ASSIGNATION PAR-DEVANT LE TRIBUNAL JUDICIAIRE DE [Ville]

L’AN DEUX MILLE […]

ET LE

À LA DEMANDE DE :

[Si personne physique]

 Monsieur ou Madame [nom, prénom], né le [date], de nationalité [pays], demeurant à [adresse]

[Si personne morale]

La société [raison sociale], [forme sociale], au capital social de [montant], immatriculée au Registre du Commerce et des Sociétés de [ville] sous le numéro […], dont le siège social est sis [adresse], agissant poursuites et diligences de ses représentants légaux domiciliés, en cette qualité, audit siège

Ayant pour avocat constitué :

Maître [nom, prénom], Avocat inscrit au Barreau de [ville], y demeurant [adresse]

Lequel se constitue sur la présente assignation et ses suites

[Si postulation]

Ayant pour avocat plaidant :

Maître [nom, prénom], Avocat inscrit au Barreau de [ville], y demeurant [adresse]

J’AI HUISSIER SOUSSIGNÉ :

DONNÉ ASSIGNATION À :

[Si personne physique]

 Monsieur ou Madame [nom, prénom], né le [date], de nationalité [pays], demeurant à [adresse]

Où étant et parlant à :

[Si personne morale]

 La société [raison sociale], [forme sociale], au capital social de [montant], immatriculée au Registre du Commerce et des Sociétés de [ville] sous le numéro […], dont le siège social est sis [adresse], agissant poursuites et diligences de ses représentants légaux domiciliés, en cette qualité, audit siège

Où étant et parlant à :

D’AVOIR À COMPARAÎTRE :

Le [date] à [heures]

Par-devant le Tribunal judiciaire de [ville], [chambre], siégeant en la salle ordinaire de ses audiences au Palais de justice de [ville], sis [adresse]

ET L’INFORME :

Qu’un procès lui est intenté pour les raisons exposées ci-après.

[Si représentation obligatoire]

Que dans un délai de QUINZE JOURS, à compter de la date du présent acte, conformément aux articles 54, 56, 752 et 763 du Code de procédure civile, il est tenu de constituer avocat pour être représenté par-devant ce tribunal.

Qu’à défaut, il s’expose à ce qu’un jugement soit rendu contre lui sur les seuls éléments fournis par son adversaire.

TRÈS IMPORTANT

Il est, par ailleurs, rappelé les articles de la loi n° 71-1130 du 31 décembre 1971 reproduits ci-après :

Article 5

Les avocats exercent leur ministère et peuvent plaider sans limitation territoriale devant toutes les juridictions et organismes juridictionnels ou disciplinaires, sous les réserves prévues à l’article 4.

Ils peuvent postuler devant l’ensemble des tribunaux judiciaires du ressort de cour d’appel dans lequel ils ont établi leur résidence professionnelle et devant ladite cour d’appel.

 Par dérogation au deuxième alinéa, les avocats ne peuvent postuler devant un autre tribunal que celui auprès duquel est établie leur résidence professionnelle ni dans le cadre des procédures de saisie immobilière, de partage et de licitation, ni au titre de l’aide juridictionnelle, ni dans des instances dans lesquelles ils ne seraient pas maîtres de l’affaire chargés également d’assurer la plaidoirie.

Article 5-1

Par dérogation au deuxième alinéa de l’article 5, les avocats inscrits au barreau de l’un des tribunaux judiciaires de Paris, Bobigny, Créteil et Nanterre peuvent postuler auprès de chacune de ces juridictions. Ils peuvent postuler auprès de la cour d’appel de Paris quand ils ont postulé devant l’un des tribunaux judiciaires de Paris, Bobigny et Créteil, et auprès de la cour d’appel de Versailles quand ils ont postulé devant le tribunal judiciaire de Nanterre.

 La dérogation prévue au dernier alinéa du même article 5 leur est applicable.

Il est encore rappelé les dispositions du Code de procédure civile suivantes :

Article 640

Lorsqu’un acte ou une formalité doit être accompli avant l’expiration d’un délai, celui-ci a pour origine la date de l’acte, de l’événement, de la décision ou de la notification qui le fait courir.

Article 641

Lorsqu’un délai est exprimé en jours, celui de l’acte, de l’événement, de la décision ou de la notification qui le fait courir ne compte pas.

 Lorsqu’un délai est exprimé en mois ou en années, ce délai expire le jour du dernier mois ou de la dernière année qui porte le même quantième que le jour de l’acte, de l’événement, de la décision ou de la notification qui fait courir le délai. À défaut d’un quantième identique, le délai expire le dernier jour du mois.

Lorsqu’un délai est exprimé en mois et en jours, les mois sont d’abord décomptés, puis les jours.

Article 642

Tout délai expire le dernier jour à vingt-quatre heures.

 Le délai qui expirerait normalement un samedi, un dimanche ou un jour férié ou chômé est prorogé jusqu’au premier jour ouvrable suivant.

Article 642-1

Les dispositions des articles 640 à 642 sont également applicables aux délais dans lesquels les inscriptions et autres formalités de publicité doivent être opérées.

Article 643

Lorsque la demande est portée devant une juridiction qui a son siège en France métropolitaine, les délais de comparution, d’appel, d’opposition, de tierce opposition dans l’hypothèse prévue à l’article 586 alinéa 3, de recours en révision et de pourvoi en cassation sont augmentés de :

  1. Un mois pour les personnes qui demeurent en Guadeloupe, en Guyane, à la Martinique, à La Réunion, à Mayotte, à Saint-Barthélemy, à Saint-Martin, à Saint-Pierre-et-Miquelon, en Polynésie française, dans les îles Wallis et Futuna, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises ;
  1. Deux mois pour celles qui demeurent à l’étranger.

[Si représentation facultative]

Que, en application des articles 753 et 762 du Code de procédure civile il est tenu :

==> Soit de se présenter à cette audience, seul ou assisté de l’une des personnes suivantes :

  • Un avocat
  • Le conjoint ;
  • Le concubin ;
  • La personne avec laquelle il a conclu un pacte civil de solidarité ;
  • Un parent ou allié en ligne directe ;
  • Un parent ou allié en ligne collatérale jusqu’au troisième degré inclus ;
  • Une personne exclusivement attachée à son service personnel ou à son entreprise.

==> Soit de se faire représenter par un avocat, ou par l’une des autres personnes ci-dessus énumérées, à condition qu’elle soit munie d’un pouvoir écrit et établi spécialement pour ce procès.

Que l’État, les départements, les régions, les communes et les établissements publics peuvent se faire représenter ou assister par un fonctionnaire ou un agent de leur administration.

Qu’à défaut de comparaître à cette audience ou à toute autre à laquelle l’examen de cette affaire serait renvoyé, il s’expose à ce qu’un jugement soit rendu contre lui sur les seuls éléments fournis par son adversaire.

TRÈS IMPORTANT

Il est, par ailleurs, indiqué au défendeur les dispositions du Code de procédure civile suivantes :

Article 817

Lorsque les parties sont dispensées de constituer avocat conformément aux dispositions de l’article 761, la procédure est orale, sous réserve des dispositions particulières propres aux matières concernées.

Article 827

Le juge s’efforce de concilier les parties.

Article 830

A défaut de conciliation constatée à l’audience, l’affaire est immédiatement jugée ou, si elle n’est pas en état de l’être, renvoyée à une audience ultérieure. Dans ce cas, le greffier avise par tous moyens les parties qui ne l’auraient pas été verbalement de la date de l’audience.

Article 832

Sans préjudice des dispositions de l’article 68, la demande incidente tendant à l’octroi d’un délai de paiement en application de l’article 1343-5 du code civil peut être formée par courrier remis ou adressé au greffe. Les pièces que la partie souhaite invoquer à l’appui de sa demande sont jointes à son courrier. La demande est communiquée aux autres parties, à l’audience, par le juge, sauf la faculté pour ce dernier de la leur faire notifier par le greffier, accompagnée des pièces jointes, par lettre recommandée avec demande d’avis de réception.

L’auteur de cette demande incidente peut ne pas se présenter à l’audience, conformément au second alinéa de l’article 446-1. Dans ce cas, le juge ne fait droit aux demandes présentées contre cette partie que s’il les estime régulières, recevables et bien fondées.

Il est encore rappelé la disposition du Code civil suivante :

Article 1343-5

Le juge peut, compte tenu de la situation du débiteur et en considération des besoins du créancier, reporter ou échelonner, dans la limite de deux années, le paiement des sommes dues.

 Par décision spéciale et motivée, il peut ordonner que les sommes correspondant aux échéances reportées porteront intérêt à un taux réduit au moins égal au taux légal, ou que les paiements s’imputeront d’abord sur le capital.

 Il peut subordonner ces mesures à l’accomplissement par le débiteur d’actes propres à faciliter ou à garantir le paiement de la dette.

 La décision du juge suspend les procédures d’exécution qui auraient été engagées par le créancier. Les majorations d’intérêts ou les pénalités prévues en cas de retard ne sont pas encourues pendant le délai fixé par le juge.

 Toute stipulation contraire est réputée non écrite.

 Les dispositions du présent article ne sont pas applicables aux dettes d’aliment.

Il est enfin indiqué au défendeur, en application des articles 56 et 752 du Code de procédure civile :

Que, le demandeur [consent/ ne consent pas] à ce que la procédure se déroule sans audience en application de l’article L. 212-5-1 du Code de l’organisation judiciaire.

Que les pièces sur lesquelles la demande est fondée sont visées et jointes en fin d’acte selon bordereau.

PLAISE AU TRIBUNAL

==> Condition de recevabilité de la demande tenant à l’exigence de recours à un mode de résolution amiable des différends préalablement à la saisine du juge

Issue de l’article 4 du décret n° 2019-1333 du 11 décembre 2019, l’article 750-1 du Code de procédure civile dispose que, devant le Tribunal judiciaire, « à peine d’irrecevabilité que le juge peut prononcer d’office, la demande en justice doit être précédée, au choix des parties, d’une tentative de conciliation menée par un conciliateur de justice, d’une tentative de médiation ou d’une tentative de procédure participative, lorsqu’elle tend au paiement d’une somme n’excédant pas 5 000 euros ou lorsqu’elle est relative à l’une des actions mentionnées aux articles R. 211-3-4 et R. 211-3-8 du code de l’organisation judiciaire. »

Il ressort de cette disposition que pour un certain nombre de litiges, les parties ont l’obligation de recourir à un mode de résolution amiable des différends.

