Le responsable de traitement est la pièce maîtresse du dispositif du RGPD. C’est sur lui que repose l’essentiel des obligations prévues par le règlement européen : tenue du registre, information des personnes, sécurité des données, notification des violations, réalisation des analyses d’impact. Identifier correctement le responsable de traitement est la première question à trancher dans tout projet de conformité RGPD, car c’est de cette qualification que découlent toutes les responsabilités.

En pratique, la distinction entre responsable de traitement et sous-traitant est souvent mal comprise, ce qui génère des confusions juridiques aux conséquences potentiellement lourdes. Cet article clarifie la notion, détaille les obligations et examine les situations complexes.

Définition du responsable de traitement

Ce que dit le RGPD

L’article 4(7) du RGPD définit le responsable de traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

Deux critères sont donc déterminants :

1. La détermination des finalités : le responsable de traitement décide pourquoi les données sont traitées – quel objectif est poursuivi.
2. La détermination des moyens : le responsable de traitement décide comment les données sont traitées – quelles données sont collectées, auprès de qui, pour combien de temps, avec quels outils.

Le EDPB a précisé dans ses lignes directrices 07/2020 que le critère des finalités est le plus déterminant. Celui qui décide de la finalité du traitement est, sauf exception, le responsable de traitement, même s’il délègue les choix techniques à un tiers.

Responsable de traitement vs sous-traitant

Le sous-traitant est défini à l’article 4(8) comme « la personne physique ou morale (…) qui traite des données à caractère personnel pour le compte du responsable du traitement ».

La distinction est fonctionnelle, pas contractuelle. Ce n’est pas parce qu’un contrat qualifie une partie de “sous-traitant” qu’elle l’est effectivement. La qualification se détermine au regard de la réalité des rôles :

Critère	Responsable de traitement	Sous-traitant
Décide de la finalité	Oui	Non
Décide des moyens essentiels	Oui	Non (sauf moyens techniques non essentiels)
Agit pour son propre compte	Oui	Non – agit pour le compte du RT
Porte la responsabilité principale	Oui	Partielle (article 82)
Choisit la base légale	Oui	Non
Informe les personnes	Oui	Non (sauf délégation)

Un prestataire SaaS qui héberge et traite des données sur instruction de son client est un sous-traitant. Un réseau social qui décide lui-même des finalités de traitement des données de ses utilisateurs est un responsable de traitement.

La responsabilité conjointe

L’article 26 du RGPD prévoit le cas où deux ou plusieurs responsables de traitement déterminent conjointement les finalités et les moyens du traitement. Ils sont alors qualifiés de responsables conjoints de traitement.

Cette situation est plus fréquente qu’on ne le pense : partenariats commerciaux avec base de données partagée, places de marché où le vendeur et la plateforme déterminent conjointement certaines finalités, programmes de fidélité multi-enseignes.

Les responsables conjoints doivent conclure un accord transparent définissant leurs obligations respectives, notamment en ce qui concerne l’exercice des droits des personnes et l’information. Les grandes lignes de cet accord doivent être mises à disposition des personnes concernées.

Les obligations du responsable de traitement

L’accountability (responsabilité)

L’article 5(2) du RGPD pose le principe d’accountability : « Le responsable du traitement est responsable du respect [des principes de l’article 5(1)] et est en mesure de démontrer que ceux-ci sont respectés. »

Ce principe a deux composantes :

1. Le respect effectif des principes du RGPD (licéité, finalité, minimisation, exactitude, limitation de la conservation, intégrité et confidentialité).
2. La capacité à le démontrer – ce qui impose une documentation rigoureuse de l’ensemble de la démarche de conformité.

L’accountability n’est pas un principe abstrait. Un audit RGPD permet de vérifier concrètement si l’organisation est en mesure de démontrer sa conformité.

La tenue du registre des traitements

L’article 30 du RGPD impose au responsable de traitement de tenir un registre des activités de traitement. Ce registre doit contenir, pour chaque traitement :

• Le nom et les coordonnées du responsable de traitement (et du DPO le cas échéant).
• Les finalités du traitement.
• Les catégories de personnes concernées et de données.
• Les catégories de destinataires.
• Les transferts vers des pays tiers.
• Les délais de conservation.
• Une description générale des mesures de sécurité.

Le registre doit être tenu par écrit, y compris sous format électronique, et mis à disposition de la CNIL sur demande.

L’information des personnes

Les articles 13 et 14 du RGPD imposent au responsable de traitement d’informer les personnes de manière complète et transparente. L’article 12 précise les modalités de cette information : elle doit être concise, transparente, compréhensible et aisément accessible.

Cette obligation se traduit par la rédaction de :

• Politiques de confidentialité sur le site web.
• Mentions d’information sur les formulaires de collecte.
• Clauses d’information dans les contrats (travail, commerce, etc.).

La sécurité des données

L’article 32 du RGPD impose au responsable de traitement de mettre en oeuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Le responsable de traitement conserve cette obligation même lorsqu’il recourt à un sous-traitant : il doit vérifier que les garanties présentées par le sous-traitant sont suffisantes.

L’encadrement de la sous-traitance

L’article 28 du RGPD impose au responsable de traitement de ne faire appel qu’à des sous-traitants présentant des garanties suffisantes et de conclure un contrat (Data Processing Agreement) couvrant un ensemble d’obligations précises.

Le responsable de traitement ne peut pas se décharger de sa responsabilité en la transférant contractuellement au sous-traitant. Il reste responsable du choix du sous-traitant et du contrôle de sa conformité.

La notification des violations de données

L’article 33 du RGPD impose au responsable de traitement de notifier toute violation de données personnelles à la CNIL dans un délai de 72 heures après en avoir pris connaissance, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes.

