Guides & Ressources pratiques
Fiscalité des stock-options : guide complet 2026 pour tout comprendre
Article 26 RGPD : comprendre et encadrer la responsabilité conjointe du traitement
Points clés de l'article
- L'article 26 RGPD s'applique dès que deux entités déterminent conjointement les finalités et les moyens d'un traitement de données personnelles.
- La qualification de responsables conjoints repose sur un faisceau d'indices factuels, indépendamment de toute clause contractuelle.
- Un accord écrit doit formaliser la répartition précise des obligations respectives, notamment l'exercice des droits des personnes et l'information des personnes concernées.
- Les personnes concernées peuvent exercer leurs droits auprès de l'un ou l'autre des co-responsables, qui sont solidairement responsables.
- Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, et la CJUE a élargi la notion de co-responsabilité dans plusieurs arrêts de référence.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Article 26 RGPD : définition des responsables conjoints du traitement
Critères d'identification d'une co-responsabilité
L'accord entre co-responsables : contenu et forme obligatoires
Répartition des obligations : droits des personnes, information, sécurité
Responsabilité solidaire vis-à-vis des personnes concernées
Différence entre co-responsables, responsable unique et sous-traitant
Sanctions CNIL et jurisprudence CJUE sur la co-responsabilité
FAQ : questions fréquentes sur l'article 26 du RGPD
Article 26 RGPD : définition des responsables conjoints du traitement
L'article 26 du RGPD encadre les situations dans lesquelles deux ou plusieurs organismes déterminent ensemble les finalités et les moyens d'un même traitement de données personnelles. Ces organismes sont alors qualifiés de responsables conjoints du traitement. Le texte impose qu'ils définissent, de manière transparente, leurs obligations respectives par le biais d'un accord formalisé.
En pratique, cette configuration se rencontre fréquemment dans les groupes de sociétés, les partenariats commerciaux, les coentreprises ou encore les programmes de fidélité multi-enseignes. Dès lors qu'une direction juridique identifie une prise de décision partagée sur le « pourquoi » (finalité) et le « comment » (moyens) d'un traitement, l'article 26 s'applique. L'absence d'accord écrit ne supprime pas la qualification : elle constitue en elle-même un manquement.
Critères d'identification d'une co-responsabilité
La qualification de co-responsabilité ne dépend pas d'un contrat. Elle repose sur une analyse factuelle. Le critère déterminant est l'influence réelle exercée par chaque entité sur les finalités et les moyens du traitement.
Trois indices permettent d'identifier une co-responsabilité :
- Détermination conjointe des finalités : les deux entités décident ensemble de l'objectif du traitement (par exemple, exploiter une base clients commune pour des campagnes croisées).
- Choix partagé des moyens : les entités participent aux décisions relatives aux catégories de données collectées, à la durée de conservation ou aux outils techniques utilisés.
- Interdépendance du traitement : le traitement n'existerait pas sans la participation de chacune des parties, ou perdrait sa raison d'être si l'une se retirait.
| Indice | Exemple concret | Qualification probable |
|---|---|---|
| Finalités définies conjointement | Deux enseignes créent un programme de fidélité commun | Co-responsabilité |
| Moyens imposés par une seule partie | Un prestataire applique les instructions du donneur d'ordre | Sous-traitance (article 28) |
| Décisions autonomes sur des traitements distincts | Deux sociétés d'un groupe traitent chacune leurs propres fichiers RH | Responsabilités séparées |
La CJUE a précisé dans l'arrêt Wirtschaftsakademie (C-210/16, 5 juin 2018) qu'une entité peut être co-responsable même si elle n'accède pas directement aux données, dès lors qu'elle influence les paramètres du traitement.
Un partenariat impliquant des données personnelles partagées nécessite une analyse précise de la qualification juridique applicable.
Consultez un avocat spécialisé en protection des données
L'accord entre co-responsables : contenu et forme obligatoires
L'article 26 paragraphe 1 impose aux responsables conjoints de conclure un accord qui détermine « de manière transparente » leurs obligations respectives. Cet accord doit être mis à la disposition des personnes concernées dans ses grandes lignes.
