Co-responsabilité RGPD : article 26 en pratique

Deux entreprises qui exploitent une même base clients, un site web intégrant un bouton de partage social, une marketplace et ses vendeurs tiers : dans chacune de ces situations, la question de la co-responsabilité de traitement se pose. Et dans chacune d’elles, l’absence d’accord au titre de l’article 26 du RGPD constitue un manquement sanctionnable.

Qu’est-ce que la co-responsabilité de traitement ?

L’article 26 du RGPD définit la co-responsabilité comme la situation dans laquelle « deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement ». Le mot clé ici est « conjointement » : il ne suffit pas que deux entités traitent les mêmes données. Il faut qu’elles participent ensemble à la définition du pourquoi (finalité) et du comment (moyens) du traitement.

La distinction avec la relation responsable de traitement / sous-traitant est fondamentale. Le sous-traitant agit pour le compte du responsable, sur ses instructions (Art. 28). Le co-responsable agit avec l’autre responsable, en déterminant conjointement les paramètres du traitement.

En pratique, cette distinction n’est pas toujours évidente. C’est pourquoi les lignes directrices 07/2020 du CEPD (Comité européen de la protection des données) consacrent une analyse détaillée des critères permettant de qualifier une relation de co-responsabilité.

Les critères de qualification : quand l’article 26 s’applique-t-il ?

La jurisprudence de la CJUE a progressivement clarifié les contours de la co-responsabilité à travers plusieurs arrêts majeurs.

L’arrêt Wirtschaftsakademie (CJUE, C-210/16, 5 juin 2018)

La Cour a jugé que l’administrateur d’une page Facebook est co-responsable avec Meta du traitement des données des visiteurs. Pourquoi ? Parce qu’en créant la page, l’administrateur définit des paramètres (audience cible, statistiques souhaitées) qui influencent directement les moyens et finalités du traitement opéré par Facebook. L’administrateur tire un bénéfice économique des statistiques générées — il participe donc à la détermination des finalités.

L’arrêt Fashion ID (CJUE, C-40/17, 29 juillet 2019)

Un site e-commerce avait intégré le bouton « J’aime » de Facebook. La Cour a étendu le raisonnement : le simple fait d’intégrer ce module rend le site co-responsable de la collecte et de la transmission des données à Facebook — même si le site n’a aucun accès aux données collectées par Facebook. La responsabilité est toutefois limitée aux opérations pour lesquelles le site contribue effectivement à déterminer les finalités et moyens (collecte et transmission, pas le traitement ultérieur par Facebook).

L’arrêt Russmedia Digital (CJUE, C-492/23, 2 décembre 2025)

Plus récemment, la Cour a confirmé que l’exploitant d’une marketplace en ligne est co-responsable du traitement des données personnelles contenues dans les annonces publiées par ses utilisateurs. L’exploitant doit notamment identifier les annonces contenant des données sensibles au sens de l’article 9(1) et vérifier le consentement des personnes concernées.

Les critères pratiques du CEPD

Le CEPD, dans ses lignes directrices 07/2020, retient qu’il y a co-responsabilité dès lors que deux conditions sont remplies :

• Participation à la détermination des finalités : chaque partie décide, au moins en partie, pourquoi les données sont traitées.
• Participation à la détermination des moyens essentiels : chaque partie influence les moyens qui sont intrinsèquement liés à la finalité du traitement (type de données, durée de conservation, catégories de personnes concernées).

Il n’est pas nécessaire que chaque co-responsable ait un accès égal aux données, ni que la participation soit symétrique. Un déséquilibre de fait n’exclut pas la co-responsabilité de droit.

Situations courantes de co-responsabilité

Dans mon expérience de conseil auprès d’entreprises françaises, voici les situations les plus fréquentes :

Plateformes et marketplaces

L’opérateur de la plateforme et les vendeurs tiers déterminent conjointement les finalités du traitement (transaction commerciale, évaluation, service après-vente). L’arrêt Russmedia Digital de 2025 confirme cette analyse.

