Le piège classique
L'article 26 est l'angle mort le plus sanctionné par la CNIL et la CNPD depuis l'arrêt Fashion ID (CJUE 2019) : la majorité des organisations qui integrent un pixel Meta, un bouton de partagé, un outil analytics partagé ou qui co-organisent un evenement avec un partenaire sont en realite responsables conjoints, sans le savoir et sans accord ecrit. L'EDPB (lignes directrices 07/2020) rappelle que la qualification depend des finalités et moyens determines conjointement, pas du contrat que vous avez signe. Résultat : vous croyez avoir un sous-traitant (article 28), vous avez en realite un co-responsable, et votre DPA ne vaut plus rien.
Les situations qui basculent en responsabilité conjointe sans que vous le voyiez
- Pixels et SDK marketing : Meta Pixel, TikTok Pixel, LinkedIn Insight Tag, Google Ads conversion. Meta est officiellement co-responsable depuis 2022 sur la collecte cote site.
- Plateformes de co-marketing : webinaires organises a deux marques, salons partagés, lead generation croisee entre partenaires.
- Programmes de fidelite multi-enseignes et consortiums sectoriels (banques, assurances, retail).
- Joint-ventures et filiales communes qui partagent une base CRM ou un datalake.
- Recherché academique multi-centres et registres sectoriels (sante, finance).
- Plateformes d'emploi ou l'employeur et le job board determinent ensemble le matching algorithmique.
Le test EDPB en 3 questions
Pour qualifier la relation, l'EDPB applique trois critères cumulatifs : (1) décision conjointe sur les finalités, (2) décision conjointe ou convergente sur les moyens essentiels (catégories de données, duree, destinataires), (3) impact effectif sur le traitement. Si deux des trois sont remplis, vous etes en article 26, pas en article 28. La CNPD vérifié systématiquement ce point lors des contrôles sur les sites e-commerce luxembourgeois et les acteurs fintech.
Comment Luxgap automatise ce risque
Notre Luxgap Joint-Controller Detector rend impossible l'angle mort article 26 en scannant en continu vos sites, applications et flux de données pour détecter chaque situation de co-responsabilite cachee derriere un pixel, un SDK, un partenariat ou un consortium. L'outil deploie un snippet JS leger sur vos proprietes web, croise les flux sortants avec la base EDPB des décisions de co-responsabilite connues (Meta, Google, LinkedIn, TikTok, Criteo, Salesforce Marketing Cloud), et analyse vos contrats partenaires stockes dans Odoo, M365 ou DocuSign via un agent IA specialise.
- Detecte automatiquement les pixels, SDK et trackers tiers presents sur vos sites publics et applications mobiles, et qualifié chacun selon la grille EDPB 07/2020.
- Classifie chaque relation partenaire (responsable seul, co-responsable, sous-traitant) en analysant vos contrats via un agent LLM entraine sur la jurisprudence CJUE et les décisions CNIL/CNPD/APD.
- Genere les modèles d'accord article 26 prets a signer, declines par typologie : pixel publicitaire, joint-venture, plateforme partagée, consortium de recherché, programme de fidelite multi-enseignes.
- Publie automatiquement la page /joint-controllers/ de votre site reprenant les grandes lignes des accords, conformément a l'article 26(2), et la met a jour des qu'un contrat change.
- Alerte par Teams ou email des qu'un nouveau pixel apparait sur vos sites ou qu'un nouveau partenariat marketing est signe dans votre CRM.
- Produit un rapport PDF horodate cryptographiquement scelle, opposable a la CNPD ou a la CNIL lors d'un contrôle, qui démontré la cartographie complète de vos co-responsabilites.
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre perimetre reel, avec un scan gratuit sous 48h de vos sites et applications pour materialiser vos co-responsabilites cachees avant tout engagement.
