Article 26 RGPD : la responsabilité conjointe décryptée

L’article 26 du RGPD est le grand oublié des programmes de conformité. Quand une entreprise déploie un bouton de partage social, intègre une solution de mesure d’audience tierce, ouvre une page sur un réseau social, opère une marketplace ou pilote une joint venture autour d’une base clients commune, la qualification de responsabilité conjointe se pose — et l’absence d’accord au sens de l’Art. 26(1) constitue un manquement autonome, sanctionnable au plafond haut de l’Art. 83(5)(a) RGPD. Dans ma pratique de conseil, je constate que neuf groupes sur dix sous-estiment leur exposition Art. 26 : ils raisonnent en sous-traitance Art. 28 par défaut, alors que la jurisprudence CJUE a considérablement élargi le périmètre de la co-responsabilité depuis 2018. Voici l’analyse paragraphe par paragraphe de l’article, la jurisprudence structurante et un plan opérationnel pour 2026.

Ce que dit l’article 26 du RGPD

L’Art. 26 RGPD s’intitule « Responsables conjoints du traitement ». Il appartient au chapitre IV (« Responsable du traitement et sous-traitant ») et complète directement l’Art. 24 RGPD sur l’accountability et l’Art. 28 RGPD sur la sous-traitance. L’architecture du chapitre IV repose sur une distinction fondamentale : le responsable de traitement détermine les finalités et les moyens (Art. 4(7)), le sous-traitant agit pour le compte du responsable sur ses instructions (Art. 4(8) et Art. 28), les responsables conjoints déterminent ensemble les finalités et les moyens (Art. 26). Pour la grille pratique de qualification — situations courantes, distinction sous-traitance, modèle d’accord — je renvoie au guide complet sur la co-responsabilité RGPD ; le présent article propose le commentaire juridique paragraphe par paragraphe.

L’article comporte trois paragraphes que je commenterai successivement.

« 1. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord. »

L’EDPB a précisé l’application de cet article dans ses Lignes directrices 07/2020 sur les notions de responsable du traitement et de sous-traitant (version 2.1 adoptée le 7 juillet 2021). Ces lignes directrices restent la grille de lecture de référence pour la CNIL et sont systématiquement citées dans les délibérations sanctionnant l’absence d’accord Art. 26.

Article 26(1) : la qualification et l’accord

Le premier paragraphe articule trois éléments distincts : un critère de qualification (la détermination conjointe), une obligation matérielle (la répartition des obligations), une obligation formelle (la conclusion d’un accord). Chacun mérite un commentaire séparé.

Le critère de qualification : « déterminent conjointement »

La phrase déclencheuse est « déterminent conjointement les finalités et les moyens du traitement ». Trois mots y portent l’essentiel du contentieux.

D’abord « déterminent ». L’EDPB rappelle dans ses Lignes directrices 07/2020 (point 51 et suivants) que la qualification est factuelle, pas contractuelle. Un contrat qui désigne une partie comme « simple sous-traitant » ne fait pas obstacle à la requalification en responsable conjoint si les faits démontrent une participation à la détermination des moyens. À l’inverse, un accord de co-responsabilité ne crée pas de co-responsabilité fictive si une seule partie décide réellement.

Ensuite « conjointement ». Le standard CJUE n’exige pas une participation égale, ni une influence symétrique. Dans l’arrêt CJUE C-210/16 Wirtschaftsakademie Schleswig-Holstein du 5 juin 2018, la Cour a jugé que l’administrateur d’une fan page Facebook était co-responsable avec Meta du traitement des données des visiteurs, alors même qu’il n’avait aucun accès direct aux données et qu’il ne contrôlait que des paramètres très limités (audience cible, statistiques souhaitées). Le simple fait de définir des paramètres qui influencent la collecte suffit à caractériser une détermination conjointe. Cette logique est particulièrement large.

Enfin « finalités et moyens ». La CJUE a précisé que la détermination conjointe peut porter sur l’une ou l’autre — pas nécessairement les deux ensemble — dès lors qu’il y a influence effective. Dans l’arrêt CJUE C-25/17 Jehovah’s Witnesses du 10 juillet 2018, la communauté religieuse a été jugée co-responsable du traitement opéré par ses prédicateurs lors du démarchage à domicile, alors qu’elle n’avait aucune autorité hiérarchique sur eux : la Cour a retenu qu’elle organisait, coordonnait et encourageait l’activité, contribuant ainsi à la détermination de la finalité.

