Le développeur d’une App est-il le responsable de traitement ?

L’affaire soumise à la Cour revient à se poser la question suivante : lorsqu’un développeur élabore une application pour le compte d’un client, son implication dans le développement et les choix qu’il opère peuvent-ils l’amener à devoir endosser de ce fait le rôle de responsable de traitement ? Ou de responsable conjoint avec son client donneur d’ordre ?

Les faits

Les faits sont un peu compliqués mais en substance :

  • Lors de la crise COVID-19, le ministre Letton charge son administration (Centre National de la santé publique, CNSP) de développer une application de suivi des contacts ;
  • C’est la société privée ITSS qui est chargée du développement ;
  • L’application collecte de nombreuses informations, dont : le numéro d’identité, les coordonnées (latitude et longitude), le pays, la ville, la commune, le code postal, le nom de rue, le numéro de l’immeuble, le nom, le prénom, le code personnel, le numéro de téléphone, l’adresse, une deuxième adresse, si le lieu déclaré est en Lituanie, si la personne doit s’isoler, si elle s’est enregistrée, s’il apparaît qu’une photo est nécessaire, l’identifiant universel unique, l’identifiant d’utilisateur, quand le consentement a été donné, quand il a été créé, quand il a été modifié, quand la personne s’est enregistrée, quand une photo a été demandée, jusqu’à quand une photo est nécessaire et quand la personne s’est enregistrée la dernière fois.
  • L’application est rendue disponible (Google play et Apple Store) et les termes d’utilisation de l’application renseignent les sociétés ITSS et le CNSP comme responsables conjoints ;
  • Le ministre enjoint l’administration d’organiser rapidement l’acquisition de l’application ;
  • Suite à des contraintes budgétaires, la transaction ne peut pas avoir lieu. Dans la foulée, l’administration informe la société qu’elle exige qu’il n’y ait pas d’indication du CNSP ou d’autres liens avec le CNSP dans l’application ;
  • L’autorité de protection des données intervient car plusieurs problèmes sont révélés, notamment quant aux destinataires des données et aux réutilisations par les autorités publiques et de santé (questions qui ont secoué d’autres pays à l’époque) :
  • Il apparait qu’avant la suspension provisoire du fonctionnement de l’application, 3802 utilisateurs avaient fourni leurs données à caractère personnel dans l’application ;

Une amende est décidée et la question devient : à qui faut-il attribuer l’amende ? au pouvoir adjudicataire ? à la société qui a développé l’app ? aux deux conjointement ?

Au bout du compte l’amende administrative est imposée aux deux en qualité de responsables conjoints du traitement, pour violation des articles 5, 13, 24 et 35 du RGPD.

La décision a été contestée par le CNSP devant le tribunal administratif, qui a posé plusieurs questions préjudicielles à la CJUE.

Mieux définir le responsable de traitement

L’avocat général retrace d’abord les contours et rappelle la jurisprudence :

  • Un « responsable du traitement » est défini comme la personne ou l’entité qui, « seule ou conjointement avec d’autres », détermine les finalités et les moyens du traitement (RGPD, art. 4.7);
  • Un responsable du traitement ne doit pas nécessairement traiter lui-même chaque donnée à caractère personnel, mais il doit déterminer « le pourquoi et le comment » des opérations de traitement pertinentes (Jehovan todistajat, C‑25/17, EU:C:2018:551, point 68). Pour remplir ce critère, il doit effectivement influer sur le traitement des données à caractère personnel ;
  • Le RGPD appelle une analyse fonctionnelle plutôt que formelle. Il n’est pas nécessaire que la détermination des finalités et des moyens du traitement s’effectue conformément à des lignes directrices écrites ou à des consignes de la part du responsable du traitement (Jehovan todistajat, C‑25/17, EU:C:2018:551, point 67) ;
  • Il est par conséquent possible d’être responsable du traitement, indépendamment de la question de savoir si une compétence ou un pouvoir spécifiques de contrôle des données ont été conférés par la loi. La capacité de déterminer les finalités et les moyens du traitement dépend, avant tout, de l’influence exercée, qui peut être déduite de circonstances factuelles;
  • La responsabilité du responsable du traitement est limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens (Fashion ID, C 40/17, EU:C:2019:629, point 85);
  • L’indication de l’identité du responsable du traitement dans une charte est pertinente, sans être déterminant, s’agissant de l’influence effectivement exercée par cette entité. Il rappelle ainsi le principe de réalité et l’importance de l’analyse factuelle, permettant au juge de requalifier des rôles mal attribués par les parties.

Il applique ensuite ces critères au cas d’espèce :

Font partie des éléments « formels », donc peu déterminants, le fait que l’administration ne soit pas le propriétaire légal de KARANTINAS, que la procédure d’acquisition de cette application mobile n’ait jamais été achevée, ou que le CNSP n’ait pas officiellement autorisé la diffusion de l’application auprès du grand public ni approuvé la dernière version de l’application. Selon l’avocat général « aucune de ces circonstances ne saurait, à elle seule, exclure que le CNSP ait agi en tant que responsable du traitement ».

