contrôle sur le trai­te­ment de données peut décou­ler tant de dispo­si­tions légales que d’une influence factuelle. En l’espèce, le Tribunal admi­nis­tra­tif fédé­ral d’Autriche a usé de la deuxième hypo­thèse en appré­ciant les circons­tances du cas d’espèce.

Le CEPD confirme cette approche en rappe­lant que les diffé­rents rôles peuvent chan­ger en fonc­tion de l’activité spéci­fique analy­sée. Il rappelle que l’examen des clauses contrac­tuelles est un élément pouvant faci­li­ter l’identification du respon­sable. Cependant, elles ne sont pas toujours déter­mi­nantes. Elles ne permettent pas aux parties de répar­tir la respon­sa­bi­lité comme elles l’entendent. Il n’est donc pas possible de deve­nir respon­sable du trai­te­ment ou sous-trai­tant et de se sous­traire aux obli­ga­tions respec­tives, en formu­lant le contrat d’une certaine manière alors que les faits indi­que­raient autre chose.