[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fyJ-NGZ0qyWPCLhNO1C2j76aV3UvV3kVYLDyCeS_Gy0g":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":15,"state":16,"author":17,"authorId":18,"datePublication":24,"dateCreation":25,"dateUpdate":26,"mainCategory":27,"categories":42,"metaDatas":68,"imageUrl":69,"imageThumbUrls":70,"id":78},true,"\r\nLes règles de la protection des données font intervenir différents acteurs dont les missions, prérogatives et niveau de responsabilité varient. Le [responsable de traitement](https://www.dastra.eu/fr/guide/responsable-de-traitement/392) est défini à l'**article 4-7 du RGPD** comme \"la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement\". Il s'agit donc de l'entreprise ou l'administration qui **décide de la mise en œuvre d'un traitement** et qui de ce fait en assume la **responsabilité**. \r\n\r\nSelon la complexité des traitements, il est possible que coexistent **plusieurs responsables** de traitement. Dans ce cas, ils seront désignés comme **responsables conjoints**. On parlera alors de **relation horizontale** dans laquelle ils déterminent ensemble les finalités et les moyens du traitement.\r\n \r\n## Obligations générales du Responsable de traitement\r\n \r\nLe Responsable de traitement assume la responsabilité intégrale de la mise en œuvre du traitement. Il détermine les **contours du traitement** qui sera mis en œuvre au sein de l'entreprise. En pratique, cette mission globale implique un nombre importants d'obligations :\r\n\r\n* Rédiger un écrit précisant les **obligations respectives** de chacun des acteurs impliqués dans le traitement ;\r\n\r\n\r\n* Désigner un **représentant au sein de l’Union européenne** (pour les responsables de traitement et les sous-traitants situés hors de l'Espace Economique Européen) ;\r\n\r\n* Désigner un délégué à la protection des données [lorsque c'est requis](https://www.dastra.eu/fr/guide/designation-obligatoire-ou-facultative-dun-dpo/48289) ; \r\n \r\n* Tenir un **registre des activités de traitement** qui permet de recenser les traitements de données et de disposer d’une **vue d’ensemble** de ce que est fait avec les données personnelles.\r\nLe registre est prévu par l’**article 30** du RGPD. Il participe à la documentation de la **conformité**. Document de recensement et d’analyse, il doit refléter la **réalité des traitements de données personnelles.**\r\n\r\n\r\n- Réaliser une **analyse d’impact** relative à la protection des données (si les [conditions en sont réunies](https://www.dastra.eu/fr/guide/guide-pratique-analyse-impact-protection-des-donnees/499)). Une Analyse d’impact relative à la protection des données (AIPD) est une analyse aidant à **construire des traitements de données respectueux de la vie privée** et permettant de **démontrer la conformité** de son traitement au RGPD.\r\n\r\n\r\n- **Informer la CNIL** et les **personnes concernées** (principalement les candidats) en cas de **[violation des données](https://www.dastra.eu/fr/guide/quest-ce-quune-violation-de-donnees/52006)**. \r\nLe RGPD impose aux responsables de traitement de **documenter**, en interne, les violations de données personnelles et de **notifier** les violations présentant un **risque pour les droits et libertés** des personnes à la CNIL et, dans certains cas, lorsque le risque est élevé, aux personnes concernées.\r\n\r\n\r\n- Fournir aux personnes concernées les **informations obligatoires**. Pour la réalisation d’un traitement, le responsable de traitement a l’obligation d’informer les personnes concernées sur les **catégories** de données collectées, leurs **utilisations**, les **finalités** du traitement …\r\n\r\n\r\n- Traiter les demandes d’**exercice de droits** (accès, effacement, opposition, etc.). Les personnes concernées par des traitements de données personnelles disposent de droits leur permettant de **garder la maîtrise** des informations les concernant. \r\nLe responsable de traitement doit **expliquer** aux personnes concernées la procédure (où, comment et à qui s'adresser ?) permettant de les exercer concrètement.