Les règles de la protection des données font intervenir différents acteurs dont les missions, prérogatives et niveau de responsabilité varient. Le responsable de traitement est défini à l'article 4-7 du RGPD comme "la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement". Il s'agit donc de l'entreprise ou l'administration qui décide de la mise en œuvre d'un traitement et qui de ce fait en assume la responsabilité.
Selon la complexité des traitements, il est possible que coexistent plusieurs responsables de traitement. Dans ce cas, ils seront désignés comme responsables conjoints. On parlera alors de relation horizontale dans laquelle ils déterminent ensemble les finalités et les moyens du traitement.
Obligations générales du Responsable de traitement
Le Responsable de traitement assume la responsabilité intégrale de la mise en œuvre du traitement. Il détermine les contours du traitement qui sera mis en œuvre au sein de l'entreprise. En pratique, cette mission globale implique un nombre importants d'obligations :
Rédiger un écrit précisant les obligations respectives de chacun des acteurs impliqués dans le traitement ;
Désigner un représentant au sein de l’Union européenne (pour les responsables de traitement et les sous-traitants situés hors de l'Espace Economique Européen) ;
Désigner un délégué à la protection des données lorsque c'est requis ;
Tenir un registre des activités de traitement qui permet de recenser les traitements de données et de disposer d’une vue d’ensemble de ce que est fait avec les données personnelles. Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité. Document de recensement et d’analyse, il doit refléter la réalité des traitements de données personnelles.
Réaliser une analyse d’impact relative à la protection des données (si les conditions en sont réunies). Une Analyse d’impact relative à la protection des données (AIPD) est une analyse aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD.
Informer la CNIL et les personnes concernées (principalement les candidats) en cas de violation des données. Le RGPD impose aux responsables de traitement de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, lorsque le risque est élevé, aux personnes concernées.
Fournir aux personnes concernées les informations obligatoires. Pour la réalisation d’un traitement, le responsable de traitement a l’obligation d’informer les personnes concernées sur les catégories de données collectées, leurs utilisations, les finalités du traitement …
Traiter les demandes d’exercice de droits (accès, effacement, opposition, etc.). Les personnes concernées par des traitements de données personnelles disposent de droits leur permettant de garder la maîtrise des informations les concernant. Le responsable de traitement doit expliquer aux personnes concernées la procédure (où, comment et à qui s'adresser ?) permettant de les exercer concrètement.
Obligations de supervision dans le cadre de la sous-traitance
Quand il fait appel à un sous-traitant, le responsable de traitement doit solliciter un prestataire présentant des garanties suffisantes au plan technique et organisationnel, conformes en tous points aux exigences du RGPD. Le responsable de traitement devra documenter les instructions du responsable de traitement concernant les traitements de données par le sous-traitant, afin d'en garder une trace écrite.
Pour s’assurer de la bonne exécution de ses missions par le sous-traitant, le responsable de traitement peut :
- exiger de celui-ci qu’il mette à sa disposition toutes les informations nécessaires pour démontrer le respect de leurs obligations respectives ;
- réaliser un audit ou mandater un auditeur pour vérifier le respect des exigences du RGPD par le sous-traitant, etc
Le rôle du Responsable du traitement est fondamental. Outre un véritable rôle d'impulsion et de décision, il est soumis à différentes obligations qu’il se doit de respecter pour assurer la confidentialité des informations et un respect de la vie privée. Il doit à ce titre veiller au respect des mesures de sécurité mises en place par l’entreprise, garantissant un niveau de sécurité adapté au risque.
Quelles sanctions ?
Le responsable de traitement s’expose à des sanctions administratives en cas de non-respect de ses obligations. Le montant pourra alors s’élever jusqu’à 20 millions d’euros, ou, si cela concerne une entreprise, jusqu'à 4% du chiffre d’affaires annuel mondial.
Tableau récapitulatif des principales obligations
| Nature des obligations | Responsable des données | Sous-traitant | Coresponsable des données |
|---|---|---|---|
| Rédiger un écrit précisant les obligations respectives de chacun des acteurs | Oui | Oui | Oui |
| Documenter les instructions du responsable des données concernant les traitements des informations personnelles par le sous-traitant | Oui | Oui | Oui |
| Obtenir et conserver une autorisation écrite préalable du responsable des données pour recourir aux services d’un sous-traitant | Non | Oui | Non |
| Tenir le registre des traitements mis en place | Oui | Oui | Oui |
| Réaliser une analyse d’impact (en cas de réalisation des critères du RGPD) | Oui | Non | Oui |
| Informer les autres acteurs du traitement (responsable des données, sous-traitant et co-responsable des données) en cas de soupçon de violation du RGPD | Non | Oui | Non |
| Informer la CNIL et/ou les personnes concernées en cas de violation des informations personnelles | Oui | Non | Oui |
| Fournir aux personnes concernées les informations obligatoires | Oui | Non | Oui |
| Traiter les demandes d’exercice de droits (accès, effacement, opposition, etc.) | Oui | Non | Oui |
| Assister le responsable des données dans le traitement de telles demandes | Oui | Oui | Non |