Sont visées :

  • Les demandes qui tendent au paiement d’une somme inférieure à 5.000 euros
  • Les demandes relatives à un conflit de voisinage (actions visées aux articles R. 211-3-4 et R. 211-3-8 du COJ)

[Si exigence de tentative de règlement amiable du litige]

Conformément à l’article 750-1 du Code de procédure civile, préalablement à la saisine du Tribunal de céans, [identité du demandeur] a tenté de résoudre amiablement le litige en proposant, dans le cadre d’une [conciliation menée par un conciliateur de justice / de médiation / de procédure participative] à [identité du défendeur] de [préciser les diligences accomplies] :

Toutefois, cette tentative de règlement amiable n’a pas abouti pour les raisons suivantes : [préciser les raisons de l’échec]

[Si dispense de tentative de règlement amiable du litige]

En application de l’article 750-1 du Code de procédure civile, préalablement à la saisine du Tribunal de céans, [identité du demandeur] n’a pas tenté de résoudre amiablement le litige pour la raison suivante :

  • L’une des parties au moins sollicite l’homologation d’un accord
  • L’exercice d’un recours préalable était obligatoire
  • L’absence de recours à l’un des modes de résolution amiable est justifiée par un motif légitime
  • Le juge ou l’autorité administrative doit, en application d’une disposition particulière, procéder à une tentative préalable de conciliation
  • Le litige est relatif au crédit à la consommation, au crédit immobilier, aux regroupements de crédits, aux sûretés personnelles, au délai de grâce, à la lettre de change et billets à ordre, aux règles de conduite et rémunération et formation du prêteur et de l’intermédiaire

I) RAPPEL DES FAITS

  • Exposer les faits de façon synthétique et objective, tel qu’ils pourraient être énoncés dans le jugement à intervenir
  • Chaque élément de fait doit, en toute rigueur, être justifié au moyen d’une pièce visée dans le bordereau joint en annexe, numérotée et communiquée à la partie adverse et au juge

II) DISCUSSION

À titre de remarque liminaire, il convient de distinguer :

  • La prétention qui est le contenu de la demande
  • Le moyen qui est le raisonnement façonné pour justifier la demande
  • L’argument qui est un élément de fait ou de droit qui structure le moyen

1. Exposé des prétentions

Il s’agit ici d’exposer les prétentions formulées auprès de la Juridiction saisie en développant une argumentation juridique articulée autour de moyens en fait et en droit.

2. Hiérarchisation des prétentions

Lorsque plusieurs prétentions sont formulées par le demandeur, il y a lieu de les hiérarchiser en identifiant :

  • La demande principale
    • Il s’agit de la demande qui exprime la prétention la plus importance, soit celle qui prime sur toutes les autres
    • Le juge doit dès lors examiner la demande principale avant de statuer sur les demandes subsidiaires
  • Les demandes subsidiaires
    • Il s’agit des demandes alternatives, en ce sens qu’elles ne doivent être examinées par le Juge que dans l’hypothèse où il déciderait de ne pas faire droit à la demande principale
  • Les demandes accessoires
    • Il s’agit de demandes complémentaires qui se rattachent aux demandes principales et subsidiaires
    • Elles sont formulées, le plus souvent, en tout état de cause
    • Ces demandes consistent, par exemple, à réclamer la condamnation de la partie adverse aux dépens et au paiement des frais irrépétibles au titre de l’article 700 du Code de procédure civile

3. Présentation des prétentions

Les prétentions formulées par le demandeur doivent être présentées au moyen d’un plan, lequel vise à faciliter la lecture de l’acte par le juge.

Deux situations peuvent être distinguées :

  • Les prétentions formulées par le demandeur sont cumulatives, car d’égale importance
  • Les prétentions formulées par le demandeur sont alternatives, car d’inégale importance

==> Les prétentions du demandeur sont cumulatives

Dans cette hypothèse, il conviendra de présenter les prétentions selon une logique chronologique, en les ordonnant, par exemple, de la plus pertinente à celle qui a le moins de chance d’être retenue par le Juge, en terminant par celles relatives à l’exécution provisoire (si justifiée), aux frais irrépétibles et aux dépens

  • Sur la demande A
  • Sur la demande B
  • Sur la demande C

                   […]

  • Sur l’exécution provisoire
  • Sur les frais irrépétibles et les dépens

==> Les prétentions du demandeur sont alternatives

Dans cette hypothèse, il conviendra de présenter les prétentions selon une logique hiérarchique :

I) A titre principal, sur la demande A

II) A titre subsidiaire, sur la demande B

III) A titre infiniment subsidiaire, sur la demande C

                            […]

 IV) En tout état de cause

  1. Sur la demande D
  2. Sur les frais irrépétibles et les dépends

4. Formulation des prétentions

La rédaction d’une assignation ou d’un jeu de conclusions obéit à deux règles fondamentales :

  • La nécessité de recourir au syllogisme juridique aux fins de justifier les prétentions
  • L’obligation de viser les pièces produites au soutien de chaque prétention

==> Sur la nécessité de recourir au syllogisme juridique aux fins de justifier les prétentions

Qu’il s’agisse d’une assignation ou de conclusions, les écritures judiciaires doivent formuler expressément les prétentions ainsi que les moyens en fait et en droit sur lesquels chacune de ces prétentions est fondée.

Autrement dit, chaque moyen développé au soutien d’une prétention doit être formulé sous la forme d’un raisonnement juridique façonnée au moyen d’un syllogisme.

Le syllogisme consiste en un raisonnement logique qui met en relation trois propositions :

  • La majeure: l’énoncé de la règle de droit applicable
  • La mineure: l’énoncé des faits du litige
  • La conclusion: l’application de la règle de droit aux faits

Exemple :

  • Tous les hommes sont mortels (majeure)
  • Or Socrate est un homme (mineure)
  • Donc Socrate est mortel (conclusion)

Les deux prémisses sont des propositions données et supposées vraies : le syllogisme permet d’établir la validité formelle de la conclusion, qui est nécessairement vraie si les prémisses sont effectivement vraies.

==> Sur l’obligation de viser les pièces produites au soutien de chaque prétention

Toutes les demandes et tous les arguments soulevés en demande et en défense doivent être prouvés par celui qui les allègue (articles 4 et 9 du CPC).

C’est la raison pour laquelle, toutes les pièces produites au cours des débats doivent être communiquées à la partie adverse dans les formes requises.

  • Obligation de communication des pièces
    • L’article 132 du Code de procédure civile prévoit que
      • D’une part, la partie qui fait état d’une pièce s’oblige à la communiquer à toute autre partie à l’instance.
      • D’autre part, la communication des pièces doit être spontanée.
  • Obligation de viser les pièces et de les numéroter
    • L’article 768 du Code de procédure civile prévoit que chacune des prétentions doit être fondée avec indication pour chaque prétention des pièces invoquées et de leur numérotation.
  • Obligation d’établir un bordereau de pièces
    • L’article 768, al. 1er in fine du Code de procédure civile prévoit que, un bordereau énumérant les pièces justifiant les prétentions doit être annexé à l’assignation.

5. Exécution provisoire, frais irrépétibles et dépens

Pour conclure la discussion, il convient de ne pas omettre de solliciter :

  • L’exécution provisoire si elle est compatible avec la demande formulée
  • La condamnation du défendeur au paiement des frais irrépétibles
  • La condamnation du défendeur aux entiers dépens

==> Sur l’exécution provisoire

Depuis l’entrée en vigueur du décret n° 2019-1333 du 11 décembre 2019 l’exécution provisoire est désormais de droit pour les décisions de première instance (art. 514 CPC).

Par exception, elle est susceptible d’être écartée dans trois cas :

  • Lorsque la loi le prévoit
  • Lorsque le juge le décide, d’office ou sur la demande des parties, considérant que ;
    • Soit elle est incompatible avec la nature de l’affaire
    • Soit qu’elle risque d’entraîner des conséquences manifestement excessives
  • Lorsque, en cas d’appel de la décision rendue, trois conditions cumulatives sont réunies :
    • D’une part, il existe un moyen sérieux d’annulation ou de réformation
    • D’autre part, que l’exécution risque d’entraîner des conséquences manifestement excessives
    • Enfin, si le demandeur a fait valoir ses observations sur l’exécution provisoire en première instance, auquel cas cette dernière n’est recevable, outre l’existence d’un moyen sérieux d’annulation ou de réformation, que si l’exécution provisoire risque d’entraîner des conséquences manifestement excessives qui se sont révélées postérieurement à la décision de première instance

==> Sur les dépens

Les dépens sont régis aux articles 695 et suivants et Code de procédure civile.

  • Notion
    • Les dépens sont les frais nécessaires à la conduite du procès dont le montant est fixé, soit par voie réglementaire, soit par décision judiciaire
    • Les dépens sont énumérés à l’article 695 du Code de procédure civile
    • Il s’agit de frais répétibles, en ce sens qu’ils sont supportés par la partie perdante
  • Les frais compris dans les dépens
    • Les dépens afférents aux instances, actes et procédures d’exécution comprennent :
      • Les droits, taxes, redevances ou émoluments perçus par les greffes des juridictions ou l’administration des impôts à l’exception des droits, taxes et pénalités éventuellement dus sur les actes et titres produits à l’appui des prétentions des parties ;
      • Les frais de traduction des actes lorsque celle-ci est rendue nécessaire par la loi ou par un engagement international ;
      • Les indemnités des témoins ;
      • La rémunération des techniciens ;
      • Les débours tarifés ;
      • Les émoluments des officiers publics ou ministériels ;
      • La rémunération des avocats dans la mesure où elle est réglementée y compris les droits de plaidoirie ;
      • Les frais occasionnés par la notification d’un acte à l’étranger ;
      • Les frais d’interprétariat et de traduction rendus nécessaires par les mesures d’instruction effectuées à l’étranger à la demande des juridictions dans le cadre du règlement (CE) n° 1206/2001 du Conseil du 28 mai 2001 relatif à la coopération entre les juridictions des États membres dans le domaine de l’obtention des preuves en matière civile et commerciale ;
      • Les enquêtes sociales ordonnées en application des articles 1072, 1171 et 1221 ;
      • La rémunération de la personne désignée par le juge pour entendre le mineur, en application de l’article 388-1 du code civil ;
      • Les rémunérations et frais afférents aux mesures, enquêtes et examens requis en application des dispositions de l’article 1210-8.
  • La charge des dépens
    • Principe : la partie succombant au procès
      • L’article 696 du CPC prévoit que la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie.
    • Tempéraments : responsabilité des auxiliaires de justice
      • L’article 697 dispose que les avocats, anciens avoués et huissiers de justice peuvent être personnellement condamnés aux dépens afférents aux instances, actes et procédures d’exécution accomplis en dehors des limites de leur mandat.
      • L’article 698 énonce encore que les dépens afférents aux instances, actes et procédures d’exécution injustifiés sont à la charge des auxiliaires de justice qui les ont faits, sans préjudice des dommages-intérêts qui seraient réclamés. Il en est de même des dépens afférents aux instances, actes et procédures d’exécution nuls par l’effet de leur faute.