\r\n \r\n\r\n## Obligations de supervision dans le cadre de la sous-traitance \r\n\r\nQuand il fait appel à un **[sous-traitant](https://www.dastra.eu/fr/guide/sous-traitant/388)**, le responsable de traitement doit solliciter un prestataire présentant des **garanties suffisantes** au plan technique et organisationnel, conformes en tous points aux exigences du RGPD.  Le responsable de traitement devra **documenter les instructions** du responsable de traitement concernant les traitements de données par le sous-traitant, afin d'en garder une trace écrite.\r\n\r\nPour s’assurer de la bonne exécution de ses missions par le sous-traitant, le responsable de traitement peut :  \r\n\r\n-  exiger de celui-ci qu’il mette à sa disposition toutes les informations nécessaires pour **démontrer le respect de leurs obligations respectives** ;  \r\n-  réaliser un **audit** ou mandater un auditeur pour vérifier le **respect des exigences du RGPD** par le sous-traitant, etc\r\n\r\n\r\nLe rôle du Responsable du traitement est fondamental. Outre un véritable rôle d'impulsion et de décision, il est soumis à différentes obligations qu’il se doit de respecter pour assurer la **confidentialité** des informations et un **respect de la vie privée**. \r\nIl doit à ce titre veiller au respect des **mesures de sécurité** mises en place par l’entreprise, garantissant un niveau de sécurité **adapté au risque**.\r\n\r\n## Quelles sanctions ?\r\n\r\nLe responsable de traitement s’expose à des **sanctions administratives** en cas de non-respect de ses obligations. Le montant pourra alors s’élever jusqu’à **20 millions d’euros**, ou, si cela concerne une entreprise, jusqu'à **4% du chiffre d’affaires annuel** mondial.\r\n\r\n## Tableau récapitulatif des principales obligations\r\n\r\n| Nature des obligations | Responsable des données  | Sous-traitant | Coresponsable des données |\r\n| -- | --- | --- | --- |\r\n| Rédiger un écrit précisant les obligations respectives de chacun des acteurs | Oui| Oui | Oui  |\r\n| Documenter les instructions du responsable des données concernant les traitements des informations personnelles par le sous-traitant | Oui | Oui  | Oui |\r\n| Obtenir et conserver une autorisation écrite préalable du responsable des données pour recourir aux services d’un sous-traitant | Non | Oui | Non |\r\n| Tenir le registre des traitements mis en place | Oui |  Oui| Oui |\r\n| Réaliser une analyse d’impact (en cas de réalisation des critères du RGPD) | Oui | Non | Oui |\r\n|Informer les autres acteurs du traitement (responsable des données, sous-traitant et co-responsable des données) en cas de soupçon de violation du RGPD  |Non  | Oui | Non |\r\n|Informer la CNIL et/ou les personnes concernées en cas de violation des informations personnelles  | Oui | Non | Oui |\r\n|  Fournir aux personnes concernées les informations obligatoires| Oui | Non | Oui |\r\n| Traiter les demandes d’exercice de droits (accès, effacement, opposition, etc.) | Oui | Non | Oui |\r\n| Assister le responsable des données dans le traitement de telles demandes | Oui | Oui | Non |\r\n","\u003Cp>Les règles de la protection des données font intervenir différents acteurs dont les missions, prérogatives et niveau de responsabilité varient. Le \u003Ca href=\"https://www.dastra.eu/fr/guide/responsable-de-traitement/392\">responsable de traitement\u003C/a> est défini à l'\u003Cstrong>article 4-7 du RGPD\u003C/strong> comme \"la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement\". Il s'agit donc de l'entreprise ou l'administration qui \u003Cstrong>décide de la mise en œuvre d'un traitement\u003C/strong> et qui de ce fait en assume la \u003Cstrong>responsabilité\u003C/strong>.