L’extension par les arrêts Fashion ID, IAB Europe et Russmedia

Trois arrêts ultérieurs ont radicalement étendu le périmètre de l’Art. 26.

CJUE C-40/17 Fashion ID du 29 juillet 2019 — Un site e-commerce qui intègre un bouton « J’aime » Facebook devient co-responsable de la collecte et de la transmission des données à Facebook, même s’il n’a aucun accès aux données et même si Facebook les traite ensuite seul pour ses propres finalités. La Cour limite toutefois la responsabilité aux opérations pour lesquelles le site contribue effectivement à la détermination des finalités et moyens — collecte et transmission, pas le traitement ultérieur par Facebook. Cette doctrine est fondamentale pour l’écosystème publicitaire et martech : tout pixel, tag, SDK tiers déclenche potentiellement une responsabilité conjointe sur la phase de collecte.

CJUE C-604/22 IAB Europe du 7 mars 2024 — La Cour a jugé qu’IAB Europe, en définissant les règles techniques et le fonctionnement du Transparency and Consent Framework (TCF) utilisé par l’écosystème adtech européen pour gérer le consentement cookies, était co-responsable avec les éditeurs et adtech vendors du traitement de la TC String (chaîne de caractères encodant les préférences de l’utilisateur). L’apport de l’arrêt est double : il consolide le critère de l’influence sur les moyens essentiels, et il étend la qualification à un acteur qui n’opère pas le traitement mais qui en pilote l’architecture. Pour les éditeurs ayant déployé le TCF, l’arrêt confirme leur propre statut de co-responsable et impose de formaliser les obligations Art. 26 vis-à-vis des autres acteurs de la chaîne.

CJUE C-492/23 Russmedia Digital du 2 décembre 2025 — La Cour a confirmé que l’exploitant d’une marketplace en ligne est co-responsable du traitement des données personnelles contenues dans les annonces publiées par ses utilisateurs. L’exploitant doit notamment identifier les annonces contenant des données sensibles au sens de l’Art. 9 RGPD et vérifier le consentement des personnes concernées. Cet arrêt étend la logique de Wirtschaftsakademie aux plateformes user-generated content et impose un dispositif de modération orienté protection des données — pas seulement contenu illicite.

L’obligation matérielle : « définissent de manière transparente leurs obligations respectives »

Une fois la qualification posée, l’Art. 26(1) impose aux responsables conjoints de répartir leurs obligations « de manière transparente ». Le standard de transparence opère sur deux plans.

Vis-à-vis des autorités de contrôle, la répartition doit être documentée et démontrable au sens de l’Art. 5(2) RGPD (accountability). Une mention contractuelle vague (« chaque partie respecte le RGPD ») ne suffit pas. La CNIL exige une matrice opérationnelle détaillée, opération par opération.

Vis-à-vis des personnes concernées, la transparence se traduit par la mise à disposition de l’« essence » de l’accord — Art. 26(2) que je commente ci-dessous.

L’Art. 26(1) cite expressément deux domaines obligatoires de répartition : l’exercice des droits de la personne concernée (Art. 12 à 22) et la communication des informations des Art. 13 et Art. 14. Mais cette liste n’est pas limitative. Une matrice complète couvre en pratique : information préalable (Art. 12-14), réponse aux demandes d’accès, rectification, effacement, opposition, portabilité (Art. 15-21), notification des violations (Art. 33-34), consultations préalables (Art. 36), désignation du DPO (Art. 37-39), tenue du registre (Art. 30), AIPD (Art. 35), encadrement des transferts (Art. 44-49), accountability documentaire (Art. 24-25).

L’obligation formelle : « par voie d’accord »

L’Art. 26(1) impose la conclusion d’un accord — sauf si la répartition est déjà fixée par le droit de l’Union ou d’un État membre. En pratique, cette dernière exception est rarissime ; l’accord contractuel est la voie de droit commun.

Le RGPD n’impose pas de forme particulière, mais la CNIL et l’EDPB exigent un écrit traçable. Les Lignes directrices 07/2020 du CEPD recommandent — et la pratique confirme — que l’accord prenne la forme d’un contrat distinct ou d’une clause spécifique dans le contrat de service, mentionnant nommément l’Art. 26 RGPD.

