CNIL15 juin 2023CNIL, FR, 15 juin 2023, Sanction, Société X, n° SAN-2023-009, publié, points 52, 61, 74(source)
Accord de responsabilité conjointe – Collecte du consentement pour le compte de sociétés partenaires – Obligation du responsable de traitement ne collectant pas le consentement d'être en mesure de démontrer que la personne concernée a donné son consentement
En cas de responsabilité conjointe, l'article 26 du RGPD oblige les responsables de traitement conjoints à s'assurer, par le biais d'un accord, qu'ils respectent mutuellement le RGPD et notamment qu'ils organisent entre eux la meilleure façon de répondre aux droits des personnes concernées, en fonction de la nature du traitement et de leur responsabilité respective vis‑à‑vis de ce traitement.
En l'espèce, il a été constaté que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revenait aux partenaires de la société mise en cause n'exonérait pas cette dernière de son obligation, en application de l'article 7 du RGPD, d'être en mesure de démontrer que la personne concernée avait donné son consentement et de procéder à certaines vérifications à cette fin. En effet, la seule clause issue des conditions générales d'utilisation aux termes desquelles la société exigeait de ses partenaires, « lorsque la loi le prévoit », que la politique de confidentialité de leur site inclue « des mentions et des mécanismes de choix conformes aux lois et réglementations applicables » ne permettait pas de garantir l'existence d'un consentement valide et il convient à tout le moins qu'elle soit complétée pour préciser que l'organisme qui recueille le consentement doit mettre à disposition de l'autre partie la preuve du consentement.