Dans une décision du 22 avril 2024, l’Autorité de protection des données clarifie les rôles d’un franchiseur et d’un franchisé dans le cadre du Règlement général sur la protection des données, en décidant que les deux parties agissent en qualité de responsables conjoints du traitement des données.
L’Autorité de protection des données a condamné la défenderesse (c’est-à-dire le franchisé) pour défaut de réponse dans les délais impartis à la demande d’accès de la demanderesse.
- Contexte
La décision porte sur une demande d’accès, introduite par la demanderesse, qui cherche à obtenir copie d’un rapport de diagnostic technique complet d’un véhicule dans le cadre d’une expertise.
Toutefois, en raison d’une règle de politique interne du franchiseur, le franchisé n’a pas fourni ce rapport à la demanderesse. Le franchisé a déclaré à la demanderesse ne pas être autorisé à divulguer des documents internes avec des tiers ne faisant pas partie du réseau du franchiseur.
Ce n’est qu’après avoir obtenu l’autorisation du franchiseur que le franchisé a fait droit à la demande d’accès et que le rapport a été transmis à la demanderesse.
- Décision de l’Autorité de protection des données
Dans ses conclusions, le franchisé a clairement indiqué agir en qualité de responsable du traitement. Néanmoins, l’Autorité de protection des données a jugé que les deux parties, à la fois le franchisé et le franchiseur, pouvaient être considérés comme des responsables conjoints du traitement.
En l’espèce, l’Autorité de protection des données a souligné que le franchisé était soumis à la politique du franchiseur. En effet, il ressort clairement des faits que la demande d’accès n’a pas été immédiatement suivie d’effets en raison de la politique interne du franchiseur. En outre, le franchisé a transmis le rapport à la demanderesse seulement après que le franchiseur ait donné son autorisation à cet effet.
Conformément aux lignes directrices du Comité européen de la protection des données, dans le cadre de l’appréciation de la responsabilité conjointe du traitement, il est nécessaire d’établir si le traitement serait possible sans la participation des deux parties. Comme l’a déjà précisé la Cour de justice de l’Union européenne, les parties pouvant être impliquées dans un traitement à différents stades et à différents degrés, il n’est pas nécessaire que la responsabilité conjointe génère une responsabilité équivalente pour le même traitement.
En l’espèce, le franchisé disposait d’une certaine liberté pour organiser ses activités de traitement. L’Autorité de protection des données juge toutefois que le franchisé a consulté le franchiseur à ce sujet. Compte tenu de ce qui précède, l’Autorité de protection des données conclut que le franchisé et le franchiseur sont responsables conjoints du traitement des données. Par conséquent, la demanderesse peut également engager une action en justice contre le franchiseur pour exercer ses droits en vertu du Règlement général sur la protection des données.
- Recommandations
Cette décision de l’Autorité belge de protection des données concerne une évaluation in concreto tenant compte des faits spécifiques de l’affaire. Par conséquent, elle ne signifie pas qu’un franchisé et un franchiseur seront toujours qualifiés de responsables conjoints du traitement dans tous les cas. Chaque cas doit être évalué pour déterminer si le franchiseur exerce une influence sur le franchisé et si le franchisé peut être considéré comme un responsable conjoint du traitement ou comme un sous-traitant.
Bien qu’un accord entre le franchiseur et le franchisé ne soit pas contraignant pour l’Autorité de protection des données, il peut fournir une indication utile notamment sur les engagements que le franchiseur a pris concernant son système d’information ou sur les instructions qu’il a données au franchisé. Par conséquent, ces éléments contractuels peuvent jouer un rôle important dans l’appréciation juridique de la qualité des responsables du traitement des données.
Toutefois, il convient de souligner que les parties ne peuvent s’en tenir à ce qui a été convenu contractuellement puisque l’Autorité de protection des données tiendra toujours compte des faits et ne manquera pas d’apprécier le rôle incombant à chaque partie. Cette appréciation portera sur les opérations et activités de traitement proprement dites, le respect des instructions, etc., et non sur d’autres questions non pertinentes, telles que celle de savoir quelle partie agit en qualité de « propriétaire » des données ou quelle partie a amené la clientèle.
Benjamin Docquir et Emilie Van Heck
Cabinet Osborne Clarke
JUIN