Décryptage de l’article 26 du RGPD
Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.
Les responsables conjoints définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du RGPD, notamment en ce qui concerne l’exercice des droits de la personne concernée et la communication des informations prévues aux articles 13 et 14, par voie d’accord entre eux, sauf si ces obligations sont déjà définies par le droit de l’Union ou d’un État membre.
Un point de contact pour les personnes concernées peut être désigné dans cet accord.
L’accord visé au paragraphe précédent reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de cet accord sont mises à disposition de la personne concernée.
Indépendamment des termes de l’accord, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.
🤝 Testez si vous êtes en co-responsabilité RGPD
Co-responsables du traitement : pas tout à fait responsables, ni tout à fait sous-traitants
Vous traitez des données à plusieurs, mais sans être l’un le sous-traitant de l’autre ? Bienvenue dans le monde un peu flou mais crucial de la coresponsabilité au sens de l’article 26 du RGPD.
Le statut de responsable conjoint du traitement, c’est cette zone grise entre responsable classique et sous-traitant. Deux (ou plus) entités déterminent ensemble les finalités et moyens d’un même traitement de données. Ce n’est plus du partenariat flou : c’est une relation réglementée qui impose de formaliser clairement “qui fait quoi” dès le départ.
👉 Typiquement :
- Des associations ou entreprises partenaires
- Des plateformes SaaS collaborant avec des agences
- Des actions marketing menées à deux (emailing, retargeting, etc.)
L’accord écrit n’est plus une option
Article 26 RGPD oblige : dès qu’il y a co-responsabilité, un accord écrit clair est requis. Cet accord doit déterminer les rôles respectifs et informer les personnes concernées.
Et ce n’est pas optionnel. En cas de litige ou de violation des données, l’absence d’un tel accord est un véritable risque juridique et financier.
✋ « Ce n’est pas le jour où ça dérape que vous devez improviser qui doit appeler les clients ou gérer la CNIL. »
Coresponsabilité RGPD : qui fait quoi (et pourquoi l’anticiper est vital)
Dans une relation de responsables conjoints du traitement au sens de l’article 26 RGPD, clarifier les rôles n’est pas une option. C’est une obligation légale… mais aussi un réflexe stratégique. Et surtout, c’est à faire avant le début du traitement.
👉 Trop d’organisations découvrent la coresponsabilité RGPD une fois la crise enclenchée : plainte d’un utilisateur, violation de données, ou simple demande de droit d’accès. Sauf qu’à ce stade, improviser n’est plus une option.
Anticiper, c’est se protéger à tous les niveaux
Voici les questions clés à trancher dès la conception du traitement, pour un accord conforme et solide entre responsables conjoints :
Qui détermine les finalités du traitement des données personnelles ?
Si vous définissez ensemble l’objectif (ex : campagne marketing mutualisée), vous êtes co-responsables.
Qui choisit les moyens techniques et juridiques ?
Hébergement, sécurisation, base légale, outil utilisé : chaque point doit être clairement attribué.
Qui assure la conformité réglementaire (et tient la documentation à jour) ?
Un seul DPO désigné ? Deux ? Coordination obligatoire pour éviter les zones d’ombre.
Qui est le point de contact pour les personnes concernées ?
En cas de réclamation, exercice de droit (accès, suppression, portabilité…), c’est une information à indiquer dans vos politiques de confidentialité.
Qui notifie la CNIL ou l’autorité compétente en cas de violation ?
Le RGPD impose une notification sous 72 h. Si vous ne savez pas qui s’en charge, vous perdez un temps précieux (et vous vous exposez à des sanctions).
Qui communique avec les clients/utilisateurs ?
Transparence, assistance, indemnisation potentielle : à anticiper noir sur blanc.
💡 Important à retenir : en l’absence de clause spécifique dans l’accord, la responsabilité est solidaire.
Cela signifie que chaque co-responsable peut être tenu entièrement responsable, même pour une faute commise par l’autre.
Exemples de co-responsabilité RGPD : 3 situations fréquentes à connaître
1. La plateforme SaaS et l’agence marketing
Une entreprise SaaS propose à ses clients une solution d’envoi d’emails. Pour optimiser les campagnes, elle collabore avec une agence marketing externe qui analyse les statistiques de clics et ajuste les ciblages.
👉 Ensemble, ils décident des finalités (améliorer la performance marketing) et des moyens (filtres, segments, outils analytiques).
➡️ Résultat : ils deviennent coresponsables du traitement, au sens de l’article 26 du RGPD. Un accord formel est indispensable.
2. La startup santé et le laboratoire R&D
Une entreprise innovante du secteur e-santé développe une application de suivi des données médicales. Elle collabore avec un laboratoire de recherche pour analyser les données collectées à des fins statistiques.
👉 Les deux entités définissent ensemble les finalités du traitement, choisissent les outils à utiliser et exploitent conjointement les résultats.
➡️ On est bien dans un cadre de coresponsabilité RGPD, encadré par l’article 26.
3. Deux marques pour une campagne commune
Imaginez deux marques de cosmétiques qui décident de lancer une opération conjointe : jeu concours, base de données partagée, newsletters croisées…
👉 Chacune a accès aux données, chacune envoie des messages, chacune participe à la stratégie.
➡️ C’est une situation classique de responsables conjoints du traitement, et elle nécessite un accord article 26 RGPD pour répartir clairement les responsabilités.
💡 Bon à savoir : dans tous ces cas, la co-responsabilité n’est pas une option interprétable. Elle s’impose dès lors que plusieurs acteurs déterminent ensemble le traitement des données. Et elle doit être formalisée.
Sous-traitant, responsable, co-responsable : comment faire la différence ?
| Statut | Détermine les finalités ? | Exécute sur ordre ? | Obligations spécifiques |
|---|---|---|---|
| Responsable | ✅ Oui | ❌ Non | Information, sécurité, base légale |
| Sous-traitant | ❌ Non | ✅ Oui | Contrat article 28, sécurité, confidentialité |
| Co-responsable | ✅ Oui (avec un autre) | ❌ Non | Accord article 26, information claire |
