Lorsque deux organisations ou plus décident ensemble des finalités et des moyens d’un traitement de données personnelles, elles deviennent co-responsables au sens de l’article 26 du RGPD. Cette situation est plus fréquente qu’on ne le pense : elle concerne aussi bien les grandes entreprises que les PME et les associations. Depuis aout 2025, la CNIL est officiellement l’une des autorites de regulation de l’IA Act, ce qui implique que les situations de co-responsabilite entre fournisseurs et deploieurs de systemes d’IA doivent desormais etre formalisees tant au regard du RGPD que du reglement sur l’intelligence artificielle (source : CNIL, AI Act).
Pourtant, de nombreuses situations de co-responsabilité restent non formalisées, exposant les partenaires à une responsabilité solidaire accrue. Ce guide détaille le cadre juridique de l’article 26, explique comment identifier une situation de co-responsabilité, présente les clauses essentielles de l’accord et fournit des exemples concrets.
La distinction entre co-responsabilité et sous-traitance (article 28) est un préalable indispensable. La désignation d’un DPO facilite la coordination entre co-responsables et la gestion de leurs obligations respectives.
Points Clés
- L’article 26 s’applique dès que deux entités déterminent conjointement les finalités et les moyens essentiels d’un traitement de données personnelles.
- Les co-responsables doivent formaliser leurs obligations dans un accord transparent, dont les grandes lignes sont mises à disposition des personnes concernées.
- La qualification repose sur une analyse factuelle de l’influence réelle sur le traitement, indépendamment des termes contractuels.
- Les personnes concernées peuvent exercer leurs droits auprès de chacun des co-responsables, quelle que soit la répartition interne.
Le cadre juridique de l’article 26 du RGPD
L’article 26 du RGPD est structuré en trois paragraphes formant un cadre complet pour la responsabilité conjointe.
Le premier paragraphe pose le principe fondateur : lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont responsables conjoints. Ce critère est purement factuel. La CJUE a confirmé dans l’arrêt Wirtschaftsakademie (C-210/16) qu’il suffit d’exercer une influence déterminante sur les finalités ou les moyens essentiels pour être qualifié de co-responsable, même sans accès direct aux données.
Le deuxième paragraphe impose de définir de manière transparente les obligations respectives par voie d’accord. Cet accord précise les modalités d’exercice des droits des personnes et les obligations d’information prévues aux articles 13 et 14. Ses grandes lignes doivent être accessibles aux personnes concernées.
Le troisième paragraphe protège les personnes en leur permettant d’exercer leurs droits à l’égard de chacun des responsables, indépendamment des termes de l’accord interne.
La co-responsabilité est une qualification factuelle : elle découle de l’influence réelle sur les finalités et les moyens du traitement, pas des termes du contrat.
Comment distinguer co-responsabilité et sous-traitance ?
La distinction entre responsabilité conjointe (article 26) et sous-traitance (article 28) est un enjeu central de la conformité. Une qualification erronée invalide le cadre contractuel et expose à des sanctions.
Critères d’identification du co-responsable
Le critère déterminant est le degré d’autonomie dans la définition des finalités et des moyens essentiels du traitement. Le sous-traitant agit sur instruction et ne détermine ni le pourquoi ni le comment fondamental. Il peut disposer d’une latitude sur les moyens techniques non essentiels sans devenir co-responsable.
Dès qu’une entité participe à la définition des finalités ou influence les moyens essentiels, elle devient co-responsable. Dans l’arrêt Fashion ID (C-40/17), la CJUE a jugé qu’un site intégrant un bouton social de Facebook devient co-responsable pour la collecte et la transmission des données.
Exemples concrets de co-responsabilité
Les situations de co-responsabilité touchent tous les secteurs. Deux entreprises mettant en place un programme de fidélité commun et décidant ensemble des données collectées et des actions marketing sont co-responsables. Un hôpital et un laboratoire collaborant sur une étude clinique en définissant conjointement le protocole de collecte relèvent de l’article 26. Les lignes directrices du CEPD précisent que les responsables d’une plateforme et les annonceurs co-définissant les critères de ciblage sont co-responsables.
Clauses essentielles de l’accord de co-responsabilité
L’accord prévu par l’article 26 doit couvrir l’ensemble des obligations liées au traitement conjoint.