Groupes de sociétés

Une société mère et ses filiales qui partagent un CRM commun, une base RH centralisée ou un programme de fidélité groupe sont fréquemment co-responsables. Chaque entité définit ses propres finalités de traitement tout en partageant les moyens.

Partenariats commerciaux

Deux entreprises qui organisent un événement commun, gèrent un programme de fidélité partagé ou mènent une campagne marketing conjointe déterminent ensemble les finalités et moyens du traitement des données des participants.

Intégrations techniques

L’intégration de modules tiers sur un site web (boutons sociaux, outils d’analyse, pixels publicitaires) peut créer une co-responsabilité, comme l’a démontré l’arrêt Fashion ID. C’est un point crucial pour tout site web soumis au RGPD.

Recherche et santé

Les projets de recherche multi-centres, les réseaux de soins coordonnés ou les cohortes médicales impliquent généralement une co-responsabilité entre les différents établissements participants.

L’accord de co-responsabilité : contenu obligatoire

L’article 26(1) impose aux co-responsables de définir « de manière transparente leurs obligations respectives ». Cet accord doit couvrir plusieurs points essentiels.

Les éléments obligatoires

1. Répartition des obligations d’information (Art. 13 et 14)

Qui informe les personnes concernées ? Dans quel format ? L’accord doit désigner le point de contact visible pour les personnes concernées. Le CEPD recommande que les « grandes lignes » de cet accord soient mises à la disposition des personnes concernées.

2. Répartition de l’exercice des droits

Qui gère les demandes de droit d’accès, de droit à l’effacement, de portabilité ? L’accord peut désigner un guichet unique — mais attention : l’article 26(3) prévoit que la personne concernée peut exercer ses droits « à l’égard de et contre chacun des responsables du traitement », indépendamment des termes de l’accord.

3. Obligations de sécurité (Art. 32)

Chaque co-responsable doit mettre en œuvre des mesures de sécurité appropriées pour les traitements qu’il opère. L’accord précise les mesures techniques et organisationnelles de chacun.

4. Gestion des violations de données

En cas de violation de données, qui notifie la CNIL dans le délai de 72 heures (Art. 33) ? Qui informe les personnes concernées (Art. 34) ? L’accord doit prévoir un mécanisme d’alerte interne rapide entre co-responsables.

5. Analyse d’impact

Si le traitement conjoint est susceptible d’engendrer un risque élevé, une AIPD est nécessaire. L’accord précise qui pilote l’analyse et comment les co-responsables y contribuent.

Ce que l’accord ne peut pas faire

Un point fondamental : l’accord entre co-responsables n’est pas opposable aux personnes concernées pour limiter leurs droits. L’article 26(3) est limpide : la personne concernée peut s’adresser à n’importe lequel des co-responsables pour exercer ses droits, quel que soit le partage convenu dans l’accord.

De même, l’accord ne peut pas exclure la responsabilité d’un co-responsable vis-à-vis des autorités de contrôle. La CNIL peut sanctionner chaque co-responsable individuellement pour les manquements constatés.

Rédiger un accord de co-responsabilité : guide pratique

Ayant travaillé sur de nombreux accords de co-responsabilité au fil de mes 20 ans de pratique, voici les points de vigilance essentiels.

Structure type de l’accord

L’accord doit au minimum contenir les clauses suivantes :

Identification des parties et des traitements couverts — Décrivez précisément quels traitements sont concernés, avec leurs finalités et bases légales respectives. Un tableau récapitulatif est recommandé.

Répartition des rôles — Pour chaque obligation RGPD, indiquez clairement quel co-responsable en assume la charge principale. Utilisez une matrice de responsabilités (type RACI) pour éviter toute ambiguïté.

Point de contact pour les personnes concernées — Désignez un interlocuteur unique et précisez le mécanisme de transmission interne des demandes.

Procédure de notification des violations — Définissez les délais d’alerte interne (idéalement 24h maximum pour laisser le temps de notifier la CNIL dans les 72h), les canaux de communication et les responsabilités de chacun.

Mesures de sécurité — Décrivez les mesures de chaque partie et les exigences minimales communes.