==> Sur les frais irrépétibles

Les frais irrépétibles sont régis par l’article 700 du Code de procédure civile.

  • Notion
    • Les frais irrépétibles se définissent négativement comme ceux, non tarifés, engagés par une partie à l’occasion d’une instance non compris dans les dépens prévus par l’article 695 du nouveau Code de procédure civile.
    • L’originalité de l’article 700 du Code de procédure civile tient au fait que, par définition, les frais irrépétibles sont ceux dont la partie gagnante ne peut obtenir le remboursement.
    • Or, ce texte a justement pour objet de lui permettre d’obtenir, à titre de compensation, une indemnisation forfaitaire de ses frais non compris dans les dépens (honoraires d’avocat, frais de transport et de séjour pour les besoins du procès, frais d’expertise amiable, etc.)
  • Conditions
    • L’existence d’une instance
      • L’article 700 du nouveau Code de procédure civile a une portée très générale dans la mesure où il concerne toutes les juridictions de l’ordre judiciaire statuant en matière civile, commerciale, sociale, rurale ou prud’homale (article 749 du nouveau Code de procédure civile).
      • Il est toutefois limité aux instances contentieuses et contradictoires.
    • La succombance de l’une des parties
      • L’article 700 du nouveau Code de procédure civile désigne la partie que le juge a la faculté de condamner au paiement d’une indemnité au titre des frais irrépétibles : il s’agit, en principe, de la partie tenue au paiement des dépens de l’instance dans les procédures avec dépens.
      • Ainsi, c’est normalement la charge des dépens qui va permettre au juge de déterminer la partie qui va devoir supporter la charge des frais irrépétibles.
      • À titre dérogatoire, dans les procédures gratuites ou sans dépens, la « partie perdante » pourra, le cas échéant, être condamnée par le juge à supporter la charge des frais irrépétibles.
      • La partie qui doit supporter l’intégralité des dépens ne peut demander d’indemnité pour frais irrépétibles.
    • L’existence de frais non compris dans les dépens
      • En principe, il s’agit de dépenses effectuées à l’occasion de l’instance par une partie non comprises dans les dépens.
      • Il n’est pas nécessaire que les dépenses aient été effectuées au moment de la demande.
      • En pratique, le justiciable n’est donc pas tenu de produire en justice une facture acquittée à l’appui de la demande de remboursement de ses frais irrépétibles.
    • La présentation d’une demande au titre des frais irrépétibles
      • À la différence de la condamnation aux dépens, le juge n’est pas tenu de statuer sur les frais irrépétibles, s’il n’est pas saisi d’une demande en ce sens.
      • En cas de désistement d’instance au principal, la demande formée au titre de l’article 700 du nouveau Code de procédure civile par le demandeur peut être maintenue.
      • Réciproquement, ce désistement ne fait pas obstacle à une demande du défendeur en paiement des frais irrépétibles.
  • Frais concernés
    • Les frais irrépétibles comprennent notamment :
      • Les honoraires d’avocat
      • Les frais de déplacement, de démarches, de voyage et de séjour
      • Les frais engagés pour obtenir certaines pièces ;
      • Les honoraires versés à certains consultants techniques amiables (brevet, informatique, etc.) ou experts amiables

==> Formulation de la demande

Compte tenu de ce qu’il serait inéquitable de laisser à la charge de [nom du demandeur] les frais irrépétibles qu’il a été contraint d’exposer en justice aux fins de défendre ses intérêts, il est parfaitement fondé à solliciter la condamnation de [nom du défendeur] le paiement de la somme de [montant] au titre de l’article 700 du Code de procédure civile, outre les entiers dépens.

L’exécution provisoire n’étant pas incompatible avec la nature de l’affaire pendante par-devant le Tribunal de céans, elle sera ordonnée dans la décision à intervenir.

PAR CES MOTIFS

Il est de principe que le juge ne statue que sur les prétentions énoncées au dispositif et n’examine les moyens au soutien de ces prétentions que s’ils sont invoqués dans la discussion.

Cette règle impose, autrement dit, aux parties de synthétiser leurs prétentions dans un « dispositif » introduit par la formule « par ces motifs ».

Le dispositif constitue, en quelque sorte, la conclusion du raisonnement juridique.

A cet égard, le juge ne sera tenu de se prononcer que sur les termes de ce dispositif, soit sur les prétentions qui y sont énoncées.

Il est d’usage que le dispositif soit rédigé en ces termes :

Vu les articles […]
Vu la jurisprudence
Vu les pièces versées au débat

Il est demandé au Tribunal judiciaire de [ville] de :

Déclarant la demande de [Nom du demandeur] recevable et bien fondée,

I) À titre principal

  • CONSTATER que […]
  • DIRE ET JUGER que […]

 En conséquence,

  • ORDONNER […]
  • PRONONCER […]
  • CONDAMNER

II) À titre subsidiaire

[…]

III) À titre infiniment subsidiaire

[…]

IV) En tout état de cause

  • DIRE ET JUGER qu’il serait inéquitable de laisser à la charge de [nom du demandeur] les frais irrépétibles qu’il a été contraint d’exposer en justice aux fins de défendre ses intérêts

En conséquence,

  • CONDAMNER [nom de l’adversaire] au paiement de la somme de [montant] au titre de l’article 700 du Code de procédure civile
  • CONDAMNER [nom de l’adversaire] aux entiers dépens
  • ORDONNER l’exécution provisoire de la décision à intervenir

SOUS TOUTES RESERVES ET CE AFIN QU’ILS N’EN IGNORENT

DEMANDE FONDÉE SUR LES PIÈCES SUIVANTES :

(1)

La question de la sous-traitance des traitements de données à caractère personnel a été introduite à l’article 35 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés lors de la transposition de la directive 95/46/CE du 24 octobre 1995 par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

==> La loi informatique et libertés

L’article 35 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés prévoyait que les données personnelles ne peuvent faire l’objet d’un traitement par un sous-traitant que « sur instruction du responsable du traitement ».

Plusieurs garanties étaient prévues pour encadrer ces opérations :

  • Le sous-traitant doit présenter des « garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité » ;
  • Le contrat entre le sous-traitant et le responsable du traitement doit indiquer les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et que celui-ci ne peut agir que sur instruction du responsable du traitement ;
  • En tout état de cause, les garanties offertes par le sous-traitant ne déchargent pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

==> Le RGPD

Le règlement 2016/679 du 27 avril 2016 a eu pour conséquence d’étendre le champ des obligations applicables aux sous-traitants.

Son chapitre IV fixe un ensemble d’obligations aussi bien aux responsables de traitements qu’aux sous-traitants susceptibles d’intervenir dans les opérations de traitement :

  • La mise en œuvre de mesures techniques et organisationnelles appropriées de nature à démontrer que le traitement respecte le règlement et la protection des droits de la personne concernée, par exemple à travers l’application d’un code de conduite ou d’un mécanisme de certification approuvés (articles 24 et 28) ;
  • La tenue d’un registre des activités de traitement effectuées, selon le cas, sous leur responsabilité ou pour le compte du responsable du traitement (87) (article 30) ;
  • La coopération avec l’autorité de contrôle (article 31) ;
  • La mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (88), par exemple à travers l’application d’un code de conduite ou d’un mécanisme de certification approuvés (article 32) ;
  • La notification, selon le cas, à l’autorité de contrôle ou au responsable de traitement de toute violation de données à caractère personnel (article 33) ;
  • La désignation d’un délégué à la protection des données dès lors que le sous-traitant entre dans le champ des organismes pour lesquels cette désignation est obligatoire (article 37).

L’article 28 prévoit des obligations spécifiques pour les sous-traitants :

  • En premier lieu, il s’agit de l’obligation de recueillir l’autorisation écrite préalable du responsable du traitement pour le recrutement d’un autre sous-traitant.
  • En second lieu, le contrat liant le responsable du traitement au sous-traitant doit comporter un certain nombre de garanties.

Afin, de savoir si un opérateur qui manipule des données à caractère personnel est soumis à ces obligations, il convient de déterminer s’il endosse le statut de responsable du traitement ou de sous-traitant.

I) Définitions

A) La notion de responsable du traitement

Selon le groupe de l’article 29 la notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application du RGPD, car elles déterminent la ou les personnes chargées de faire respecter les règles en matière de protection des données et la manière dont les personnes concernées peuvent exercer leurs droits dans la pratique.

Ainsi, en présence d’un traitement de données à caractère personnel il convient de déterminer le responsable à qui il échoit de respecter les règles de protection des droits et libertés et de supporter d’éventuelles sanctions administratives, civiles voire pénales.

Le rôle premier de la notion de responsable du traitement est donc de déterminer qui est chargé de faire respecter les règles de protection des données, et comment les personnes concernées peuvent exercer leurs droits dans la pratique. En d’autres termes, il s’agit d’attribuer les responsabilités.

L’article 3 de la loi informatique et libertés définit le responsable du traitement comme « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».

Dans une approche plus restrictive, la convention 108 désigne le responsable du traitement comme le « «maître du fichier» lequel est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées. »

Cette définition n’a pas été retenue par le RGPD qui prévoit, en son article 4, 7), que le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».

