Poster un message

[1] Pour le cas de la France, le Conseil d’Etat français juge que la formation restreinte de la Commission Nationale d’Informatique et des Libertés, autorité de contrôle française, peut être qualifiée de tribunal au sens de l’article 6-1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, eu égard à sa nature, sa composition et ses attributions, que la procédure devant ladite formation restreinte respecte les principes du procès équitable, notamment les droits de la défense, la procédure contradictoire, que le responsable de traitement a le droit d’être représenté par un avocat, et qu’une voie de recours devant le conseil est prévue (CE, Ord. Réf., 19 février 2008, req. N°311974, Société Profil France : dans cette décision).

[2] A notre sens, le responsable disjoint du traitement est un destinataire qui peut être lié au responsable du traitement par une exigence légale, par exemple l’obligation faite de communiquer certaines informations à l’administration fiscale, et dans ce cas l’administration fiscale est responsable disjoint. Il peut aussi s’agir d’un cas où le responsable du traitement est lié à une autre personne par un contrat, mais entre les deux il n’y a pas d’obligations conjointes comme c’est le cas avec le responsable du traitement conjoint, dans ce cas la personne qui reçoit les données est responsable disjoint. Le responsable disjoint peut encore être une personne qui reçoit les données par la volonté de la personne concernée, c’est le cas lorsque la personne concernée exerce son droit à la portabilité, et la personne chez qui les données sont transférées est responsable disjoint. Le responsable disjoint ne peut pas non plus être confondu avec le sous-traitant, parce que le sous-traitant est celui qui réalise des activités de traitement pour le compte du responsable du traitement. En tout état de cause, le responsable disjoint reçoit les données, mais soit il n’en partage pas, conjointement, la responsabilité du traitement avec le responsable du traitement (ce qui le différencie du responsable du traitement conjoint) soit il ne traite pas les données à caractère personnel pour le compte du responsable du traitement (ce qui le différencie du sous-traitant) soit il ne représente pas le responsable du traitement devant l’autorité de contrôle ou toute autre personne (ce qui le différencie du représentant du responsable du traitement). Le responsable du traitement disjoint est donc un responsable du traitement autonome et à part entière.

[3] Le RGPD, par exemple, définit tous ces acteurs dans son article 4. Dans la quasi-totalité des législations et réglementations relatives à la protection des données personnelles, ces définitions sont équivalentes voire similaires à celles du RGPD.

[4] CNIL, Délibération de la formation restreinte n°SAN-2018-001 du 8 janvier 2018.

[5] CEPD, Lignes directrices, 2 septembre 2020.

[6] CJUE, 27 octobre 2022.

[7] CEPD, Lignes directrices, 7 juillet 2021.

[8] CNIL, Délibération de la formation restreinte, n°SAN-2018-11 du 19 décembre 2018.

[9] CJUE, 10 juillet 2018, affaire C-25/17, Témoins de Jéhovah.

[10] CJUE, 5 juin 2018, affaire c-210/16 Wirtschaftskademie.

[11] Autorité de protection des données personnelles de Slovénie, 1er juin 2022.

[12] La CNIL, Commission Nationale d’Informatique et des Libertés, est l’autorité de contrôle française de protection des données personnelles.

[13] Code civil, article 1231-1.

[14] Code de la consommation, L221-15.

[15] La CNIL, par la Délibération n°2014-298 du 7 août 2014, avait retenu que l’obligation de sécurité est une de moyens, en ces termes : « Il est constant que l’obligation de notifier une violation de données, obligation de résultat à laquelle la société a satisfait, est distincte de celle relative à la sécurité et la confidentialité des données, obligation de moyens ». Cette position est, à tout le moins, pertinente en raison de ce que, notamment les mesures de sécurité dépendent de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, d’une part, il y a une impossibilité technique d’une sécurité absolue de protection des données et l’inégalité des ressources à la disposition des acteurs du traitement.

[16] Cass. crim., 5 mars 1992, n°91-81.888.

[17] Cass. crim., 22 mars 1988, n°87-82.802 ; Cass. civ. 1ère., 27 mai 1986, n°84-16.420.

[18] Cass. ass. plén., 19 mai 1988, n°87-82.654.

[19] Cass. ass. plén. 14 déc. 2001, n°0082-066.

[20] Par exemple, dans son article 83, le RGPD prévoit deux fourchettes de sanctions. Premièrement, les sanctions de la fourchette basse qui sont de l’ordre de 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total. En second lieu, il y a la fourchette haute des amendes administratives, qui est de l’ordre de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent. Dans l’un ou l’autre cas, c’est le montant le plus élevé, entre le pourcentage et la valeur réelle, qui est retenu.

[21] CJUE, affaire Höfner et Elsner ; CJUE, affaire de la Confédération espagnole des employeurs de service de justice.

[22] TFUE, articles 101 et 102.

[23] Cass. com., arrêt du 21 octobre 2014, n°13.16.602, n°13-16.696, n°13-16.905.