Font partie des éléments « fonctionnels », donc fort déterminants, le fait que l’administration a décidé quel type de données à caractère personnel devait être collecté et auprès de quelles personnes concernées.

Est aussi à prendre en compte le fait que l’application a été développée pour remplir un « objectif défini » par l’administration (fournir une réponse à la pandémie), et que l’application a dû être modifiée plusieurs fois pour tenir compte des décisions de l’administration sur la conduite à tenir pour arriver à cet objectif.

Seul élément à décharge pour l’administration : elle n’a pas donné son feu vert à la diffusion de l’application. Or, pour l’avocat général, l’influence exercée par un responsable du traitement doit porter sur le traitement de données à caractère personnel lui-même, et non pas uniquement sur une quelconque étape préalable. « Ses actions doivent être effectivement liées au traitement de données à caractère personnel et elle doit, par conséquent, avoir consenti expressément ou implicitement à l’utilisation de l’outil pertinent pour procéder à un tel traitement. »

Mieux définir la responsabilité conjointe

L’avocat général fait ensuite le point sur la notion de responsables conjoints :

  • Il existe des « responsables conjoints du traitement » lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement (RGPD, art. 26, §1) ;
  • Chaque responsable conjoint du traitement doit par conséquent remplir de manière indépendante les critères énumérés dans la définition (Fashion ID, C‑40/17, EU:C:2019:629, point 67) ;
  • Les responsables conjoints du traitement doivent avoir une certaine relation entre eux, étant donné que leur influence sur le traitement doit être exercée conjointement ;
  • L’existence d’une responsabilité conjointe du traitement ne se traduit pas nécessairement par une responsabilité ou une participation égales des différentes personnes ou entités concernées ;
  • Les responsables conjoints du traitement peuvent être impliqués à différents stades du traitement, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évaluée en tenant compte de toutes les circonstances pertinentes de chaque cas d’espèce (Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, point 43) ;
  • La responsabilité conjointe de plusieurs entités pour un même traitement n’exige pas que chacun d’eux ait accès aux données à caractère personnel concernées (Jehovan todistajat, C‑25/17, EU:C:2018:551, point 69) ;
  • Il importe qu’ils participent conjointement à la détermination des « finalités et moyens » du traitement. Une telle participation conjointe peut exister sous différentes formes. Elle peut résulter d’une décision commune prise par deux entités ou plus ou elle peut simplement découler de décisions convergentes de ces entités. Dans ce dernier cas, il importe seulement que les décisions se complètent et qu’elles soient nécessaires au traitement de telle sorte qu’elles aient un effet concret sur la détermination des finalités et des moyens du traitement, à savoir, en substance, que le traitement ne serait pas possible sans la participation des deux parties (lignes directrices 07/2020, p. 3).

L’avocat général applique ensuite ces critères au cas d’espèce :

En vertu de l’article 26, paragraphe 1, du RGPD, les responsables conjoints du traitement doivent, par voie d’accord entre eux, définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences de ce règlement. Est-ce à dire qu’à défaut d’accord entre les responsables concernés, il ne peut pas y avoir de responsabilité conjointe ? Non répond l’avocat général : « ces obligations et exigences ne s’appliquent aux responsables conjoints du traitement qu’une fois ceux-ci pouvant être considérés comme tels. Ils ne font pas partie des critères qui doivent être remplis aux fins de cette qualification ». Dit autrement : l’absence de pareil accord ne permet pas d’échapper à la qualification conjointe si celle-ci est, dans les faits, établie.

Pour l‘avocat général, la responsabilité conjointe du traitement « dépend seulement de la réunion de deux conditions objectives ».

Premièrement, chaque responsable conjoint du traitement doit remplir les critères énumérés dans la définition du « responsable du traitement ».

Deuxièmement, l’influence des responsables du traitement sur le traitement doit être exercée conjointement, peu importe la forme et sans qu’il soit nécessaire que cela procède d’une décision commune des parties concernées.

Les tests d’une App sont-ils des traitements ?

L’avocat Général relève que l’« utilisation » de données à caractère personnel (sans autre mention et, partant, quelle que soit sa finalité) est énumérée parmi les opérations ou ensembles d’opérations qui constituent un « traitement ».

L’article 4 du RGPD ne contenant aucune exception, dérogation ou exclusion expresses pour les opérations relatives à l’utilisation de données à caractère personnel à des fins de test de systèmes informatiques, rien ne s’oppose à ce que l’utilisation de données à caractère personnel en vue d’effectuer un tel test puisse être considérée comme un « traitement » au sens de cette disposition.

Plus d’infos?

Les conclusions de l’avocat Général sont disponibles en annexe.

Source : Geoffroy Blondiau, Etienne Wery, Droit et technologies, septembre 2023

Mots clés

Articles recommandés

"Make Europe Great Again" (MEGA) : Pourquoi L'Europe doit se réveiller pour de vrai!

Attention : de faux mails envoyés au nom d'AG Insurance