L’absence d’accord est un manquement autonome à l’Art. 26(1), sanctionnable au plafond haut Art. 83(5)(a) (20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial). Plusieurs autorités européennes l’ont sanctionné : la CNIL dans le cadre du contrôle des cookies post-Schrems II, l’AEPD espagnole dans plusieurs décisions sur les marketplaces, le Garante italien sur les TC Strings IAB. La SAN-2024-001 Hubside.Store du 4 avril 2024 (525 000 €) a relevé l’absence d’accord avec plusieurs partenaires de prospection, sans qualification explicite Art. 26 mais sur une logique très proche.

Le point de contact (faculté)

L’Art. 26(1) in fine ouvre la faculté de désigner un point de contact pour les personnes concernées dans l’accord. La pratique recommande de l’utiliser systématiquement quand l’un des responsables conjoints est mieux placé que l’autre pour traiter les demandes (langue, présence opérationnelle, accès aux données). Mais attention : la désignation du point de contact ne fait pas disparaître l’Art. 26(3) — la personne concernée conserve le droit d’exercer ses droits contre n’importe quel co-responsable.

Article 26(2) : l’accord doit être communicable

Le deuxième paragraphe complète l’obligation contractuelle par une exigence de transparence externe.

« 2. L’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée. »

Deux éléments y méritent une analyse séparée.

« Reflète dûment les rôles respectifs »

L’accord doit fidèlement traduire la réalité opérationnelle. Si la matrice contractuelle attribue à un co-responsable des obligations qu’il n’exerce pas en pratique, ou inversement si elle ne couvre pas des opérations effectivement réalisées, l’accord est attaquable. La CNIL a tendance à requalifier en cas de discordance manifeste entre l’accord et les flux observés en contrôle (audit logs, captures d’interface, échanges email).

Dans ma pratique, je conseille un test simple : prendre la matrice contractuelle et la confronter, ligne par ligne, aux écrans de l’outil et aux procédures internes. Si une ligne décrit une obligation qui n’est ni opérée par le co-responsable désigné, ni techniquement traçable, l’accord est fictif et expose à requalification.

« Mises à la disposition de la personne concernée »

L’Art. 26(2) impose la mise à disposition des grandes lignes de l’accord à la personne concernée. Pas l’accord intégral — qui peut contenir des informations commerciales sensibles — mais les éléments essentiels permettant à la personne de comprendre la répartition.

L’EDPB précise dans ses Lignes directrices 07/2020 que ces grandes lignes doivent inclure au minimum : l’identité des co-responsables, la description des finalités traitées conjointement, la répartition des obligations en matière d’information et d’exercice des droits, la désignation éventuelle d’un point de contact, l’existence du droit pour la personne d’exercer ses droits contre chacun des co-responsables.

En pratique, ces grandes lignes prennent la forme d’une section dédiée dans la politique de confidentialité ou d’un document distinct accessible depuis celle-ci. La SAN-2022-022 Free Mobile du 30 novembre 2022 (300 000 €) a sanctionné des manquements de transparence Art. 13 qui auraient pu, dans une autre configuration, relever de l’Art. 26(2) : la frontière entre les deux régimes d’information se chevauche en présence de co-responsabilité.

Article 26(3) : le droit autonome de la personne concernée

Le troisième paragraphe est le filet de sécurité du dispositif.

« 3. Indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement. »

Ce paragraphe est d’ordre public. La personne concernée ne peut se voir opposer la matrice contractuelle. Si l’accord attribue par exemple le traitement des demandes d’effacement à l’un des deux co-responsables, mais que la personne saisit l’autre, ce dernier ne peut pas se contenter de la renvoyer — il doit traiter la demande ou la transférer dans le délai d’un mois de l’Art. 12 RGPD, en informant la personne concernée.

L’arrêt CJUE C-26/22 UF c/ Land Hessen du 7 décembre 2023 confirme que le rejet pur et simple d’une demande au motif d’incompétence relative est sanctionnable. Pour les responsables conjoints, cela impose un dispositif opérationnel de routage interne entre co-responsables : matrice de réception, procédure de transfert, traçabilité des délais. Le rejet ou le silence expose au plafond haut Art. 83(5)(b).

La responsabilité solidaire au stade indemnitaire (Art. 82(4))

L’Art. 26(3) se prolonge naturellement par l’Art. 82(4) RGPD, qui pose la responsabilité solidaire des responsables conjoints au stade de l’indemnisation. La personne concernée peut obtenir réparation intégrale auprès de n’importe quel co-responsable, à charge pour celui qui a payé d’exercer un recours en contribution Art. 82(5) selon la part de responsabilité de chacun. Cette logique a été appliquée par la CJUE dans l’arrêt C-604/22 IAB Europe du 7 mars 2024 s’agissant de la TC String, et par les tribunaux nationaux dans plusieurs contentieux post-Wirtschaftsakademie.