À l’examen, la définition du responsable du traitement énoncée dans la directive s’articule, selon le G29, autour de trois composantes principales :

  • L’aspect individuel: « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme »
  • La possibilité d’une responsabilité pluraliste: « qui seul ou conjointement avec d’autres »
  • Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs: « détermine les finalités et les moyens du traitement de données à caractère personnel »

Afin de déterminer la ou les personnes responsables d’un traitement de données à caractère personne, il convient de se reporter à la méthodologie élaborée par le G29 dans son avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant».

  1. L’aspect personnel

Le premier élément de la définition a trait à l’aspect personnel: qui peut être responsable du traitement, et donc considéré comme responsable en dernier ressort des obligations découlant de la directive.

La définition reproduit exactement le libellé de l’article 2 de la convention 108 et n’a fait l’objet d’aucun débat particulier lors du processus d’adoption de la directive. Elle renvoie à un vaste éventail de sujets susceptibles de jouer le rôle de responsable du traitement, de la personne physique à la personne morale, en passant par «tout autre organisme».

Il importe que l’interprétation de ce point garantisse la bonne application de la directive, en favorisant autant que possible une identification claire et univoque du responsable du traitement en toutes circonstances, même si aucune désignation officielle n’a été faite et rendue publique.

Il convient avant tout de s’écarter le moins possible de la pratique établie dans les secteurs public et privé par d’autres domaines du droit, tels que le droit civil, le droit administratif et le droit pénal.

Dans la plupart des cas, ces dispositions indiqueront à quelles personnes ou à quels organismes les responsabilités doivent être attribuées et permettront, en principe, d’identifier le responsable du traitement.

==> Principe : le responsable du traitement est une personne morale

Dans la perspective stratégique d’attribution des responsabilités, et afin que les personnes concernées puissent s’adresser à une entité plus stable et plus fiable lorsqu’elles exercent les droits qui leur sont conférés par la directive, il est préférable de considérer comme responsable du traitement la société ou l’organisme en tant que tel, plutôt qu’une personne en son sein.

C’est en effet la société ou l’organisme qu’il convient de considérer, en premier ressort, comme responsable du traitement des données et des obligations énoncées par la législation relative à la protection des données, à moins que certains éléments précis n’indiquent qu’une personne physique doive être responsable.

D’une manière générale, on partira du principe qu’une société ou un organisme public est responsable en tant que tel des opérations de traitement qui se déroulent dans son domaine d’activité et de risques.

Parfois, les sociétés et les organismes publics désignent une personne précise pour être responsable de l’exécution des opérations de traitement.

Cependant, même lorsqu’une personne physique est désignée pour veiller au respect des principes de protection des données ou pour traiter des données à caractère personnel, elle n’est pas responsable du traitement mais agit pour le compte de la personne morale (société ou organisme public), qui demeure responsable en cas de violation des principes, en sa qualité de responsable du traitement.

==> Exception : le responsable du traitement peut être une personne physique

Une analyse distincte s’impose dans le cas où une personne physique agissant au sein d’une personne morale utilise des données à des fins personnelles, en dehors du cadre et de l’éventuel contrôle des activités de la personne morale.

Dans ce cas, la personne physique en cause serait responsable du traitement décidé, et assumerait la responsabilité de cette utilisation de données à caractère personnel. Le responsable du traitement initial pourrait néanmoins conserver une certaine part de responsabilité si le nouveau traitement a eu lieu du fait d’une insuffisance des mesures de sécurité.

Ainsi, le rôle du responsable du traitement est décisif et revêt une importance particulière lorsqu’il s’agit de déterminer les responsabilités et d’infliger des sanctions.

Même si celles-ci varient d’un État membre à l’autre parce qu’elles sont imposées selon les droits nationaux, la nécessité d’identifier clairement la personne physique ou morale responsable des infractions à la législation sur la protection des données est sans nul doute un préalable indispensable à la bonne application de la loi informatique et libertés.

2. La possibilité d’une personne pluraliste

La possibilité que le responsable du traitement agisse «seul ou conjointement avec d’autres» n’avait pas été prévue initialement par les textes.

Ainsi, n’était-il pas envisagé le cas où tous les responsables du traitement décident de façon égale et sont responsables de façon égale d’un même traitement.

Pourtant, la réalité montre qu’il ne s’agit là que d’une des facettes de la «responsabilité pluraliste». Dans cette optique, «conjointement» doit être interprété comme signifiant «ensemble avec» ou «pas seul», sous différentes formes et associations.

Il convient tout d’abord de noter que la probabilité de voir de multiples acteurs participer au traitement de données à caractère personnel est naturellement liée à la multiplicité des activités qui, selon la loi, peuvent constituer un «traitement» devenant, au final, l’objet de la «coresponsabilité».

La définition du traitement énoncée à l’article 2 de la loi informatique et libertés n’exclut pas la possibilité que différents acteurs participent à plusieurs opérations ou ensembles d’opérations appliquées à des données à caractère personnel.

Ces opérations peuvent se dérouler simultanément ou en différentes étapes.

Dans un environnement aussi complexe, il importe d’autant plus que les rôles et les responsabilités puissent facilement être attribués, pour éviter que les complexités de la coresponsabilité n’aboutissent à un partage des responsabilités impossible à mettre en œuvre, qui compromettrait l’efficacité de la législation sur la protection des données.

Ainsi, une coresponsabilité naît lorsque plusieurs parties déterminent, pour certaines opérations de traitement :

  • soit la finalité
  • soit les éléments essentiels des moyens qui caractérisent un responsable du traitement

Cependant, dans le cadre d’une coresponsabilité, la participation des parties à la détermination conjointe peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale.

En effet, lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche (en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les moyens, ou une partie de ceux-ci).

Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données.

Par exemple, le simple fait que différentes parties coopèrent dans le traitement de données à caractère personnel, par exemple dans une chaîne, ne signifie pas qu’elles sont coresponsables dans tous les cas. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble commun d’opérations, doit être considéré uniquement comme un transfert de données entre des responsables distincts.

L’appréciation peut toutefois être différente si plusieurs acteurs décident de créer une infrastructure commune afin de poursuivre leurs propres finalités individuelles. En créant cette infrastructure, ces acteurs déterminent les éléments essentiels des moyens à utiliser et deviennent coresponsables du traitement des données, du moins dans cette mesure, même s’ils ne partagent pas nécessairement les mêmes finalités.

À cet égard, l’article 26 du RGPD prévoit que :

  • D’une part, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.
  • D’autre part, l’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
  • Enfin, indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

3. Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs

Le responsable du traitement est celui qui « détermine les finalités et les moyens du traitement de données à caractère personnel ».

Cette composante comporte deux éléments qu’il convient d’analyser séparément :

  • Détermine
  • Les finalités et les moyens du traitement

a) Détermine

La notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc sur une analyse factuelle plutôt que formelle.

Par conséquent, un examen long et approfondi sera parfois nécessaire pour déterminer cette responsabilité. L’impératif d’efficacité impose cependant d’adopter une approche pragmatique pour assurer une prévisibilité de la responsabilité.

À cet égard, des règles empiriques et des présomptions concrètes sont nécessaires pour guider et simplifier l’application de la législation en matière de protection des données.

Ceci implique une interprétation de la directive garantissant que «l’organisme qui détermine» puisse être facilement et clairement identifié dans la plupart des cas, en s’appuyant sur les éléments de droit et/ou de fait à partir desquels l’on peut normalement déduire une influence de fait, en l’absence d’indices contraires.

Ces contextes peuvent être analysés et classés selon les trois catégories de situations

suivantes, qui permettent d’aborder ces questions de façon systématique:

==> Responsabilité découlant d’une compétence explicitement donnée par la loi

Il s’agit notamment du cas visé dans la seconde partie de la définition, à savoir lorsque le responsable du traitement ou les critères spécifiques pour le désigner sont fixés par le droit national ou communautaire.

La désignation explicite du responsable du traitement par le droit n’est pas courante et ne présente généralement pas de grandes difficultés. Dans certains pays, le droit national prévoit que les pouvoirs publics assument la responsabilité du traitement des données à caractère personnel effectué dans le cadre de leurs fonctions

Il est cependant plus fréquent que la législation, plutôt que de désigner directement le responsable du traitement ou de fixer les critères de sa désignation, charge une personne, ou lui impose, de collecter et traiter certaines données.

Cela pourrait être le cas d’une entité qui se voit confier certaines missions publiques (par exemple, la sécurité sociale) ne pouvant être réalisées sans collecter au moins quelques données à caractère personnel, et qui crée un registre afin de s’en acquitter.

Dans ce cas, c’est donc le droit qui détermine le responsable du traitement. De façon plus générale, la loi peut obliger des entités publiques ou privées à conserver ou fournir certaines données. Ces entités seraient alors normalement considérées comme responsables de tout traitement de données à caractère personnel intervenant dans ce cadre.

==> Responsabilité découlant d’une compétence implicite

Il s’agit du cas où le pouvoir de déterminer n’est pas explicitement prévu par le droit, ni la conséquence directe de dispositions juridiques explicites, mais découle malgré tout de règles juridiques générales ou d’une pratique juridique établie relevant de différentes matières (droit civil, droit commercial, droit du travail, etc.).

Dans ce cas, les rôles traditionnels qui impliquent normalement une certaine responsabilité permettront d’identifier le responsable du traitement: par exemple, l’employeur pour les informations sur ses salariés, l’éditeur pour les informations sur ses abonnés, l’association pour les informations sur ses membres ou adhérents.

Dans tous ces exemples, le pouvoir de déterminer les activités de traitement peut être considéré comme naturellement lié au rôle fonctionnel d’une organisation (privée), entraînant au final également des responsabilités en matière de protection des données.

Du point de vue juridique, peu importe que le pouvoir de déterminer soit confié aux entités juridiques mentionnées, qu’il soit exercé par les organes appropriés agissant pour leur compte, ou par une personne physique dans le cadre de fonctions similaires.

==> Responsabilité découlant d’une influence de fait

Il s’agit du cas où la responsabilité du traitement est attribuée après une évaluation des circonstances factuelles. Un examen des relations contractuelles entre les différentes parties concernées sera bien souvent nécessaire.

Cette évaluation permet de tirer des conclusions externes, attribuant le rôle et les obligations de responsable du traitement à une ou plusieurs parties.

