Sur la qualification des acteurs.
Les traceurs concernés par l'obligation de recueil du consentement n'impliquent pas systématiquement de traitement de données à caractère personnel. Toutefois, dans un grand nombre de cas, les opérations de lecture ou écriture concerneront des données à caractère personnel dont le traitement sera soumis aux autres dispositions de la loi « Informatique et Libertés » et du RGPD.
Si, dans certains cas, l'utilisation de traceurs fait intervenir une seule entité qui est donc pleinement responsable de l'obligation de recueillir le consentement (par exemple, un éditeur de site web qui a recours à des traceurs pour personnaliser le contenu éditorial proposé à l'internaute), dans d'autres cas, plusieurs acteurs contribuent à la réalisation des opérations de lecture ou écriture visées par les présentes lignes directrices (par exemple, un éditeur de site web et une régie publicitaire déposant des traceurs lors de la consultation du site web). Dans ces derniers cas, ces entités doivent déterminer leur statut au regard du traitement réalisé.
3.1. Responsabilité conjointe et obligations des responsables du ou des traitements
La Commission rappelle que l'éditeur d'un site qui dépose des traceurs doit être considéré comme un responsable de traitement, y compris lorsqu'il sous-traite à des tiers la gestion de ces traceurs mis en place pour son propre compte.
Doivent également être considérés comme responsables de traitement les tiers qui utilisent des traceurs sur un service édité par un autre organisme, par exemple en déposant des traceurs à l'occasion de la visite du site d'un éditeur, dès lors qu'ils agissent pour leur propre compte. Dans ce cas de figure, le Conseil d'Etat a jugé, dans sa décision du 6 juin 2018, qu'au titre des obligations qui pèsent sur l'éditeur de site, figurent celle de s'assurer auprès de ses partenaires, d'une part, qu'ils n'émettent pas, par l'intermédiaire du site de l'éditeur, des traceurs qui ne respectent pas la règlementation applicable en France et, d'autre part, celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements.
Dès lors, l'organisme qui autorise l'utilisation de traceurs, y compris par des tiers, depuis son site ou application mobile, doit s'assurer de la présence effective d'un mécanisme permettant de recueillir le consentement des utilisateurs.
De manière générale, la Commission observe que les éditeurs de sites ou d'applications mobiles, du fait du contact direct qu'ils ont avec l'utilisateur, sont souvent les plus à même de porter à la connaissance de ces derniers l'information sur les traceurs déposés et de collecter leur consentement.
Pour les opérations visées par l'article 82, comme la CJUE l'a également jugé dans un cas similaire (CJUE, 29 juill. 2019, aff. C-40/17, Fashion ID GmbH & Co. KG c. / Verbraucherzentrale NRW eV), l'éditeur du site ou de l'application mobile et le tiers déposant des traceurs sont réputés être responsables conjoints du traitement dans la mesure où ils déterminent conjointement les finalités et les moyens des opérations de lecture et écriture sur l'équipement terminal des utilisateurs.
Dans le cas d'une responsabilité conjointe, dans le cadre de laquelle les responsables déterminent ensemble les finalités et les moyens du traitement, la Commission rappelle que, conformément aux dispositions de l'article 26 du RGPD, ils doivent définir de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du RGPD, en particulier en ce qui concerne le recueil et la démonstration, le cas échéant, d'un consentement valable.
3.2. Sous-traitance
La Commission rappelle qu'un acteur qui stocke et/ou accède à des informations stockées dans l'équipement terminal d'un utilisateur exclusivement pour le compte d'un tiers doit être considéré comme sous-traitant. Elle rappelle, à cet égard, que si une relation de sous-traitance est établie, le responsable de traitement et le sous-traitant doivent établir un contrat ou un autre acte juridique précisant les obligations de chaque partie, dans le respect des dispositions de l'article 28 du RGPD.
La Commission rappelle également que, conformément à l'article 28.3 du RGPD, le sous-traitant doit aider le responsable du traitement à respecter certaines de ses obligations et notamment celles relatives aux demandes d'exercice des droits des personnes.
Enfin, le sous-traitant doit notamment informer ce dernier si l'une de ses instructions constitue une violation des textes applicables en matière de protection des données à caractère personnel.