Durée, résiliation et sort des données — Que se passe-t-il en fin de partenariat ? Qui conserve quoi ? Quelles données doivent être supprimées ?

Audit et conformité — Prévoyez un droit d’audit réciproque pour vérifier le respect de l’accord.

Erreurs fréquentes à éviter

Dans mon expérience, les erreurs les plus courantes sont :

• Confondre sous-traitance et co-responsabilité : utiliser un contrat de sous-traitance (Art. 28) quand la relation est en réalité une co-responsabilité dénature la qualification juridique et expose les deux parties.
• Oublier l’information des personnes concernées : l’accord doit être synthétisé et mis à disposition des personnes concernées. Une clause dans la politique de confidentialité suffit généralement.
• Négliger la responsabilité solidaire de fait : même si l’accord répartit les responsabilités, chaque co-responsable reste exposé aux sanctions pour les manquements de l’ensemble du traitement conjoint.

Responsabilité et sanctions

L’article 82 du RGPD prévoit que tout responsable du traitement ayant participé au traitement est responsable du dommage causé. Concrètement, cela signifie que la personne concernée peut demander réparation à n’importe lequel des co-responsables pour l’intégralité du préjudice — puis c’est aux co-responsables de se retourner les uns contre les autres selon les termes de leur accord.

Les sanctions administratives peuvent être significatives. L’amende maximale prévue par l’article 83(5) du RGPD s’élève à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. La CNIL peut sanctionner chaque co-responsable séparément.

En France, la CNIL a sanctionné plusieurs situations de co-responsabilité insuffisamment encadrées, notamment dans le contexte des cookies et traceurs publicitaires où l’éditeur du site et les partenaires publicitaires déterminent conjointement les finalités du traitement.

Ce qu’il faut retenir

• La co-responsabilité RGPD s’applique dès que deux entités déterminent conjointement les finalités et moyens d’un traitement — critère confirmé par la jurisprudence CJUE (Wirtschaftsakademie, Fashion ID, Russmedia Digital).
• L’article 26 impose un accord écrit définissant la répartition des obligations, le point de contact pour les personnes concernées et les modalités d’exercice des droits.
• L’accord n’est pas opposable aux personnes concernées : elles peuvent exercer leurs droits contre n’importe quel co-responsable (Art. 26(3)).
• La responsabilité est solidaire de fait en matière de réparation du dommage (Art. 82) — chaque co-responsable est exposé pour l’intégralité du préjudice.
• En cas de doute sur la qualification (sous-traitance vs co-responsabilité), les lignes directrices 07/2020 du CEPD et la jurisprudence CJUE constituent les références à consulter en priorité.

FAQ

Quelle est la différence entre co-responsabilité et sous-traitance RGPD ?

La co-responsabilité (Art. 26) implique que deux entités déterminent ensemble les finalités et moyens du traitement. La sous-traitance (Art. 28) implique qu’une entité traite des données pour le compte d’un responsable, sur ses instructions. Le critère déterminant est le degré d’autonomie dans la définition des finalités du traitement.

L’accord de co-responsabilité doit-il être communiqué aux personnes concernées ?

L’article 26(2) prévoit que les « grandes lignes de l’accord » sont mises à la disposition des personnes concernées. En pratique, il est recommandé d’inclure un résumé dans la politique de confidentialité, identifiant les co-responsables, leurs rôles respectifs et le point de contact pour l’exercice des droits.

Peut-on être co-responsable sans le savoir ?

Oui. La qualification de co-responsable est une question de fait, pas de volonté. L’arrêt Fashion ID l’a démontré : le simple fait d’intégrer un module tiers qui collecte des données peut suffire à créer une co-responsabilité, même sans accord formel. C’est pourquoi il est essentiel d’auditer régulièrement les traitements impliquant des tiers.

En cas de violation de données, quel co-responsable doit notifier la CNIL ?

L’accord de co-responsabilité doit le prévoir. À défaut, chaque co-responsable est individuellement tenu de notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation (Art. 33). En pratique, il est recommandé de désigner un responsable principal de la notification tout en prévoyant un mécanisme d’alerte interne rapide.