Lorsque la violation est susceptible d’engendrer un risque élevé, l’article 34 impose également l’information directe des personnes concernées.

Le sous-traitant doit notifier le responsable de traitement dans les meilleurs délais, mais c’est au responsable de traitement qu’incombe la notification à la CNIL.

La réalisation des analyses d’impact

L’article 35 du RGPD impose au responsable de traitement de réaliser une analyse d’impact (AIPD) avant tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Cette obligation ne peut pas être déléguée au sous-traitant, même si ce dernier peut être sollicité pour fournir les informations nécessaires.

La désignation d’un DPO

Dans les cas prévus par l’article 37 du RGPD, le responsable de traitement est tenu de désigner un délégué à la protection des données (DPO). Cette obligation s’applique aux organismes publics, aux organisations dont l’activité de base implique un suivi systématique à grande échelle, et à celles qui traitent des données sensibles à grande échelle.

Un DPO externalisé peut remplir cette fonction pour les organisations qui ne disposent pas des compétences en interne.

La responsabilité du responsable de traitement

Responsabilité administrative

Le responsable de traitement est le destinataire principal des sanctions administratives prononcées par la CNIL. Les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour les manquements les plus graves (article 83 du RGPD).

Responsabilité civile

L’article 82 du RGPD consacre un droit à réparation pour toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD. Le responsable de traitement est responsable de tout dommage causé par un traitement non conforme. Il ne peut s’exonérer que s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

Responsabilité pénale

En droit français, les articles 226-16 à 226-24 du Code pénal sanctionnent les infractions aux dispositions relatives aux traitements de données personnelles. Les peines vont jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende pour les personnes physiques.

Situations complexes de qualification

Le prestataire qui dépasse ses instructions

Un sous-traitant qui utilise les données pour ses propres finalités (analyses, profilage, revente) sans instruction du responsable de traitement devient lui-même responsable de traitement pour ces traitements non autorisés. L’article 28(10) du RGPD est explicite : le sous-traitant qui détermine les finalités et les moyens du traitement est considéré comme responsable de traitement.

Les groupes de sociétés

Au sein d’un groupe, chaque entité juridique qui détermine les finalités d’un traitement est responsable de traitement pour ce traitement, même si les moyens techniques sont mutualisés. La société mère peut être responsable conjointe avec ses filiales si elle détermine conjointement les finalités.

Les associations et organismes publics

Les associations et les organismes publics sont responsables de traitement au même titre que les entreprises. La qualification ne dépend pas du statut juridique ni du but lucratif ou non de l’organisation, mais uniquement du critère fonctionnel : qui détermine les finalités et les moyens ?

Bonnes pratiques pour le responsable de traitement

1. Documenter systématiquement – La preuve de conformité repose sur la documentation. Registre des traitements, politiques internes, DPA, preuves de consentement, analyses d’impact : chaque élément doit être formalisé et accessible.

2. Former les collaborateurs – La conformité RGPD implique l’ensemble de l’organisation. Les collaborateurs doivent être formés à leurs obligations, en particulier ceux qui collectent ou traitent des données personnelles au quotidien.

3. Contrôler les sous-traitants – Ne vous limitez pas à la signature d’un DPA. Vérifiez régulièrement que vos sous-traitants respectent leurs obligations et que les mesures de sécurité annoncées sont effectivement en place.

4. Intégrer la conformité dans les processus – La protection des données dès la conception (privacy by design) doit devenir un réflexe organisationnel, pas une contrainte ponctuelle.

5. Réaliser des audits réguliers – Un audit RGPD annuel minimum permet d’identifier les écarts et de maintenir la conformité dans le temps.

FAQ

Une personne physique peut-elle être responsable de traitement ?

Oui. L’article 4(7) du RGPD mentionne explicitement les personnes physiques. Un médecin libéral, un avocat, un consultant indépendant ou un auto-entrepreneur qui traite des données personnelles dans le cadre de son activité professionnelle est responsable de traitement. L’exception concerne les traitements purement personnels ou domestiques, qui sont exclus du champ d’application du RGPD (article 2(2)©).

Comment déterminer si mon prestataire est sous-traitant ou responsable de traitement ?

Le critère déterminant est la finalité : si le prestataire traite des données sur vos instructions, pour atteindre vos objectifs, il est sous-traitant. S’il traite des données pour ses propres finalités (analyse de son propre marché, amélioration de ses propres services avec vos données), il est responsable de traitement pour ces traitements. En cas de doute, analysez concrètement qui décide du “pourquoi” du traitement. Les lignes directrices 07/2020 du EDPB fournissent des critères détaillés.

Le responsable de traitement peut-il déléguer ses obligations au DPO ?

Non. Le DPO est un conseiller et un contrôleur interne, pas un délégataire des obligations du responsable de traitement. L’article 38(3) du RGPD précise que le DPO ne reçoit aucune instruction en ce qui concerne l’exercice de ses missions. La responsabilité de la conformité reste celle du responsable de traitement – c’est-à-dire, en pratique, de la direction de l’organisation. Le DPO informe, conseille, contrôle et coopère avec l’autorité de contrôle, mais il ne porte pas la responsabilité juridique de la conformité.

Comment formaliser la responsabilité conjointe ?

L’article 26 du RGPD impose aux responsables conjoints de conclure un accord qui détermine de manière transparente leurs obligations respectives. Cet accord doit couvrir : la répartition des obligations d’information, les modalités d’exercice des droits des personnes (point de contact unique ou répartition), les responsabilités en matière de sécurité et de notification des violations. Les grandes lignes de cet accord doivent être mises à la disposition des personnes concernées. En pratique, un contrat spécifique de responsabilité conjointe doit être rédigé, distinct du contrat commercial principal.