Sanctions et zones de risque opérationnelles

L’Art. 26 expose à deux régimes de sanction.

D’abord la sanction administrative Art. 83(4)(a) (10 millions d’euros ou 2 % CA mondial) pour les manquements à l’Art. 26(1) (absence d’accord, absence de répartition, accord lacunaire) — l’Art. 26 figure dans la liste des articles relevant du plafond bas. Mais en pratique, l’absence d’accord conduit aussi à des manquements Art. 5/6/12/13 qui relèvent du plafond haut Art. 83(5).

Ensuite le risque indemnitaire Art. 82, avec solidarité au stade du paiement. C’est devenu un levier majeur de l’action de groupe française post-loi n° 2024-364 du 22 avril 2024 (voir Art. 80 RGPD) : l’identification de plusieurs co-responsables augmente la solvabilité globale et la capacité de réparation collective.

Trois zones de risque concentrent aujourd’hui l’essentiel du contentieux Art. 26 :

• Tags, pixels et SDK tiers sur sites web et applications mobiles (Fashion ID, IAB Europe). Tout module tiers collectant ou transmettant des données déclenche un examen Art. 26.
• Pages réseaux sociaux et hébergement de communautés (Wirtschaftsakademie, Jehovah’s Witnesses). Toute fan page, groupe LinkedIn corporate, serveur Discord communautaire, marketplace user-generated.
• Joint ventures, programmes de fidélité partagés, opérations marketing co-brandées entre groupes distincts.

Plan opérationnel six chantiers pour 2026

Sur la base des contrôles CNIL des trois dernières années et de la jurisprudence CJUE consolidée, voici la trame que j’utilise en mission de mise en conformité Art. 26.

Chantier 1 — Cartographier les relations à requalifier. Auditer les contrats existants étiquetés « sous-traitance » ou « partenariat ». Pour chaque relation, appliquer le test EDPB : l’autre partie influence-t-elle les finalités ou les moyens essentiels ? Une influence factuelle suffit. Lister les requalifications nécessaires.

Chantier 2 — Mettre à jour le registre des traitements. L’Art. 30 RGPD impose de documenter la qualification. Pour chaque traitement co-responsable, indiquer l’identité des co-responsables, la répartition des obligations, la référence à l’accord Art. 26.

Chantier 3 — Rédiger ou refondre les accords Art. 26. Construire une matrice opérationnelle obligation par obligation : information préalable, droits des personnes, registre, AIPD, violations, transferts, point de contact. Joindre l’accord au contrat principal ou en faire un document distinct annexé.

Chantier 4 — Publier les grandes lignes. Insérer dans la politique de confidentialité une section « Responsables conjoints » listant les partenaires, les finalités co-déterminées, le point de contact, l’existence du droit autonome Art. 26(3). Mettre à jour les bandeaux cookies et les notices Art. 13/14 lorsque c’est pertinent.

Chantier 5 — Industrialiser le routage des demandes. Définir une procédure interne de réception et de transfert des demandes Art. 12-22 entre co-responsables, avec traçabilité du délai. Former les équipes support et juridique. Tester par exercice à blanc.

Chantier 6 — Anticiper le contentieux solidaire. Aligner les clauses de responsabilité du contrat principal sur la solidarité Art. 82(4) : recours en contribution Art. 82(5), partage des coûts de défense, articulation avec la couverture cyber-assurance, gestion coordonnée des notifications de violation Art. 33-34.

Articulation avec les autres articles du RGPD

L’Art. 26 ne fonctionne pas en silo. Il s’articule avec :

• L’Art. 24 RGPD : chaque co-responsable conserve son obligation autonome d’accountability ; l’accord Art. 26 répartit, il ne dispense pas.
• L’Art. 25 RGPD : privacy by design et by default s’imposent à chacun, mais la conception architecturale doit refléter la répartition Art. 26.
• L’Art. 28 RGPD : un même partenaire peut être responsable conjoint sur certains traitements et sous-traitant sur d’autres. La qualification est traitement par traitement.
• L’Art. 30 RGPD : le registre doit refléter la qualification.
• Les Art. 33-34 RGPD (notification CNIL et communication aux personnes) : l’accord Art. 26 doit prévoir qui notifie, qui communique, et selon quel délai relatif au délai de 72 heures.
• Les Art. 44-49 RGPD : si le traitement co-responsable implique un transfert hors UE, chaque co-responsable répond de sa propre exposition (TIA, garanties appropriées).
• L’Art. 82 RGPD : solidarité au stade indemnitaire.
• L’Art. 83 RGPD : plafond bas Art. 83(4)(a) pour le manquement Art. 26 strict, plafond haut Art. 83(5) pour les manquements connexes Art. 5/6/12/13.