\u003C/p>\n\u003Cp>Selon la complexité des traitements, il est possible que coexistent \u003Cstrong>plusieurs responsables\u003C/strong> de traitement. Dans ce cas, ils seront désignés comme \u003Cstrong>responsables conjoints\u003C/strong>. On parlera alors de \u003Cstrong>relation horizontale\u003C/strong> dans laquelle ils déterminent ensemble les finalités et les moyens du traitement.\u003C/p>\n\u003Ch2 id=\"obligations-generales-du-responsable-de-traitement\">Obligations générales du Responsable de traitement\u003C/h2>\n\u003Cp>Le Responsable de traitement assume la responsabilité intégrale de la mise en œuvre du traitement. Il détermine les \u003Cstrong>contours du traitement\u003C/strong> qui sera mis en œuvre au sein de l'entreprise. En pratique, cette mission globale implique un nombre importants d'obligations :\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cp>Rédiger un écrit précisant les \u003Cstrong>obligations respectives\u003C/strong> de chacun des acteurs impliqués dans le traitement ;\u003C/p>\n\u003C/li>\n\u003Cli>\u003Cp>Désigner un \u003Cstrong>représentant au sein de l’Union européenne\u003C/strong> (pour les responsables de traitement et les sous-traitants situés hors de l'Espace Economique Européen) ;\u003C/p>\n\u003C/li>\n\u003Cli>\u003Cp>Désigner un délégué à la protection des données \u003Ca href=\"https://www.dastra.eu/fr/guide/designation-obligatoire-ou-facultative-dun-dpo/48289\">lorsque c'est requis\u003C/a> ;\u003C/p>\n\u003C/li>\n\u003Cli>\u003Cp>Tenir un \u003Cstrong>registre des activités de traitement\u003C/strong> qui permet de recenser les traitements de données et de disposer d’une \u003Cstrong>vue d’ensemble\u003C/strong> de ce que est fait avec les données personnelles.\nLe registre est prévu par l’\u003Cstrong>article 30\u003C/strong> du RGPD. Il participe à la documentation de la \u003Cstrong>conformité\u003C/strong>. Document de recensement et d’analyse, il doit refléter la \u003Cstrong>réalité des traitements de données personnelles.\u003C/strong>\u003C/p>\n\u003C/li>\n\u003C/ul>\n\u003Cul>\n\u003Cli>\u003Cp>Réaliser une \u003Cstrong>analyse d’impact\u003C/strong> relative à la protection des données (si les \u003Ca href=\"https://www.dastra.eu/fr/guide/guide-pratique-analyse-impact-protection-des-donnees/499\">conditions en sont réunies\u003C/a>). Une Analyse d’impact relative à la protection des données (AIPD) est une analyse aidant à \u003Cstrong>construire des traitements de données respectueux de la vie privée\u003C/strong> et permettant de \u003Cstrong>démontrer la conformité\u003C/strong> de son traitement au RGPD.\u003C/p>\n\u003C/li>\n\u003Cli>\u003Cp>\u003Cstrong>Informer la CNIL\u003C/strong> et les \u003Cstrong>personnes concernées\u003C/strong> (principalement les candidats) en cas de \u003Cstrong>\u003Ca href=\"https://www.dastra.eu/fr/guide/quest-ce-quune-violation-de-donnees/52006\">violation des données\u003C/a>\u003C/strong>.\nLe RGPD impose aux responsables de traitement de \u003Cstrong>documenter\u003C/strong>, en interne, les violations de données personnelles et de \u003Cstrong>notifier\u003C/strong> les violations présentant un \u003Cstrong>risque pour les droits et libertés\u003C/strong> des personnes à la CNIL et, dans certains cas, lorsque le risque est élevé, aux personnes concernées.\u003C/p>\n\u003C/li>\n\u003Cli>\u003Cp>Fournir aux personnes concernées les \u003Cstrong>informations obligatoires\u003C/strong>. Pour la réalisation d’un traitement, le responsable de traitement a l’obligation d’informer les personnes concernées sur les \u003Cstrong>catégories\u003C/strong> de données collectées, leurs \u003Cstrong>utilisations\u003C/strong>, les \u003Cstrong>finalités\u003C/strong> du traitement …\u003C/p>\n\u003C/li>\n\u003Cli>\u003Cp>Traiter les demandes d’\u003Cstrong>exercice de droits\u003C/strong> (accès, effacement, opposition, etc.). Les personnes concernées par des traitements de données personnelles disposent de droits leur permettant de \u003Cstrong>garder la maîtrise\u003C/strong> des informations les concernant.