Qui est responsable de traitement au regard du RGPD (avec exemples)

Déterminer le responsable de traitement au titre du RGPD est une étape essentielle car elle permet de déterminer qui va porter la responsabilité juridique - c’est-à-dire payer les amendes - en cas de non-conformité.

Définition du responsable de traitement (RT)

Le RGPD nous donne fort heureusement une définition de cette notion. Si on la résume, le responsable du traitement, est la personne qui décide des finalités du traitement et des moyens alloués.

Voici la définition légale plus en détail (art. 4 point 7):

«responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre;

Quelques exemples pratiques

Voici donc quelques exemples pratiques pour illustrer cette notion:

  1. Une entreprise met en place un système de vidéo surveillance pour protéger ses locaux : l’entreprise est responsable du traitement, car c’est elle qui décide de la mise en oeuvre du traitement
  2. Le DSI décide de la mise en place d’un firewall centralisé : l’entreprise est responsable du traitement car l’employé - le DSI - agit pour le compte de l’entreprise. C’est donc elle qui décide de la mise en oeuvre du traitement.
  3. Un employé vole un fichier client appartenant à son entreprise et fait de la prospection commerciale avec pour son compte : ici il y a deux RT : l’entreprise qui exploite normalement son fichier prospect, et ensuite l’employé, puisque celui-ci décide de la mise en oeuvre du traitement. Les données ayant été acquises de manière illicite, l’employé devra payer l’amende le cas échéant. Si l’entreprise a été négligente dans la protection de son fichier, l’entreprise devra également payer une amende en tant que RT.
  4. Une entreprise décide de confier la gestion de son serveur web à un sous-traitant (ST). Le ST fait des erreurs qui conduisent à des violations de données personnelles : l’entreprise sera responsable. Toutefois elle aura peut-être la possibilité de se retourner contre son ST en fonction de la nature des violations (faute grave du ST par exemple).

Attention aux autres notions

L’articulation de la notion de responsable de traitement peut parfois être délicate à faire dans une chaîne de traitement des données personnelles. Il est en effet fréquent qu’un RT fasse appel à des tiers pour opérer la gestion de données personnelles : un logiciel de gestion de newsletter en ligne, un CRM, etc.

Il existe plusieurs autres notions au sein du RGPD qui doivent être combinées afin de clarifier les responsabilités induites. Pour comprendre leur articulation en pratique, vous pouvez suivre notre formation de base relativement à la conformité RGPD dans laquelle on entre en détail au travers d’exercices pratiques.

Sur la même thématique :

La notion de responsable de traitement précisée par le RGPD

Il est intéressant de lire les considérants du RGPD qui précisent quelque peu le contexte et cette notion de RT :

  1. (74) “Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.”
  2. (79) “La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d’autres responsables du traitement, ou lorsqu’une opération de traitement est effectuée pour le compte d’un responsable du traitement.”
  3. (81) Afin que les exigences du présent règlement soient respectées dans le cadre d’un traitement réalisé par un sous-traitant pour le compte du responsable du traitement, lorsque ce dernier confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement. L’application par un sous-traitant d’un code de conduite approuvé ou d’un mécanisme de certification approuvé peut servir à démontrer le respect des obligations incombant au responsable du traitement. La réalisation d’un traitement par un sous-traitant devrait être régie par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, liant le sous-traitant au responsable du traitement, définissant l’objet et la durée du traitement, la nature et les finalités du traitement, le type de données à caractère personnel et les catégories de personnes concernées, en tenant compte des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée. Le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission. Après la réalisation du traitement pour le compte du responsable du traitement, le sous-traitant devrait, selon le choix du responsable du traitement, renvoyer ou supprimer les données à caractère personnel, à moins que le droit de l’Union ou le droit d’un État membre auquel le sous-traitant est soumis n’exige la conservation des données à caractère personnel.
Thiébaut Devergranne
Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
formation RGPD
Legiscope
VOS CGV (gratuites)