Le texte ne prescrit pas de forme juridique spécifique. Un contrat, un avenant, un protocole d'accord ou un memorandum of understanding peuvent convenir, à condition que le document soit suffisamment précis et accessible.
Le contenu minimal de l'accord couvre les points suivants :
- Répartition des obligations d'information (articles 13 et 14 RGPD) : quelle entité informe les personnes concernées, par quel canal, avec quel contenu.
- Gestion des droits des personnes (accès, rectification, effacement, portabilité) : désignation du point de contact et délais de réponse.
- Mesures de sécurité : répartition des responsabilités techniques et organisationnelles.
- Notification des violations : identification de l'entité chargée de notifier la CNIL dans le délai de 72 heures.
- Rôle du DPO : désignation du ou des délégués à la protection des données compétents.
L'absence de cet accord expose les co-responsables à une double vulnérabilité : une sanction administrative pour manquement à l'article 26, et une incapacité à démontrer leur conformité en cas de contrôle.
Répartition des obligations : droits des personnes, information, sécurité
La répartition des obligations entre co-responsables doit être opérationnelle, pas seulement déclarative. Chaque obligation du RGPD doit être assignée à une entité identifiée, avec des processus documentés.
Droits des personnes concernées
L'accord doit prévoir un point de contact unique ou, à défaut, un mécanisme de redirection entre les co-responsables. Le Comité européen de la protection des données (CEPD) recommande que la personne concernée puisse exercer ses droits auprès de n'importe lequel des co-responsables, sans être renvoyée d'un interlocuteur à l'autre.
Information et transparence
La mention d'information (article 13) doit identifier les co-responsables, résumer les grandes lignes de l'accord et indiquer le point de contact. Cette mention figure dans la politique de confidentialité de chaque co-responsable ou dans un document commun.
Sécurité des données
Chaque co-responsable met en œuvre les mesures techniques et organisationnelles adaptées aux traitements qu'il opère. L'accord précise les responsabilités en matière de chiffrement, de gestion des accès, de sauvegarde et de tests d'intrusion.
La formalisation d'un accord de co-responsabilité conforme à l'article 26 requiert une expertise croisée en droit des données et en droit des contrats.
Trouvez un avocat en protection des données
Responsabilité solidaire vis-à-vis des personnes concernées
L'article 26 paragraphe 3 pose un principe protecteur : la personne concernée peut exercer ses droits « à l'égard de et contre chacun des responsables du traitement ». Ce mécanisme de responsabilité solidaire signifie qu'un individu n'a pas à identifier lequel des co-responsables a commis le manquement pour agir.
En cas de dommage, l'article 82 du RGPD complète ce dispositif. Chaque co-responsable peut être tenu de réparer l'intégralité du préjudice subi. L'entité qui a indemnisé la personne concernée dispose ensuite d'un recours contre les autres co-responsables, au prorata de leur responsabilité respective.
Cette solidarité a une conséquence directe pour les directions juridiques : un accord interne mal rédigé ne protège pas contre les réclamations externes. La répartition contractuelle des responsabilités n'est opposable qu'entre les parties, jamais aux personnes concernées.
Différence entre co-responsables, responsable unique et sous-traitant
La distinction entre ces trois qualifications conditionne le régime juridique applicable. Une erreur de qualification entraîne l'application d'un cadre contractuel inadapté et expose l'entreprise à des sanctions.
| Qualification | Critère principal | Cadre contractuel | Article RGPD |
|---|---|---|---|
| Responsable unique | Détermine seul finalités et moyens | Contrat de sous-traitance avec ses prestataires | Art. 24 |
| Responsables conjoints | Déterminent ensemble finalités et/ou moyens | Accord de co-responsabilité | Art. 26 |
| Sous-traitant | Traite les données pour le compte du responsable | Contrat de sous-traitance | Art. 28 |
Un prestataire qui dépasse les instructions du responsable de traitement et commence à définir ses propres finalités bascule dans la co-responsabilité, voire devient responsable de traitement à part entière. La CJUE l'a confirmé dans l'arrêt Fashion ID (C-40/17, 29 juillet 2019) : l'intégration d'un bouton « J'aime » Facebook sur un site web rendait l'éditeur du site co-responsable avec Facebook pour la collecte et la transmission des données, mais pas pour les traitements ultérieurs réalisés par Facebook seul.