Il peut arriver qu’un contrat ne désigne aucun responsable du traitement mais qu’il contienne suffisamment d’éléments pour attribuer cette responsabilité à une personne qui exerce apparemment un rôle prédominant à cet égard. Il se peut également que le contrat soit plus explicite en ce qui concerne le responsable du traitement.

S’il n’y a aucune raison de penser que les clauses contractuelles ne reflètent pas exactement la réalité, rien ne s’oppose à leur application. Les clauses d’un contrat ne sont toutefois pas toujours déterminantes, car les parties auraient alors la possibilité d’attribuer la responsabilité à qui elles l’entendent.

Le fait même qu’une personne détermine comment les données à caractère personnel sont traitées peut entraîner la qualification de responsable du traitement, même si cette qualification sort du cadre d’une relation contractuelle ou si elle est expressément exclue par un contrat.

b) Les finalités et les moyens du traitement

La détermination des finalités et des moyens revient à établir respectivement le «pourquoi» et le «comment» de certaines activités de traitement.

Dans cette optique, et puisque ces deux éléments sont indissociables, il est nécessaire de donner des indications sur le degré d’influence qu’une entité doit avoir sur le «pourquoi» et le «comment» pour être qualifiée de responsable du traitement.

Lorsqu’il s’agit d’évaluer la détermination des finalités et des moyens en vue d’attribuer le rôle de responsable du traitement, la question centrale qui se pose est donc le degré de précision auquel une personne doit déterminer les finalités et les moyens afin d’être considérée comme un responsable du traitement et, en corollaire, la marge de manœuvre que la directive laisse à un sous-traitant.

Ces définitions prennent tout leur sens lorsque divers acteurs interviennent dans le traitement de données à caractère personnel et qu’il est nécessaire de déterminer lesquels d’entre eux sont responsables du traitement (seuls ou conjointement avec d’autres) et lesquels sont à considérer comme des sous-traitants, le cas échéant.

L’importance à accorder aux finalités ou aux moyens peut varier en fonction du contexte particulier dans lequel intervient le traitement.

Il convient d’adopter une approche pragmatique mettant davantage l’accent sur le pouvoir discrétionnaire de déterminer les finalités et sur la latitude laissée pour prendre des décisions.

Les questions qui se posent alors sont celle du motif du traitement et celle du rôle d’éventuels acteurs liés, tels que les sociétés d’externalisation de services: la société qui a confié ses services à un prestataire extérieur aurait-elle traité les données si le responsable du traitement ne le lui avait pas demandé, et à quelles conditions?

Un sous-traitant pourrait suivre les indications générales données principalement sur les finalités et ne pas entrer dans les détails en ce qui concerne les moyens.

S’agissant de la détermination des «moyens», ce terme comprend de toute évidence des éléments très divers, ce qu’illustre d’ailleurs l’évolution de la définition.

En effet, «moyens» ne désigne pas seulement les moyens techniques de traiter des données à caractère personnel, mais également le «comment» du traitement, qui comprend des questions comme «quelles données seront traitées», «quels sont les tiers qui auront accès à ces données», «à quel moment les données seront-elles effacées», etc.

La détermination des «moyens» englobe donc à la fois des questions techniques et d’organisation, auxquelles les sous-traitants peuvent tout aussi bien répondre (par exemple, «quel matériel informatique ou logiciel utiliser?»), et des aspects essentiels qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable du traitement, tels que «quelles sont les données à traiter?», «pendant combien de temps doivent-elles être traitées?», «qui doit y avoir accès», etc.

Dans ce contexte, alors que la détermination de la finalité du traitement emporterait systématiquement la qualification de responsable du traitement, la détermination des moyens impliquerait une responsabilité uniquement lorsqu’elle concerne les éléments essentiels des moyens.

Dans cette optique, il est tout à fait possible que les moyens techniques et d’organisation soient déterminés exclusivement par le sous-traitant des données.

Dans ce cas, lorsque les finalités sont bien définies mais qu’il existe peu, voire aucune indication sur les moyens techniques et d’organisation, les moyens devraient représenter une façon raisonnable d’atteindre la ou les finalités, et le responsable du traitement devrait être parfaitement informé des moyens utilisés.

Si un contractant avait une influence sur la finalité et qu’il procédait au traitement (également) à des fins personnelles, par exemple en utilisant les données à caractère personnel reçues en vue de créer des services à valeur ajoutée, il deviendrait alors responsable du traitement (ou éventuellement coresponsable du traitement) pour une autre activité de traitement et serait donc soumis à toutes les obligations prévues par la législation applicable en matière de protection des données.

B) La notion de sous-traitant

Alors que la notion de sous-traitant n’était pas définie dans la convention 108, elle figure désormais en bonne place dans le RGPD.

L’article 4 de ce texte prévoit que le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Selon le G29 tout comme la définition du responsable du traitement, celle du sous-traitant envisage un large éventail d’acteurs pour tenir ce rôle («… une personne physique ou morale, une autorité publique, un service ou tout autre organisme …»).

L’existence d’un sous-traitant dépend du responsable du traitement, qui peut décider :

  • soit de traiter les données au sein de son organisation, par exemple en habilitant des collaborateurs à traiter les données sous son autorité directe
  • soit de déléguer tout ou partie des activités de traitement à une organisation extérieure, comme l’indique l’exposé des motifs de la proposition modifiée de la Commission, par «une personne juridiquement distincte du responsable mais agissant pour son compte»

Par conséquent, les deux conditions fondamentales pour agir en qualité de sous-traitant sont :

  • d’une part, d’être une entité juridique distincte du responsable du traitement
  • d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier.

L’activité de traitement peut se limiter à une tâche ou un contexte bien précis, ou être plus générale et étendue.

En outre, le rôle de sous-traitant ne découle pas de la nature de l’entité traitant des données mais de ses activités concrètes dans un cadre précis.

En d’autres termes, la même entité peut agir à la fois en qualité de responsable du traitement pour certaines opérations de traitement et en tant que sous-traitant pour d’autres opérations, et la qualification de responsable ou de sous-traitant doit être évaluée au regard d’un ensemble spécifique de données ou d’opérations.

L’aspect le plus important est l’exigence que le sous-traitant agisse «…pour le compte du responsable de traitement…». «Agir pour le compte de» signifie servir les intérêts d’un tiers et renvoie à la notion juridique de délégation.

Dans le cas de la législation relative à la protection des données, un sous-traitant est amené à exécuter les instructions données par le responsable du traitement, au moins en ce qui concerne la finalité du traitement et les éléments essentiels des moyens.

Dans cette perspective, la licéité de l’activité de traitement de données du sous-traitant est déterminée par le mandat donné par le responsable du traitement. Un sous-traitant qui outrepasse son mandat et acquiert un rôle important dans la détermination des finalités ou des moyens essentiels du traitement est davantage un (co)responsable qu’un sous-traitant.

A cet égard, l’article 35 de la loi informatique et libertés prévoit que « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

Ainsi, est-il fait obligation pour le responsable du traitement de définir contractuellement la mission confiée au sous-traitant.

II) Les conditions de recours à la sous-traitance

Deux conditions doivent être remplies pour que le responsable d’un traitement de données à caractère personnel puisse avoir recours à un sous-traitant.

Une condition additionnelle s’ajoute lorsque c’est le sous-traitant qui souhaite sous-traiter tout ou partie de la mission qui lui est confiée.

==> Première condition : la présentation de garanties suffisantes

L’article 28, §1 du RGPD prévoit que lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

Le considérant 81 précise que le responsable du traitement ne doit faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement.

Pratiquement, afin de fournir au responsable du traitement les garanties suffisantes, cela signifie pour le sous-traitant que :

  • Dès la conception de ses outils, applications et services ils intègrent de façon effective les principes relatifs à la protection des données
  • Par défaut ses outils, applications et services garantissent que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès.

Selon la CNIL, la constitution de ces garanties peut, par exemple, impliquer :

  • De permettre au responsable du traitement de paramétrer par défaut et a minima la collecte de données et ne pas rendre techniquement obligatoire le renseignement d’un champ facultatif
  • De ne collecter que les données strictement nécessaires à la finalité du traitement (minimisation des données) de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée
  • De gérer des habilitations et droits d’accès informatiques « donnée par donnée » ou sur demande des personnes concernées (pour les réseaux sociaux par exemple)

Le §5 de l’article 28 ajoute que l’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes.

==> Seconde condition : l’établissement d’un contrat de sous-traitance

L’article 28, §3 du RGPD subordonne le recours à un sous-traitant au respect d’une seconde condition, soit à l’établissement d’un contrat de sous-traitance.

Cette disposition prévoit en ce sens que le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement.

Ce contrat doit définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées.

Il doit, en outre, se présenter sous une forme écrite, y compris au format électronique.

Le considérant 81 précise qu’il doit être tenu compte, pour ce faire, des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée.

A cet égard, le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission.

Outre ces informations qui doivent figurer au contrat, l’article 28, §3 dispose que le contrat de sous-traitance doit prévoir, notamment, que le sous-traitant :

  • Ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;
  • Veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
  • Prend toutes les mesures requises en vertu de l’article 32, soit celles relatives à la sécurité du traitement des données
  • Respecte les conditions visées aux paragraphes 2 et 4 de l’article 28 du RGPD pour recruter un autre sous-traitant, ce qui signifie notamment que le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement.
  • Tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;
  • Aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant (sécurité du traitement, notification des violations de données et analyse d’impact) ;
  • Selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel ;
  • Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. En ce qui concerne ce dernier point, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

==> Condition additionnelle en cas de sous-traitance par un sous-traitant

L’article 28, §2 du RGPD dispose que « le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. »

Ainsi, le recours par un sous-traitant à un sous-traitant est-il subordonné à l’autorisation préalable du responsable du traitement.

Cette autorisation peut être, au choix des parties, spécifique, c’est-à-dire accordée pour un sous-traitant particulier, ou générale.

Dans ce dernier cas, un certain nombre de règles devront être observées par le sous-traitant.

L’article 28 précise, en effet, que « dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements ».

Le responsable du traitement doit dès lors, en tout état de cause, être informé de tout changement intervenant dans la sous-traitance de la mission qu’il a confiée à son sous-traitant.

