swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Relations contractuelles et notion de responsabilité du traitement

David Dias Matos, le 27 février 2023
Le Tribunal admi­nis­tra­tif fédé­ral d’Autriche estime à raison que les rela­tions contrac­tuelles ne sont pas déci­sives pour établir la notion de respon­sa­bi­lité du traitement.

Arrêt du Tribunal admi­nis­tra­tif fédé­ral autri­chien W274 2239030–1 du 3 octobre 2022

Lors d’un festi­val annuel, une foule de personnes fait l’objet d’un trai­te­ment de données. En effet, la Municipalité de la ville mandate l’entreprise A. pour l’organisation de son festi­val et le comp­tage des visi­teurs. Celle-ci engage à son tour par l’intermédiaire de l’entreprise B., action­naire unique et gérante de A., l’entreprise C. active dans la gestion d’espace public et de comp­tage de personnes.

Cette collecte de données est réali­sée au moyen d’un système de camé­ras de surveillance placé à chaque entrée du festi­val. Les infor­ma­tions collec­tées sont filtrées en deux caté­go­ries : âge et sexe. Les personnes concer­nées, filmées à leur insu, contestent que leur droit à être informé a été restreint par les respon­sables du trai­te­ment et sous-traitants.

Les personnes concer­nées demandent à rece­voir une copie de leurs données person­nelles confor­mé­ment à l’art. 15 RGPD et à limi­ter le trai­te­ment ulté­rieur confor­mé­ment à l’art. 18 par. 1 RGPD. Il leur est répondu que les enre­gis­tre­ments n’étaient pas de nature à permettre une iden­ti­fi­ca­tion des personnes puisque seul le bas du corps était filmé. En addi­tion, les personnes concer­nées sont infor­mées que les enre­gis­tre­ments ont été suppri­més. Les personnes concer­nées déposent alors une plainte auprès de l’Autorité autri­chienne de protec­tion des données.

Les entre­prises A, B et C nient leur qualité de respon­sables du trai­te­ment au sens de l’art. 4 par. 7 RGPD. Cet article prévoit qu’est responsable

« la personne physique ou morale, l’au­to­rité publique, le service ou un autre orga­nisme qui, seul ou conjoin­te­ment avec d’autres, déter­mine les fina­li­tés et les moyens du trai­te­ment ».

Les entre­prises font valoir qu’elles orga­nisent le festi­val et traitent ces données dans le cadre du contrat de mandat avec la Municipalité de la ville. Selon leur argu­ment, seule la Municipalité doit être consi­dé­rée comme le respon­sable du trai­te­ment. Or, la Municipalité a anté­rieu­re­ment rési­lié le contrat initial avec l’entreprise A. Les entre­prises ont donc saisi le tribu­nal régio­nal dans une procé­dure distincte pour contes­ter la vali­dité de cette résiliation.

En consé­quence et confor­mé­ment à son droit, l’Autorité de protec­tion des données suspend la procé­dure de plainte devant elle jusqu’à ce que le Tribunal régio­nal ait tran­ché la ques­tion de savoir si les défen­deurs avaient agi sur la base d’un contrat valide avec la Municipalité. Elle estime que la vali­dité du contrat est une ques­tion préli­mi­naire essen­tielle pour établir la respon­sa­bi­lité du trai­te­ment confor­mé­ment à l’art. 4 par. 7 RGPD.

Suivant la suspen­sion de la procé­dure de plainte, les personnes concer­nées recourent contre cette déci­sion auprès du Tribunal admi­nis­tra­tif fédé­ral d’Autriche. Elles font valoir que la ques­tion de savoir qui a donné l’ordre de trai­ter les données au moyen de la vidéo­sur­veillance n’est qu’une ques­tion secon­daire dans la procé­dure devant le Tribunal régio­nal. Par consé­quent, ces conclu­sions ne peuvent pas être contrai­gnantes pour la procé­dure de plainte devant l’Autorité de protec­tion des données d’Autriche.

Dans son arrêt, le Tribunal admi­nis­tra­tif fédé­ral d’Autriche estime qu’il est devenu évident, au cours des diffé­rentes procé­dures, que les entre­prises A, B et C contrô­laient en pratique le trai­te­ment des données. Il en ressort que les trois entre­prises doivent être consi­dé­rées indi­vi­duel­le­ment comme des respon­sables du traitement.

En outre, la déci­sion de l’Autorité de suspendre la procé­dure de plainte ne précise pas en quoi la respon­sa­bi­lité de A, B ou C serait atté­nuée par la vali­dité ou non de la rési­lia­tion du contrat.

Même en iden­ti­fiant la partie qui a ordonné le comp­tage des visi­teurs (in casu, l’adjoint au maire de la Municipalité), ses connais­sances ou son mandat public n’au­raient pas d’in­ci­dence sur le statut de respon­sables du trai­te­ment des données des défen­deurs en raison de leur contrôle sur le trai­te­ment des données dans les faits.

Conséquemment, le Tribunal admi­nis­tra­tif fédé­ral d’Autriche a jugé qu’il n’existait aucun motif valable pour suspendre la procé­dure de plainte. Il annule la déci­sion et ordonne la reprise de la procé­dure par l’Autorité de protec­tion des données d’Autriche.

Ce juge­ment souligne l’un des éléments impor­tants pour diffé­ren­cier le rôle du respon­sable du trai­te­ment de celui des autres acteurs. En effet, le respon­sable du trai­te­ment est celui qui « déter­mine » les fina­li­tés et moyens du trai­te­ment. Partant, il faut s’intéresser à l’influence du respon­sable sur le trai­te­ment par l’exercice d’un pouvoir déci­sion­nel (CEPD, Lignes direc­trices 07/​2020, p. 20 ss).

Comme le relève le CEPD, l’exercice d’un pouvoir déci­sion­nel est  « (…) notion fonc­tion­nelle qui repose sur une analyse factuelle plutôt que formelle » (CEPD, Lignes direc­trices 07/​2020, p. 21). Le contrôle sur le trai­te­ment de données peut décou­ler tant de dispo­si­tions légales que d’une influence factuelle. En l’espèce, le Tribunal admi­nis­tra­tif fédé­ral d’Autriche a usé de la deuxième hypo­thèse en appré­ciant les circons­tances du cas d’espèce.

Le CEPD confirme cette approche en rappe­lant que les diffé­rents rôles peuvent chan­ger en fonc­tion de l’activité spéci­fique analy­sée. Il rappelle que l’examen des clauses contrac­tuelles est un élément pouvant faci­li­ter l’identification du respon­sable. Cependant, elles ne sont pas toujours déter­mi­nantes. Elles ne permettent pas aux parties de répar­tir la respon­sa­bi­lité comme elles l’entendent. Il n’est donc pas possible de deve­nir respon­sable du trai­te­ment ou sous-trai­tant et de se sous­traire aux obli­ga­tions respec­tives, en formu­lant le contrat d’une certaine manière alors que les faits indi­que­raient autre chose.



Proposition de citation : David Dias Matos, Relations contractuelles et notion de responsabilité du traitement, 27 février 2023 in www.swissprivacy.law/204


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Destinataires ou catégories de destinataires ?
  • Géolocalisation permanente de véhicules de location : la CNIL sanctionne
  • Intérêt légitime de l’avocat au traitement de données dans une procédure judiciaire
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law