Sanctions CNIL et jurisprudence CJUE sur la co-responsabilité
Les manquements à l'article 26 relèvent des sanctions les plus élevées du RGPD : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial du groupe, le montant le plus élevé étant retenu (article 83 paragraphe 5).
La CNIL a sanctionné à plusieurs reprises des organismes pour absence d'accord de co-responsabilité ou répartition insuffisante des obligations. En 2020, la CNIL a infligé une amende de 3 000 euros à un médecin et de 6 000 euros à son prestataire pour des manquements croisés à la sécurité des données, illustrant que la co-responsabilité n'exonère aucune des parties.
La jurisprudence de la CJUE a progressivement élargi le périmètre de la co-responsabilité :
- Wirtschaftsakademie (2018) : l'administrateur d'une page Facebook est co-responsable avec Facebook du traitement des données des visiteurs.
- Jehovan todistajat (C-25/17, 10 juillet 2018) : une communauté religieuse est co-responsable du traitement réalisé par ses membres lors du porte-à-porte.
- Fashion ID (2019) : l'éditeur d'un site intégrant un plugin social est co-responsable de la collecte initiale des données.
Ces décisions montrent que la co-responsabilité peut être retenue même en l'absence de contrat, d'accès aux données ou de volonté explicite des parties. La qualification repose sur la réalité opérationnelle du traitement.
Face à l'élargissement jurisprudentiel de la co-responsabilité, un audit des traitements partagés avec des partenaires permet d'anticiper les risques.
Faites appel à un avocat en protection des données
FAQ : questions fréquentes sur l'article 26 du RGPD
Un accord de co-responsabilité doit-il être un contrat séparé ?
Non. L'article 26 n'impose pas de forme juridique particulière. L'accord peut prendre la forme d'un contrat autonome, d'un avenant à un contrat existant ou d'un protocole annexé à une convention de partenariat. L'essentiel est qu'il soit écrit, précis et accessible aux personnes concernées dans ses grandes lignes.
Peut-on être co-responsable sans le savoir ?
Oui. La qualification de co-responsable repose sur des critères factuels, pas sur la volonté des parties. Si deux entités déterminent conjointement les finalités ou les moyens d'un traitement, elles sont co-responsables au sens du RGPD, même sans accord formalisé. L'arrêt Wirtschaftsakademie de la CJUE l'a confirmé en 2018.
La personne concernée peut-elle choisir contre quel co-responsable agir ?
Oui. L'article 26 paragraphe 3 permet à la personne concernée d'exercer ses droits auprès de n'importe lequel des co-responsables. Ce dernier ne peut pas refuser en invoquant la répartition interne des obligations. Il doit traiter la demande ou la transmettre sans délai.
Comment distinguer co-responsabilité et sous-traitance dans un partenariat ?
Le critère est le degré d'autonomie dans la détermination des finalités. Si le partenaire se limite à exécuter des instructions sans définir l'objectif du traitement, il est sous-traitant (article 28). S'il participe à la définition des finalités ou des moyens essentiels, il est co-responsable (article 26). L'analyse doit porter sur la réalité opérationnelle, pas sur les clauses contractuelles.
Quelles sont les conséquences d'une absence d'accord de co-responsabilité ?
L'absence d'accord constitue un manquement à l'article 26, passible de sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Elle empêche également de démontrer la conformité lors d'un contrôle CNIL et fragilise la position de chaque co-responsable en cas de contentieux avec une personne concernée.
Pour aller plus loin
Responsable du traitement, sous-traitants : comment bien identifier son rôle - CNIL
Chapitre IV - Responsable du traitement et sous-traitant - CNIL
Guide La responsabilité des acteurs dans le cadre de la commande publique - CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