Surtout, il pourra s’opposer ou poser des conditions dans l’hypothèse où le prestataire retenu par son sous-traitant pour exécuter tout ou partie de la mission confiée ne lui conviendrait pas.

III) Les obligations qui incombent au sous-traitant

Deux sortes de sous-traitant peuvent être distinguées :

  • Le sous-traitant du responsable du traitement
  • Le sous-traitant du sous-traitant

A) Les obligations qui incombent au sous-traitant du responsable du traitement

Depuis l’adoption du RGPD, l’obligation qui incombe au sous-traitant ne se limite pas seulement au respect des conditions de sécurité du traitement, comme tel était le cas sous l’empire du droit antérieur.

Désormais, les obligations qui s’imposent à lui sont bien plus nombreuses et contraignantes.

A cet égard, il ressort du RGPD que ces obligations sont au nombre de trois :

==> L’obligation de transparence et de traçabilité

L’obligation de transparence et de traçabilité qui échoit au sous-traitant s’infère de plusieurs devoirs que le RGPD met à sa charge :

  • Devoir d’établir avec le responsable du traitement un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du règlement européen.
  • Devoir de recenser par écrit les instructions adressées au sous-traitant afin de prouver qu’il agit « sur instruction documentée du responsable de traitement»
  • Devoir de demander l’autorisation écrite du responsable du traitement afin de déléguer la mission confiée à un sous-traitant
  • Devoir de mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations du sous-traitant et pour permettre la réalisation d’audits.
  • Devoir de tenir un registre qui recense les clients pour le compte desquels le sous-traitant opère et qui décrit les traitements effectués pour leur compte.

==> L’obligation de sécurité du traitement

L’obligation de sécurité du traitement implique, pour le sous-traitant :

  • D’assurer la confidentialité des données traitées pour le compte des responsables de traitement
  • De notifier au responsable du traitement toute violation de ses données
  • De prendre toute mesure utile pour garantir un niveau de sécurité adapté aux risques encourus par le traitement.
  • Au terme de la prestation et selon les instructions du responsable du traitement
    • De supprimer, toutes les données et les lui restituer.
    • De détruire les copies existantes sauf obligation légale de les conserver.

==> L’obligation d’assistance, d’alerte et de conseil

L’obligation d’assistance, d’alerte et de conseil implique pour le sous-traitant de :

  • Alerter le responsable du traitement si l’une de ses instructions est constitutive d’une violation des règles en matière de protection des données
  • Assister le responsable du traitement, dans la mesure du possible, quant à la prise en charge d’une demande formulée par la personne concernée d’exercice de ses droits (accès, rectification, effacement, portabilité, opposition, ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage)
  • Aider le responsable du traitement à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.

III) Les obligations qui incombent au sous-traitant du sous-traitant

L’article 28, § 4 du RGPD prévoit que « lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement ».

Ainsi, le sous-traitant du sous-traitant est-il soumis aux mêmes obligations que le sous-traitant du responsable du traitement.

Reste que lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

Pour rappel, il ressort des articles 82 et 83 du RGPD que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part, tant du responsable de traitement, que du sous-traitant.

Par ailleurs, le sous-traitant est susceptible de faire l’objet de sanctions administratives importantes pouvant s’élever, selon la catégorie de l’infraction, jusqu’à 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 2% ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.

Il convient, dans ces conditions, pour le sous-traitant de faire preuve d’une extrêmement vigilance lorsqu’il sous-traite la mission qui lui a été confiée par le responsable du traitement. Son statut ne l’exonère pas de sa responsabilité.

(0)

==> Les textes

Aux termes de l’article 6, 1° de la loi informatique et libertés, « un traitement ne peut porter que sur des données à caractère personnel qui […] sont collectées et traitées de manière loyale et licite ».

Les principes de loyauté et de licéité sont également énoncés par la Charte européenne des droits fondamentaux en son article 8(2).

Le texte prévoit que les données à caractère personnel « doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. »

Les principes directeurs de l’ONU prévoient encore que « les données concernant les personnes ne doivent pas être obtenues ou traitées à l’aide de procédés illicites ou déloyaux, ni utilisées à des fins contraires aux buts et aux principes de la Charte des Nations Unies. »

Selon le RGPD, les principes de loyauté et de licéité répondent à un impératif de transparence.

À cet égard, le considérant 39 énonce que, « le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées ».

==> Distinction entre les principes de loyauté et de licéité

Il convient d’observer que le principe de loyauté se distingue du principe de licéité.

  • Un traitement de données peut parfaitement être licite, car autorisé par la loi, mais déloyale car ne répondant pas aux exigences de transparence dictées par le principe de loyauté
  • À l’inverse, un traitement peut être illicite, car prohibé par les textes, mais loyal car effectué en toute transparence pour la personne concernée

Tandis que le respect du principe de licéité s’apprécie au regard d’un seul critère, le respect de la règle de droit, l’observation du principe de loyauté est plus délicate à établir.

Il s’infère, en effet, du principe de loyauté plusieurs obligations pour le responsable du traitement :

  • Une obligation d’information
  • Une obligation de garantir l’exercice des droits d’accès et d’opposition
  • Une obligation de garantir la conservation limitée des données traitées
  • Une obligation de garantir la confidentialité et la sécurité des données traitées

I) Sur l’obligation d’information

A) Sur les modalités d’exécution de l’obligation d’information

Selon le RGPD, le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples.

Autrement dit, il appartient au responsable du traitement de rendre facilement accessible les informations qu’il lui appartient de communiquer aux personnes dont les données à caractère personnel sont collectées.

Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur :

  • l’identité du responsable du traitement
  • les finalités du traitement
  • leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement.

B) Sur le contenu de l’obligation d’information

Le responsable du traitement est tenu de communiquer à la personne concernée un certain nombre d’informations.

  1. Informations relatives à la collecte de données à caractère personnel

a) L’exigence de collecte directe

L’obligation de loyauté, suppose que les données soient collectées directement auprès de la personne concernée

Par nature un traitement de données à caractère personnel est regardé comme déloyal, dès lors qu’il est effectué à l’insu de la personne concernée.

Aussi, appartient-il au responsable du traitement d’informer la personne dont les données sont collectées de l’existence d’un traitement.

Dans un arrêt du 14 mars 2006, la Cour de cassation a qualifié de déloyal la collecte d’adresses électroniques, « en ce qu’elles ont été utilisées sans rapport avec l’objet de leur mise en ligne »[1].

Dans une décision du n°2016-007 du 26 janvier 2016, la CNIL a encore considéré que la collecte de données relatives à la navigation d’internautes au moyen de cookies sans les en avertir constituait un manquement à la règle aux termes de laquelle les données à caractère personnel sont collectées et traitées de manière loyale et licite.

 Ainsi, pour qu’un traitement de données à caractère personnel soit loyal, la personne concernée doit être informée de l’existence du traitement.

b) La prohibition de la collecte indirecte

==> Notion

La collecte est indirecte lorsqu’elle n’est pas directement réalisée auprès de la personne concernée, soit lorsqu’elle intervient par l’entremise d’une tierce personne.

Il en va ainsi en cas d’achat d’un fichier de données ou de collecte sur une plateforme numérique.

En effet, de nombreuses entreprises achètent, cèdent ou revendent des fichiers de données à caractère personnel, qui sont ainsi collectées de façon indirecte.

Dans cette hypothèse, pour ne pas être considérée comme déloyale, la collecte indirecte doit nécessairement s’accompagner d’une information à la personne concernée de l’existence d’un traitement de ses données ainsi que de ses droits qui en découlent (droit d’accès, d’opposition etc.).

Le fait que la personne dont les données sont collectées indirectement ait déjà consenti au traitement de ses données ne dispense pas l’auteur d’une collecte indirecte de satisfaire à son obligation d’information.

==> Droit antérieur

Il peut être observé que, avant l’entrée en vigueur de la loi du 6 août 2004 transposant la directive du 24 octobre 1995, cette obligation n’existait pas.

À cet égard, dans un arrêt du 25 octobre 1995, la Cour de cassation avait explicitement considéré que « la loi du 6 janvier 1978 ne fait nulle obligation au responsable du fichier, qui recueille auprès de tiers des informations nominatives aux fins de traitement, d’en avertir la personne concernée »[2].

==> Droit positif

  • Principe
    • La loi du 6 août 2004 a pris le contre-pied de la Cour de cassation en posant à l’article 32 de la loi informatique et libertés que « lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données»
    • Ainsi, le principe est désormais la prohibition de la collecte de données à caractère personnel, sauf à en informer la personne concernée.
  • Exceptions
    • La prohibition de la collecte indirecte de données a été assortie par le législateur de 5 exceptions énoncées aux articles 26, 27 et 32, III de la loi informatique et libertés :
      • Première exception (art. 32 LIL)
        • Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l’alinéa précédent ne s’appliquent pas aux traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ou à la réutilisation de ces données à des fins statistiques dans les conditions de l’article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques.
        • Ainsi, dès lors qu’il s’agit d’exploiter les données collectées à des fins historiques, statistiques ou scientifiques, il n’est pas nécessaire d’en informer la personne concernée.
      • Seconde exception (art. 32 LIL)
        • Il est encore fait exception à la prohibition de la collecte indirecte de données lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la démarche.
        • Dans l’hypothèse où l’information de la personne dont les données sont collectées est matériellement difficile à mettre en œuvre, voire impossible, alors l’auteur de la collecte indirecte s’en trouve dispensé.
      • Troisième exception (art. 26 LIL)
        • La collecte indirecte est autorisée lorsque les données recueillies indirectement sont utilisées au profit d’un traitement dit « de souveraineté » mis en œuvre pour l’Etat (intéressant la sûreté de l’Etat, la défense ou la sécurité publique ou ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté)
        • Reste que cette collecte est subordonnée à autorisation par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés
      • Quatrième exception (art. 26 LIL)
        • La collecte indirecte de données est encore autorisée lorsqu’elle a pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.
        • Là encore, l’autorisation est soumise à l’édiction d’un arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés
      • Cinquième exception (art. 27 LIL)
        • Il est prévu que la collecte indirecte de données est autorisée pour les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.
        • L’autorisation ne peut résulter que d’un décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés.

Au bilan, sauf à s’inscrire dans l’une des exceptions prévues par le législateur, la collecte indirecte de données à caractère personnel est prohibée.