La gestion des droits des personnes concernées doit être répartie : quel co-responsable reçoit et traite les demandes d’accès, de rectification ou de droit d’opposition ? Les obligations d’information doivent être attribuées : qui rédige les mentions conformes aux articles 13 et 14 ? La base juridique doit être identifiée par chaque co-responsable.
L’accord prévoit également la gestion des incidents de sécurité et la procédure de notification conformément à l’article 33. Les mesures de sécurité techniques et organisationnelles de chaque partie doivent être décrites.
Enfin, les conditions de fin de partenariat sont essentielles : sort des données personnelles, procédure de suppression ou d’anonymisation, gestion des demandes postérieures à la dissolution. Il est recommandé de tenir un registre des traitements reflétant la réalité de la co-responsabilité.
Comment mettre en oeuvre l’accord au quotidien ?
Un accord de co-responsabilité n’a de valeur que s’il est effectivement appliqué. Sa mise en oeuvre requiert des processus concrets et une gouvernance partagée.
Organisation de la coordination opérationnelle
La première étape consiste à désigner un point de contact unique pour les personnes concernées, identifiable via les mentions d’information ou un formulaire de collecte conforme. Des canaux de communication sécurisés entre co-responsables permettent le traitement des demandes de droits et la gestion des incidents.
L’accord doit être révisé au minimum une fois par an ou à chaque évolution significative du traitement. Les modifications des finalités, l’ajout de nouvelles catégories de données ou le changement de base juridique imposent une mise à jour et une information des personnes concernées.
Un accord de co-responsabilité est un document vivant : sa révision régulière est la condition de sa conformité durable.
Risques et sanctions en cas de non-conformité
Le non-respect de l’article 26 expose à des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, conformément à l’article 83 du RGPD.
La responsabilité solidaire constitue le risque le plus significatif. L’article 82 dispose que lorsque plusieurs responsables participent au même traitement, chacun est tenu responsable du dommage total causé. Une personne concernée peut demander l’intégralité de la réparation à un seul co-responsable. La CNIL a confirmé cette approche dans plusieurs décisions.
L’absence d’accord formalisé aggrave systématiquement la situation lors d’un contrôle. La démarche de mise en conformité doit intégrer un audit des situations de co-responsabilité.
FAQ
Une entreprise peut-elle être co-responsable sans le savoir ?
Oui, c’est une situation fréquente. La co-responsabilité est une qualification factuelle qui s’impose indépendamment de la volonté des parties. Une entreprise qui participe à la définition des finalités d’un traitement est co-responsable même si le contrat la qualifie de prestataire. La CJUE a réaffirmé ce principe dans l’arrêt Jehovan todistajat (C-25/17). Il est essentiel d’auditer régulièrement ses partenariats pour identifier les situations non formalisées.
L’accord de co-responsabilité doit-il être publié intégralement ?
Non. L’article 26 exige seulement que les grandes lignes de l’accord soient mises à disposition des personnes concernées. Un résumé accessible dans la politique de confidentialité, précisant l’identité des co-responsables, leurs rôles respectifs et le point de contact pour l’exercice des droits, suffit à satisfaire cette exigence de transparence.
Comment gérer une violation de données en situation de co-responsabilité ?
L’accord doit prévoir la procédure de gestion des violations. Idéalement, il désigne le co-responsable chargé de la notification à l’autorité dans le délai de 72 heures. Le co-responsable qui découvre la violation informe immédiatement les autres. Ils collaborent ensuite pour évaluer le risque, mettre en oeuvre les mesures correctives et communiquer aux personnes concernées. En l’absence de clause spécifique, chaque co-responsable reste individuellement tenu de notifier.
Conclusion
L’article 26 du RGPD encadre une réalité croissante du traitement des données : la collaboration entre plusieurs acteurs déterminant ensemble les objectifs et modalités d’un traitement. Formaliser un accord de responsabilité conjointe constitue un outil de gouvernance indispensable pour sécuriser les partenariats et protéger les droits des personnes. Les organisations qui intègrent cette exigence dans leur démarche de conformité transforment une obligation réglementaire en levier de confiance, essentiel pour pérenniser leurs collaborations.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
