La Cour administrative fédérale autrichienne (Bundesverwaltungsgericht – BVwG) s’est penchée sur la question en Arrêt W214 2254151 – 1 du 21 août 2024 s’est prononcé sur certaines questions de la commission d’experts dans le cadre d’un conflit entre deux copropriétaires par étage et l’administrateur :
- Les données de consommation des propriétaires sont incontestablement des données à caractère personnel au sens du RGPD.
- Qui est le responsable dépend de qui décide de facto du traitement:
En orientant la définition comme responsable […] il s’agit en général d’une vision fonctionnalistequi prévoit que la responsabilité est déterminée en fonction de la influence réelle sur la décision est attribuée. Par moyens, on entend non seulement les méthodes techniques et organisationnelles, mais aussi le “comment” du traitement. On entend par là les décisions, comment quelles données sont traitées, à qui elles sont transmises ou quand elles sont effacées. La responsabilité peut également résulter d’une anticipation de fait de la décision. Si un acteur prend effectivement et de facto la décision de lancer un traitement de données, il doit être considéré comme responsable au sens du RGPD. Ce qui compte, c’est qui décide et non qui décide légalement.
- C’est pourquoi le sous-traitant qui s’arroge une disposition en la matière sous-traitant défaillantmais aussi un responsable (ainsi le PFPDT dans le cas de Xplain):
Ainsi, un sous-traitant peut devenir responsable du traitement s’il détermine lui-même les finalités et les moyens du traitement sans être légitimé à le faire […].
- En ce qui concerne la distinction entre responsable du traitement et sous-traitant, le TAF se rallie, en se référant aux directives correspondantes, à la jurisprudence de la Cour européenne des droits de l’homme. Lignes directrices de l’EDSA le “Théorie du centre de gravité“Le BayLDA, notamment, l’explique dans sa FAQ (à ce sujet ici):
Le rôle d’un sous-traitant ne découle pas de la nature d’un organisme qui traite des données, mais de ses activités concrètes dans un contexte donné. […] En pratique, dans les cas où le service fourni pas spécifiquement sur le traitement de données à caractère personnel, ou dans lesquels un tel traitement est effectué pas d’élément clé du service est en mesure de déterminer de manière indépendante les finalités et les moyens de ce traitement, qui est nécessaire à la fourniture du service. Dans ce cas, le prestataire de services est considéré comme responsable séparé et ne pas être considéré comme un sous-traitant. Une analyse au cas par cas est nécessaire […].
- Le responsable peut aussi être celui qui ni accès aux données personnelles a ni contrôlé ces:
Dans deux décisions récentes, la CJUE a en outre estimé que le fait que la personne physique ou morale, l’autorité publique, le service ou un autre organisme ne traite pas lui-même de données à caractère personnel ou n’a pas lui-même un accès direct à ces données n’exclut pas qu’il puisse être qualifié de responsable au sens de l’article 4, point 7, du RGPD (CJUE 05.12.2023, C‑683/21, point 35, et CJCE 07.03.2024, C‑604/22, point 69). De même, le fait qu’un responsable ne contrôle pas les données à caractère personnel qu’il reçoit et les diffuse sans les modifier ne peut avoir aucune influence sur la question de savoir s’il peut être considéré comme responsable (CJUE 11.01.2024, C‑231/22(voir l’arrêt de la Cour de justice de l’Union européenne, points 37 et 38, Moniteur Belge).
- En l’espèce, la Gestionnaire immobilier une responsableparce qu’elle :
En effet, dans le cas présent, la partie concernée [sc. l’administrateur] a – comme constaté – chargé i‑GmbH par contrat de service du relevé annuel […]. Le contrat de service conclu contient entre autres l’étendue des prestations […], les données nécessaires à l’établissement du décompte, ainsi que les prestations de i‑GmbH […]. La partie co-intéressée a donc […]. influencer, dans son propre intérêt, la décision relative aux finalités et aux moyens du traitement a été prise. […] d’autant plus que la partie co-intéressée a pris la décision finale d’autoriser activement le mode de traitement […].
La partie prenante a en outre conclu avec i‑GmbH une Accord conclu sur le traitement des commandes conformément à l’article 28 du RGPDIl en résulte que i‑GmbH […] est liée par les instructions [de la partie codétenue].
Contrairement à ce qu’affirme l’autorité poursuivie, […] le fait que la partie concernée n’établisse pas elle-même les décomptes de frais de chauffage et ne puisse pas non plus modifier ou rectifier les factures individuelles ne nuit pas non plus, car elle n’effectue elle-même aucun traitement de données à caractère personnel en rapport avec le décompte […]. […].
La question de savoir si les propriétaires de biens immobiliers et les gérants d’immeubles peuvent responsables communs sont. Il s’agit sans aucun doute d’une décision au cas par cas. Dans la pratique (en Suisse en tout cas), les régies immobilières ou les propriétaires institutionnels exigent souvent la conclusion d’un accord sur la responsabilité commune, qui décrit entre autres les flux de données concrets (p. ex. communication de l’état locatif, réserve d’un consentement pour certaines locations, procédure en cas de recouvrement, etc.), mais aussi les droits des personnes concernées (p. ex. une information des locataires par la régie, également en ce qui concerne les traitements effectués par le propriétaire).