Dans un arrêt du 12 mars 2014, le Conseil d’État a considéré en ce sens que le responsable d’un traitement de données n’est pas exonéré de ses obligations « du fait du caractère indirect de la collecte des données »[3].

En l’espèce, la juridiction administrative relève que :

  • D’une part, les personnes dont les données à caractère personnel étaient extraites de réseaux sociaux pour être agrégées au service d’annuaire ” Pages Blanches ” n’étaient informées de leur droit d’opposition que si elles consultaient ce service
  • D’autre part, le droit d’opposition ne pouvait être exercé de manière effective et durable, eu égard à la complexité de la procédure et à la circonstance que les demandes imprécises ou incomplètes n’étaient pas traitées
  • Enfin, que l’exercice du droit de rectification n’était pas garanti, le responsable du traitement estimant qu’il en était exonéré du fait du caractère indirect de la collecte des données ; qu’ainsi, la formation restreinte de la CNIL, qui est légalement tenue de garantir

Le Conseil d’État en déduit que la collecte ainsi réalisée présentait un caractère déloyal.

2. Informations relatives aux droits de la personne concernée

L’information de la personne dont les données sont collectées de l’existence d’un traitement ne suffit pas, elle doit être complétée par la fourniture d’informations relatives aux droits qui lui sont conférés par la loi informatique et libertés.

Plus précisément, l’information doit porter sur 3 éléments :

  • Les risques, règles, garanties et droits liés au traitement des données à caractère personnel
  • Les modalités d’exercice de leurs droits en ce qui concerne le traitement dont les personnes concernées font l’objet
  • Les finalités spécifiques du traitement qui doit être explicite et légitime et déterminée lors de la collecte des données à caractère personnel

II) Une obligation de garantir la conservation limitée des données traitées

==> La conservation des données

Selon le considérant 39 du RGPD, le respect du principe de loyauté exige que le responsable du traitement garantisse la durée de conservation des données soit limitée au strict minimum.

Aussi, afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique.

Par ailleurs, la garantie tenant à la conservation des données suppose qu’elles soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;

Dans sa décision du 11 octobre 2005, la CNIL a eu l’occasion d’affirmer que « face à la mémoire de l’informatique, seul le principe du “droit” à l’oubli consacré par l’article 6-5° de la loi du 6 janvier 1978 peut garantir que les données collectées sur les individus ne soient pas conservées, dans les entreprises, pour des durées qui pourraient apparaître comme manifestement excessive »[4].

À cet égard, le droit à l’oubli a été consacré par le RGPD qui prévoit que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais ».

==> La durée de conservation

La durée de conservation doit être établie en fonction de la finalité de chaque traitement.

Le responsable de traitement la fixe de façon “raisonnable” en fonction de l’objectif du traitement.

La détermination de la durée de conservation doit s’appuyer sur le critère « une donnée vivante est une donnée dont on a régulièrement besoin ». Cette durée correspond à la durée de vie des archives courantes.

Au-delà, les données peuvent être faire l’objet d’archives intermédiaires, voire d’archives définitives.

III) Sur l’obligation de garantir la confidentialité et la sécurité des données traitées

Autre obligation qui participe du respect du principe de loyauté, celle qui commande au responsable du traitement d’assurer la confidentialité et la sécurité des données traitées.

Autrement dit, les données à caractère personnel doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement.

Le niveau de sécurité attendu est fixé par l’article 32 du RGPD.

Cette disposition prévoit que compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

  • La pseudonymisation et le chiffrement des données à caractère personnel;
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

De son côté, l’article 34 de la loi informatique et libertés dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Afin de garantir un niveau de sécurité satisfaisant, le chiffrement des données est fortement encouragé par la CNIL.

Dans son rapport annuel de 2017, elle a ainsi souligné que « dans un contexte de numérisation croissante de nos sociétés et d’accroissement exponentiel des cybermenaces, le chiffrement est un élément vital de notre sécurité. Il contribue aussi à la robustesse de notre économie numérique et de ses particules élémentaires que sont les données à caractère personnel, dont la protection est garantie par l’article 8 de la Charte des droits fondamentaux de l’Union européenne ».

Le Conseil national du numérique, dans son avis de septembre 2017, a, pris une position similaire, rappelant que « le chiffrement est un outil vital pour la sécurité en ligne ; en conséquence, il doit être diffusé massivement auprès des citoyens, des acteurs économiques et des administrations ».

[1] Cass. crim., 14 mars 2006, n° 05-83423

[2] Cass., ch. crim., 25 oct. 1995, n° 94-85781

[3] CE, 12 mars 2014, n° 353193, Sté Pages Jaunes

[4] Délibération n°2005-213 du 11 octobre 2005

(0)

Selon le groupe de l’article 29 la notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application du RGPD, car elles déterminent la ou les personnes chargées de faire respecter les règles en matière de protection des données et la manière dont les personnes concernées peuvent exercer leurs droits dans la pratique.

Ainsi, en présence d’un traitement de données à caractère personnel il convient de déterminer le responsable à qui il échoit de respecter les règles de protection des droits et libertés et de supporter d’éventuelles sanctions administratives, civiles voire pénales.

Le rôle premier de la notion de responsable du traitement est donc de déterminer qui est chargé de faire respecter les règles de protection des données, et comment les personnes concernées peuvent exercer leurs droits dans la pratique. En d’autres termes, il s’agit d’attribuer les responsabilités.

L’article 3 de la loi informatique et libertés définit le responsable du traitement comme « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».

Dans une approche plus restrictive, la convention 108 désigne le responsable du traitement comme le « «maître du fichier» lequel est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées. »

Cette définition n’a pas été retenue par le RGPD qui prévoit, en son article 4, 7), que le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».

À l’examen, la définition du responsable du traitement énoncée dans la directive s’articule, selon le G29, autour de trois composantes principales :

  • L’aspect individuel: « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme »
  • La possibilité d’une responsabilité pluraliste: « qui seul ou conjointement avec d’autres »
  • Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs: « détermine les finalités et les moyens du traitement de données à caractère personnel »

Afin de déterminer la ou les personnes responsables d’un traitement de données à caractère personne, il convient de se reporter à la méthodologie élaborée par le G29 dans son avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant».

I) L’aspect personnel

Le premier élément de la définition a trait à l’aspect personnel: qui peut être responsable du traitement, et donc considéré comme responsable en dernier ressort des obligations découlant de la directive.

La définition reproduit exactement le libellé de l’article 2 de la convention 108 et n’a fait l’objet d’aucun débat particulier lors du processus d’adoption de la directive. Elle renvoie à un vaste éventail de sujets susceptibles de jouer le rôle de responsable du traitement, de la personne physique à la personne morale, en passant par «tout autre organisme».

Il importe que l’interprétation de ce point garantisse la bonne application de la directive, en favorisant autant que possible une identification claire et univoque du responsable du traitement en toutes circonstances, même si aucune désignation officielle n’a été faite et rendue publique.

Il convient avant tout de s’écarter le moins possible de la pratique établie dans les secteurs public et privé par d’autres domaines du droit, tels que le droit civil, le droit administratif et le droit pénal.

Dans la plupart des cas, ces dispositions indiqueront à quelles personnes ou à quels organismes les responsabilités doivent être attribuées et permettront, en principe, d’identifier le responsable du traitement.

==> Principe : le responsable du traitement est une personne morale

Dans la perspective stratégique d’attribution des responsabilités, et afin que les personnes concernées puissent s’adresser à une entité plus stable et plus fiable lorsqu’elles exercent les droits qui leur sont conférés par la directive, il est préférable de considérer comme responsable du traitement la société ou l’organisme en tant que tel, plutôt qu’une personne en son sein.

C’est en effet la société ou l’organisme qu’il convient de considérer, en premier ressort, comme responsable du traitement des données et des obligations énoncées par la législation relative à la protection des données, à moins que certains éléments précis n’indiquent qu’une personne physique doive être responsable.

D’une manière générale, on partira du principe qu’une société ou un organisme public est responsable en tant que tel des opérations de traitement qui se déroulent dans son domaine d’activité et de risques.

Parfois, les sociétés et les organismes publics désignent une personne précise pour être responsable de l’exécution des opérations de traitement.

Cependant, même lorsqu’une personne physique est désignée pour veiller au respect des principes de protection des données ou pour traiter des données à caractère personnel, elle n’est pas responsable du traitement mais agit pour le compte de la personne morale (société ou organisme public), qui demeure responsable en cas de violation des principes, en sa qualité de responsable du traitement.

==> Exception : le responsable du traitement peut être une personne physique

Une analyse distincte s’impose dans le cas où une personne physique agissant au sein d’une personne morale utilise des données à des fins personnelles, en dehors du cadre et de l’éventuel contrôle des activités de la personne morale.

Dans ce cas, la personne physique en cause serait responsable du traitement décidé, et assumerait la responsabilité de cette utilisation de données à caractère personnel. Le responsable du traitement initial pourrait néanmoins conserver une certaine part de responsabilité si le nouveau traitement a eu lieu du fait d’une insuffisance des mesures de sécurité.

Ainsi, le rôle du responsable du traitement est décisif et revêt une importance particulière lorsqu’il s’agit de déterminer les responsabilités et d’infliger des sanctions.

Même si celles-ci varient d’un État membre à l’autre parce qu’elles sont imposées selon les droits nationaux, la nécessité d’identifier clairement la personne physique ou morale responsable des infractions à la législation sur la protection des données est sans nul doute un préalable indispensable à la bonne application de la loi informatique et libertés.

II) La possibilité d’une personne pluraliste

La possibilité que le responsable du traitement agisse «seul ou conjointement avec d’autres» n’avait pas été prévue initialement par les textes.

Ainsi, n’était-il pas envisagé le cas où tous les responsables du traitement décident de façon égale et sont responsables de façon égale d’un même traitement.

Pourtant, la réalité montre qu’il ne s’agit là que d’une des facettes de la «responsabilité pluraliste». Dans cette optique, «conjointement» doit être interprété comme signifiant «ensemble avec» ou «pas seul», sous différentes formes et associations.

Il convient tout d’abord de noter que la probabilité de voir de multiples acteurs participer au traitement de données à caractère personnel est naturellement liée à la multiplicité des activités qui, selon la loi, peuvent constituer un «traitement» devenant, au final, l’objet de la «coresponsabilité».

