Lexique > Responsable du traitement

Lexique IT

Responsable du traitement

Le responsable du traitement désigne la personne physique ou morale qui, seul ou conjointement avec d‘autres, détermine les finalités et moyens d’un traitement de données à caractère personnel.

Le responsable de traitement est, avec le sous-traitant, l’un des acteurs principaux du RGPD.

Il doit avoir une influence de fait sur l’opération de traitement grâce à l’exercice de son pouvoir de décision. Ce contrôle peut découler d’une compétence juridique explicite ou d’une compétence implicite.

Le responsable du traitement est ainsi dans les faits celui qui détermine le « pourquoi » et le « comment » d’un traitement de données à caractère personnel.

Toutefois, si la détermination de la finalité est exclusivement réservée au responsable du traitement, ce dernier n’est tenu de déterminer que les « éléments essentiels » dudit traitement.

En effet, les éléments non essentiels des moyens peuvent être identifiés et déterminés par le sous-traitant, dans la mesure où il le fait en suivant les instructions générales données par le responsable du traitement et dans son intérêt.

En pratique, une entité n’a pas besoin d’avoir accès à des données à caractère personnel pour être considérée comme un responsable du traitement.

Il suffit qu’elle détermine les finalités et les moyens du traitement, qu’elle ait une influence sur le traitement en étant à l’origine du déclenchement du traitement de données à caractère personnel (et en étant en mesure d’y mettre fin), ou qu’elle reçoive les statistiques anonymes fondées sur les données à caractère personnel collectées et traitées par un sous-traitant.

Le responsable du traitement a de nombreuses obligations consacrées en particulier par le RGPD à respecter, et notamment celles de veiller à ce que les personnes concernées puissent exercer les droits qui leur sont conférés par le RGPD ou encore de garantir un niveau de sécurité des données à caractère personnel traitées adapté au risque.

Point RGPD

« Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »

Considérant 74 du RGPD

 

Point jurisprudence

La Cour de Justice de l’Union Européenne (CJUE) a pu rappeler qu’une personne physique ou morale « qui influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement, peut être considérée comme étant responsable du traitement […] ».

Cour de Justice de l’Union Européenne, 10 juillet 2018, N° C 25/17

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.