Données personnelles (RGPD) : qui peut être responsable du traitement ?

Le Règlement général sur la protection des données (RGPD) est un monstre réglementaire qui fait parler de lui depuis plusieurs mois. En effet, son entrée en vigueur au 25 mai 2018 se rapproche et les entreprises commencent seulement à prendre conscience des travaux à réaliser pour s’y conformer. 

Cette conformité sera capitale, bien que des délais d’adaptation plus larges seront probablement admis, car des sanctions alourdies sont prévues par le RGPD. Les entreprises mettant en oeuvre un ou plusieurs traitements de données personnelles doivent donc désigner un responsable du traitement : voici les 3 choses à savoir sur le sujet. 

Comprenez facilement l’impact du RGPD avec notre dossier “RGPD : les bons conseils pour réussir” en vente ici. 

Le responsable du traitement : une personne morale ou physique

Toute entreprise qui met en oeuvre en son sein un ou plusieurs traitements de données personnelles doit désigner un responsable du traitement. Ce responsable peut avoir sous sa houlette un ou plusieurs traitements différents en même temps. 

Le RGPD définit à son article 1 le responsable du traitement comme “la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement“. Une personne morale peut donc être responsable du traitement, ce n’est pas nécessairement un individu. 

C’est à ce responsable qu’il appartient de mettre en oeuvre toutes les mesures appropriées pour démontrer que le ou les traitements dont il a la responsabilité sont effectués en conformité avec le RGPD. 

On peut également noter que plusieurs personnes peuvent être désignées responsables d’un seul et même traitement de données. Dans ce cas, leur responsabilité est conjointe : l’article 26 du RGPD souligne qu’il leur incombe de définir leurs obligations respectives par un accord conclu entre eux. Les personnes dont les données font l’objet du traitement géré conjointement doivent se voir communiquer les grandes lignes de l’accord répartissant les obligations de chaque responsable. 

 

Le responsable du traitement peut faire appel à un sous-traitant

Une entreprise peut demander à un sous-traitant la mise en oeuvre d’un traitement de données personnelles pour son compte. Le responsable du traitement est toujours rattaché à l’entreprise mais c’est le sous-traitant qui est chargé de réaliser le traitement. 

Dans un tel cas, l’article 28 du RGPD indique qu’un contrat doit nécessairement régir le traitement effectué par un sous-traitant : ce contrat doit encadrer la réalisation du traitement (objet, durée, nature, finalités, type de données traitées, obligations et droits du responsable du traitement etc…). C’est toutefois le responsable du traitement initial qui reste le premier à mettre sa crédibilité en jeu. Un sous-traitant ne peut être qualifié de responsable du traitement que dans le cas où il définirait lui-même les finalités et moyens du traitement mis en oeuvre. 

Signalons que le responsable du traitement qui a été mis en cause et a intégralement réparé un préjudice subi peut réclamer au sous-traitant le remboursement de la part de la réparation correspondant à sa part de responsabilité dans le dommage. 

 

Le délégué à la protection des données peut-il être responsable du traitement ?

Bien que cela ne soit pas écrit noir sur blanc dans le RGPD, le délégué à la protection des données ne peut pas être le responsable du traitement. La raison est simple : son travail est de faire en sorte que le traitement reste conforme en tous points avec le droit européen et national, il ne doit pas recevoir d’instructions de la part du responsable du traitement ou du sous-traitant concernant l’exercice des missions qui lui incombent. 

Le responsable du traitement et le délégué à la protection des données sont donc deux personnes bien distinctes. 

 

Approfondissez votre connaissance du RGPD

Pour en apprendre plus et savoir si vous êtes prêts à faire face au RGPD, répondez à nos questionnaires en ligne. Le premier défriche les notions de base de la protection des données, le second aborde des détails moins évidents et parfois propices à piéger les responsables de traitement de données personnelles. Cliquez ici pour y accéder

N’hésitez pas à réclamer ici votre guide complet “RGPD : les bons conseils pour réussir” qui vous donne toutes les clefs théoriques et pratiques sur plus de 150 pages ! 

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Vous pourriez aussi aimer
Lire plus

Le transfert de charges vers les Ocam symboliquement neutralisé par les députés

Contre toute attente, les députés ont réussi à faire voter la neutralisation symbolique du transfert de charges de la sécurité sociale vers les organismes complémentaires d'assurance maladie (Ocam) prévu en 2025. Considéré comme une mesure d'équité par le gouvernement, ce transfert évalué à 1,1 Md€ se traduira en pratique par une hausse du ticket modérateur sur les...

Avis d’extension d’un avenant à un accord dans la CCN de l’industrie des tuiles et briques

La ministre du travail et de l’emploi envisage d’étendre, par avis publié le 5 novembre 2024, les dispositions de l’avenant du 26 juin 2024 à l'accord du 11 mai 2021 relatif à l'emploi des jeunes, formation par l'alternance et développement des CQP, conclu dans le cadre de la convention collective nationale de l’industrie des tuiles et briques (...

Avis d’extension d’un accord conclu dans la CCN des menuiseries charpentes

La ministre du travail et de l'emploi, envisage d’étendre, par avis publié le 5 novembre 2024, les dispositions de l’accord du 18 juillet 2024 relatif aux catégories de bénéficiaires du régime de protection complémentaire, conclu dans le cadre de la convention collective nationale des menuiseries, des charpentes et constructions industrialisées et des portes planes (...

Avis d’extension d’avenants dans la CCN des coopératives de consommateurs salariés

La ministre du travail et de l'emploi, envisage d’étendre, par avis publié le 5 novembre 2024, les dispositions de l’avenant n° 1 du 27 septembre 2024 à l'accord du 20 juin 2019 relatif à la prévoyance et de l'avenant n° 2 du 27 septembre 2024 à l'accord du 30 septembre 2022 relatif à la liberté de choisir son avenir professionnel, conclus dans le cadre de la convention collective nationale des coopératives de consommateurs salariés (...