La définition du traitement énoncée à l’article 2 de la loi informatique et libertés n’exclut pas la possibilité que différents acteurs participent à plusieurs opérations ou ensembles d’opérations appliquées à des données à caractère personnel.

Ces opérations peuvent se dérouler simultanément ou en différentes étapes.

Dans un environnement aussi complexe, il importe d’autant plus que les rôles et les responsabilités puissent facilement être attribués, pour éviter que les complexités de la coresponsabilité n’aboutissent à un partage des responsabilités impossible à mettre en œuvre, qui compromettrait l’efficacité de la législation sur la protection des données.

Ainsi, une coresponsabilité naît lorsque plusieurs parties déterminent, pour certaines opérations de traitement :

  • soit la finalité
  • soit les éléments essentiels des moyens qui caractérisent un responsable du traitement

Cependant, dans le cadre d’une coresponsabilité, la participation des parties à la détermination conjointe peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale.

En effet, lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche (en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les moyens, ou une partie de ceux-ci).

Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données.

Par exemple, le simple fait que différentes parties coopèrent dans le traitement de données à caractère personnel, par exemple dans une chaîne, ne signifie pas qu’elles sont coresponsables dans tous les cas. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble commun d’opérations, doit être considéré uniquement comme un transfert de données entre des responsables distincts.

L’appréciation peut toutefois être différente si plusieurs acteurs décident de créer une infrastructure commune afin de poursuivre leurs propres finalités individuelles. En créant cette infrastructure, ces acteurs déterminent les éléments essentiels des moyens à utiliser et deviennent coresponsables du traitement des données, du moins dans cette mesure, même s’ils ne partagent pas nécessairement les mêmes finalités.

À cet égard, l’article 26 du RGPD prévoit que :

  • D’une part, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.
  • D’autre part, l’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
  • Enfin, indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

III) Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs

Le responsable du traitement est celui qui « détermine les finalités et les moyens du traitement de données à caractère personnel ».

Cette composante comporte deux éléments qu’il convient d’analyser séparément :

  • Détermine
  • Les finalités et les moyens du traitement

A) Détermine

La notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc sur une analyse factuelle plutôt que formelle.

Par conséquent, un examen long et approfondi sera parfois nécessaire pour déterminer cette responsabilité. L’impératif d’efficacité impose cependant d’adopter une approche pragmatique pour assurer une prévisibilité de la responsabilité.

À cet égard, des règles empiriques et des présomptions concrètes sont nécessaires pour guider et simplifier l’application de la législation en matière de protection des données.

Ceci implique une interprétation de la directive garantissant que «l’organisme qui détermine» puisse être facilement et clairement identifié dans la plupart des cas, en s’appuyant sur les éléments de droit et/ou de fait à partir desquels l’on peut normalement déduire une influence de fait, en l’absence d’indices contraires.

Ces contextes peuvent être analysés et classés selon les trois catégories de situations suivantes, qui permettent d’aborder ces questions de façon systématique:

==> Responsabilité découlant d’une compétence explicitement donnée par la loi

Il s’agit notamment du cas visé dans la seconde partie de la définition, à savoir lorsque le responsable du traitement ou les critères spécifiques pour le désigner sont fixés par le droit national ou communautaire.

La désignation explicite du responsable du traitement par le droit n’est pas courante et ne présente généralement pas de grandes difficultés. Dans certains pays, le droit national prévoit que les pouvoirs publics assument la responsabilité du traitement des données à caractère personnel effectué dans le cadre de leurs fonctions

Il est cependant plus fréquent que la législation, plutôt que de désigner directement le responsable du traitement ou de fixer les critères de sa désignation, charge une personne, ou lui impose, de collecter et traiter certaines données.

Cela pourrait être le cas d’une entité qui se voit confier certaines missions publiques (par exemple, la sécurité sociale) ne pouvant être réalisées sans collecter au moins quelques données à caractère personnel, et qui crée un registre afin de s’en acquitter.

Dans ce cas, c’est donc le droit qui détermine le responsable du traitement. De façon plus générale, la loi peut obliger des entités publiques ou privées à conserver ou fournir certaines données. Ces entités seraient alors normalement considérées comme responsables de tout traitement de données à caractère personnel intervenant dans ce cadre.

==> Responsabilité découlant d’une compétence implicite

Il s’agit du cas où le pouvoir de déterminer n’est pas explicitement prévu par le droit, ni la conséquence directe de dispositions juridiques explicites, mais découle malgré tout de règles juridiques générales ou d’une pratique juridique établie relevant de différentes matières (droit civil, droit commercial, droit du travail, etc.).

Dans ce cas, les rôles traditionnels qui impliquent normalement une certaine responsabilité permettront d’identifier le responsable du traitement: par exemple, l’employeur pour les informations sur ses salariés, l’éditeur pour les informations sur ses abonnés, l’association pour les informations sur ses membres ou adhérents.

Dans tous ces exemples, le pouvoir de déterminer les activités de traitement peut être considéré comme naturellement lié au rôle fonctionnel d’une organisation (privée), entraînant au final également des responsabilités en matière de protection des données.

Du point de vue juridique, peu importe que le pouvoir de déterminer soit confié aux entités juridiques mentionnées, qu’il soit exercé par les organes appropriés agissant pour leur compte, ou par une personne physique dans le cadre de fonctions similaires.

==> Responsabilité découlant d’une influence de fait

Il s’agit du cas où la responsabilité du traitement est attribuée après une évaluation des circonstances factuelles. Un examen des relations contractuelles entre les différentes parties concernées sera bien souvent nécessaire.

Cette évaluation permet de tirer des conclusions externes, attribuant le rôle et les obligations de responsable du traitement à une ou plusieurs parties.

Il peut arriver qu’un contrat ne désigne aucun responsable du traitement mais qu’il contienne suffisamment d’éléments pour attribuer cette responsabilité à une personne qui exerce apparemment un rôle prédominant à cet égard. Il se peut également que le contrat soit plus explicite en ce qui concerne le responsable du traitement.

S’il n’y a aucune raison de penser que les clauses contractuelles ne reflètent pas exactement la réalité, rien ne s’oppose à leur application. Les clauses d’un contrat ne sont toutefois pas toujours déterminantes, car les parties auraient alors la possibilité d’attribuer la responsabilité à qui elles l’entendent.

Le fait même qu’une personne détermine comment les données à caractère personnel sont traitées peut entraîner la qualification de responsable du traitement, même si cette qualification sort du cadre d’une relation contractuelle ou si elle est expressément exclue par un contrat.

B) Les finalités et les moyens du traitement

La détermination des finalités et des moyens revient à établir respectivement le «pourquoi» et le «comment» de certaines activités de traitement.

Dans cette optique, et puisque ces deux éléments sont indissociables, il est nécessaire de donner des indications sur le degré d’influence qu’une entité doit avoir sur le «pourquoi» et le «comment» pour être qualifiée de responsable du traitement.

Lorsqu’il s’agit d’évaluer la détermination des finalités et des moyens en vue d’attribuer le rôle de responsable du traitement, la question centrale qui se pose est donc le degré de précision auquel une personne doit déterminer les finalités et les moyens afin d’être considérée comme un responsable du traitement et, en corollaire, la marge de manœuvre que la directive laisse à un sous-traitant.

Ces définitions prennent tout leur sens lorsque divers acteurs interviennent dans le traitement de données à caractère personnel et qu’il est nécessaire de déterminer lesquels d’entre eux sont responsables du traitement (seuls ou conjointement avec d’autres) et lesquels sont à considérer comme des sous-traitants, le cas échéant.

L’importance à accorder aux finalités ou aux moyens peut varier en fonction du contexte particulier dans lequel intervient le traitement.

Il convient d’adopter une approche pragmatique mettant davantage l’accent sur le pouvoir discrétionnaire de déterminer les finalités et sur la latitude laissée pour prendre des décisions.

Les questions qui se posent alors sont celle du motif du traitement et celle du rôle d’éventuels acteurs liés, tels que les sociétés d’externalisation de services: la société qui a confié ses services à un prestataire extérieur aurait-elle traité les données si le responsable du traitement ne le lui avait pas demandé, et à quelles conditions?

Un sous-traitant pourrait suivre les indications générales données principalement sur les finalités et ne pas entrer dans les détails en ce qui concerne les moyens.

S’agissant de la détermination des «moyens», ce terme comprend de toute évidence des éléments très divers, ce qu’illustre d’ailleurs l’évolution de la définition.

En effet, «moyens» ne désigne pas seulement les moyens techniques de traiter des données à caractère personnel, mais également le «comment» du traitement, qui comprend des questions comme «quelles données seront traitées», «quels sont les tiers qui auront accès à ces données», «à quel moment les données seront-elles effacées», etc.

La détermination des «moyens» englobe donc à la fois des questions techniques et d’organisation, auxquelles les sous-traitants peuvent tout aussi bien répondre (par exemple, «quel matériel informatique ou logiciel utiliser?»), et des aspects essentiels qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable du traitement, tels que «quelles sont les données à traiter?», «pendant combien de temps doivent-elles être traitées?», «qui doit y avoir accès», etc.

Dans ce contexte, alors que la détermination de la finalité du traitement emporterait systématiquement la qualification de responsable du traitement, la détermination des moyens impliquerait une responsabilité uniquement lorsqu’elle concerne les éléments essentiels des moyens.

Dans cette optique, il est tout à fait possible que les moyens techniques et d’organisation soient déterminés exclusivement par le sous-traitant des données.

Dans ce cas, lorsque les finalités sont bien définies mais qu’il existe peu, voire aucune indication sur les moyens techniques et d’organisation, les moyens devraient représenter une façon raisonnable d’atteindre la ou les finalités, et le responsable du traitement devrait être parfaitement informé des moyens utilisés.

Si un contractant avait une influence sur la finalité et qu’il procédait au traitement (également) à des fins personnelles, par exemple en utilisant les données à caractère personnel reçues en vue de créer des services à valeur ajoutée, il deviendrait alors responsable du traitement (ou éventuellement coresponsable du traitement) pour une autre activité de traitement et serait donc soumis à toutes les obligations prévues par la législation applicable en matière de protection des données.

(0)