\nLe responsable de traitement doit \u003Cstrong>expliquer\u003C/strong> aux personnes concernées la procédure (où, comment et à qui s'adresser ?) permettant de les exercer concrètement.\u003C/p>\n\u003C/li>\n\u003C/ul>\n\u003Ch2 id=\"obligations-de-supervision-dans-le-cadre-de-la-sous-traitance\">Obligations de supervision dans le cadre de la sous-traitance\u003C/h2>\n\u003Cp>Quand il fait appel à un \u003Cstrong>\u003Ca href=\"https://www.dastra.eu/fr/guide/sous-traitant/388\">sous-traitant\u003C/a>\u003C/strong>, le responsable de traitement doit solliciter un prestataire présentant des \u003Cstrong>garanties suffisantes\u003C/strong> au plan technique et organisationnel, conformes en tous points aux exigences du RGPD.  Le responsable de traitement devra \u003Cstrong>documenter les instructions\u003C/strong> du responsable de traitement concernant les traitements de données par le sous-traitant, afin d'en garder une trace écrite.\u003C/p>\n\u003Cp>Pour s’assurer de la bonne exécution de ses missions par le sous-traitant, le responsable de traitement peut :\u003C/p>\n\u003Cul>\n\u003Cli>exiger de celui-ci qu’il mette à sa disposition toutes les informations nécessaires pour \u003Cstrong>démontrer le respect de leurs obligations respectives\u003C/strong> ;\u003C/li>\n\u003Cli>réaliser un \u003Cstrong>audit\u003C/strong> ou mandater un auditeur pour vérifier le \u003Cstrong>respect des exigences du RGPD\u003C/strong> par le sous-traitant, etc\u003C/li>\n\u003C/ul>\n\u003Cp>Le rôle du Responsable du traitement est fondamental. Outre un véritable rôle d'impulsion et de décision, il est soumis à différentes obligations qu’il se doit de respecter pour assurer la \u003Cstrong>confidentialité\u003C/strong> des informations et un \u003Cstrong>respect de la vie privée\u003C/strong>.\nIl doit à ce titre veiller au respect des \u003Cstrong>mesures de sécurité\u003C/strong> mises en place par l’entreprise, garantissant un niveau de sécurité \u003Cstrong>adapté au risque\u003C/strong>.\u003C/p>\n\u003Ch2 id=\"quelles-sanctions\">Quelles sanctions ?\u003C/h2>\n\u003Cp>Le responsable de traitement s’expose à des \u003Cstrong>sanctions administratives\u003C/strong> en cas de non-respect de ses obligations. Le montant pourra alors s’élever jusqu’à \u003Cstrong>20 millions d’euros\u003C/strong>, ou, si cela concerne une entreprise, jusqu'à \u003Cstrong>4% du chiffre d’affaires annuel\u003C/strong> mondial.\u003C/p>\n\u003Ch2 id=\"tableau-recapitulatif-des-principales-obligations\">Tableau récapitulatif des principales obligations\u003C/h2>\n\u003Ctable>\n\u003Cthead>\n\u003Ctr>\n\u003Cth>Nature des obligations\u003C/th>\n\u003Cth>Responsable des données\u003C/th>\n\u003Cth>Sous-traitant\u003C/th>\n\u003Cth>Coresponsable des données\u003C/th>\n\u003C/tr>\n\u003C/thead>\n\u003Ctbody>\n\u003Ctr>\n\u003Ctd>Rédiger un écrit précisant les obligations respectives de chacun des acteurs\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>Documenter les instructions du responsable des données concernant les traitements des informations personnelles par le sous-traitant\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>Obtenir et conserver une autorisation écrite préalable du responsable des données pour recourir aux services d’un sous-traitant\u003C/td>\n\u003Ctd>Non\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003Ctd>Non\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>Tenir le registre des traitements mis en place\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>Réaliser une analyse d’impact (en cas de réalisation des critères du RGPD)\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003Ctd>Non\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>Informer les autres acteurs du traitement (responsable des données, sous-traitant et