Ce qu’il faut retenir

• L’Art. 26 RGPD impose une répartition transparente des obligations entre responsables conjoints, par voie d’accord écrit, avec mise à disposition des grandes lignes aux personnes concernées et droit autonome d’exercice des droits.
• La qualification est factuelle, pas contractuelle : la jurisprudence CJUE (Wirtschaftsakademie, Fashion ID, Jehovah’s Witnesses, IAB Europe, Russmedia Digital) a considérablement étendu le périmètre, jusqu’aux pixels tiers, fan pages, marketplaces et frameworks adtech.
• L’accord Art. 26(1) doit comporter une matrice opérationnelle obligation par obligation — information, droits, registre, AIPD, violations, transferts, point de contact — pas une simple clause générique.
• L’absence d’accord est un manquement autonome au plafond bas Art. 83(4)(a) (10 M€/2 % CA mondial), mais entraîne en cascade des manquements Art. 5/6/12/13 au plafond haut.
• La personne concernée peut exercer ses droits contre n’importe lequel des co-responsables (Art. 26(3)) et obtenir réparation intégrale auprès de chacun (Art. 82(4)) — c’est le principal levier des actions de groupe post-loi du 22 avril 2024.

FAQ

Comment distinguer responsabilité conjointe et sous-traitance ?

Le sous-traitant agit pour le compte du responsable, sur instructions, sans déterminer les finalités ni les moyens essentiels (Art. 28). Le responsable conjoint participe à la détermination des finalités ou des moyens (Art. 26). En cas de doute, l’EDPB recommande dans ses Lignes directrices 07/2020 d’analyser la marge d’autonomie réelle, l’intérêt propre tiré du traitement, l’influence sur les paramètres techniques. La qualification est factuelle, pas contractuelle.

Quelle est la sanction en cas d’absence d’accord Art. 26 ?

Le manquement à l’Art. 26 relève du plafond bas Art. 83(4)(a) RGPD : 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Mais l’absence d’accord entraîne quasi systématiquement des manquements connexes — défaut d’information Art. 13/14, traitement sans base légale Art. 6, défaut d’exercice des droits Art. 12-22 — qui relèvent du plafond haut Art. 83(5) (20 M€ ou 4 % CA mondial). L’exposition cumulée est donc significative.

L’accord Art. 26 doit-il être public ?

Non. Le RGPD impose la mise à disposition des « grandes lignes » de l’accord aux personnes concernées (Art. 26(2)), pas de l’accord intégral. En pratique, ces grandes lignes prennent la forme d’une section dans la politique de confidentialité, listant les co-responsables, les finalités co-déterminées, la répartition des obligations en matière d’information et d’exercice des droits, et le point de contact éventuel.

Un site web qui intègre Google Analytics ou un bouton de partage est-il responsable conjoint ?

Très probablement, depuis CJUE C-40/17 Fashion ID. Tout module tiers qui déclenche une collecte ou une transmission de données est susceptible de créer une co-responsabilité sur la phase de collecte/transmission, même si l’éditeur n’a aucun accès aux données ensuite traitées par le tiers. Cela impose la conclusion d’accords Art. 26 avec les principaux fournisseurs adtech et martech, et l’information des visiteurs dans la politique de confidentialité.

Que se passe-t-il si la personne concernée saisit le « mauvais » co-responsable ?

L’Art. 26(3) interdit de lui opposer la matrice contractuelle : la personne peut exercer ses droits contre chacun des co-responsables. Le co-responsable saisi doit traiter la demande dans le délai d’un mois de l’Art. 12 RGPD ou la transférer en informant la personne. Le rejet pur et simple pour incompétence relative est sanctionnable, comme l’a confirmé la CJUE dans C-26/22 UF c/ Land Hessen du 7 décembre 2023.