co-responsable des données) en cas de soupçon de violation du RGPD\u003C/td>\n\u003Ctd>Non\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003Ctd>Non\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>Informer la CNIL et/ou les personnes concernées en cas de violation des informations personnelles\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003Ctd>Non\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>Fournir aux personnes concernées les informations obligatoires\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003Ctd>Non\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>Traiter les demandes d’exercice de droits (accès, effacement, opposition, etc.)\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003Ctd>Non\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>Assister le responsable des données dans le traitement de telles demandes\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003Ctd>Oui\u003C/td>\n\u003Ctd>Non\u003C/td>\n\u003C/tr>\n\u003C/tbody>\n\u003C/table>\n",null,973,5,"Quelles sont mes obligations en tant que responsable de traitement ?",0,"fr","quelles-sont-mes-obligations-en-tant-que-responsable-de-traitement","Dans cet article, nous verrons quelles sont les obligations du responsable de traitement au regard du règlement général sur la protection des données (RGPD). ",false,"Published",{"id":18,"displayName":19,"avatarUrl":20,"bio":21,"blogUrl":22,"color":7,"userId":18,"creationDate":23},31,"Jérôme de Mercey","https://static.dastra.eu/tenant-10/avatar/31/Zuh7XFZe5EnnTo/design-sans-titre-2-150.png","COO/cofounder","https://www.dastra.eu","2021-11-15T12:57:57","2023-01-04T11:15:00","2021-09-28T10:19:09.0718878","2026-04-20T12:25:16.0333119",{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":33},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[34,36,39],{"lang":12,"name":29,"description":35},"Une liste d'articles rédigés par la communauté",{"lang":37,"name":29,"description":38},"es","Una lista de artículos escritos por la comunidad",{"lang":40,"name":29,"description":41},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[43,48],{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":44},[45,46,47],{"lang":12,"name":29,"description":35},{"lang":37,"name":29,"description":38},{"lang":40,"name":29,"description":41},{"id":49,"name":50,"description":51,"url":52,"color":53,"parentId":28,"count":7,"imageUrl":7,"parent":54,"order":9,"translations":59},69,"Expertise","Gain insights from our experts on GDPR compliance, data protection, and privacy challenges. In-depth articles, professional analysis, and real-world best practices.","indepth","#000000",{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":55},[56,57,58],{"lang":12,"name":29,"description":35},{"lang":37,"name":29,"description":38},{"lang":40,"name":29,"description":41},[60,62,65],{"lang":12,"name":50,"description":61},"Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":40,"name":63,"description":64},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":37,"name":66,"description":67},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",[],"https://static.dastra.eu/content/7c69c282-6e2e-4473-8a9a-abd2f088cd44/direction-desk-1000.png",[71,72,73,74,75,76,77],"https://static.dastra.eu/content/7c69c282-6e2e-4473-8a9a-abd2f088cd44/direction-desk-1000.webp","https://static.dastra.eu/content/7c69c282-6e2e-4473-8a9a-abd2f088cd44/direction-desk.webp","https://static.dastra.eu/content/7c69c282-6e2e-4473-8a9a-abd2f088cd44/direction-desk-1500.webp","https://static.dastra.eu/content/7c69c282-6e2e-4473-8a9a-abd2f088cd44/direction-desk-800.webp","https://static.dastra.eu/content/7c69c282-6e2e-4473-8a9a-abd2f088cd44/direction-desk-600.webp","https://static.dastra.eu/content/7c69c282-6e2e-4473-8a9a-abd2f088cd44/direction-desk-300.webp","https://static.dastra.eu/content/7c69c282-6e2e-4473-8a9a-abd2f088cd44/direction-desk-100.webp",33840]