Le responsable du traitement fait partie des parties prenantes à un traitement avec le sous-traitant, le responsable conjoint, le tiers.
Définition :
▶ Le responsable du traitement est la personne physique ou morale qui décide de la finalité et des moyens du traitement.
Un responsable de traitement se caractérise donc par son autonomie dans la mise en place et la gestion d’un traitement. C’est lui qui décide de créer ou de supprimer le traitement. Il doit donc veiller au respect de toutes les obligations imposées par la loi.
Il s'agit généralement de l'organisation.
Par exemple, une collectivité sera responsable des traitements mis en oeuvre dans le cadre des activités publiques, par exemple, le fichier d'état civil. Une entreprise privée sera responsable des traitements mis en oeuvre pour la gestion des salariés. En effet, en tant qu'employeur, elle décide de mettre en oeuvre un traitement de données personnelles pour recruter des employés et faire vivre l'entreprise.
La responsabilité est attachée à l'entité à l'origine de la décision, de la raison d'être du traitement.
▶ La responsabilité de traitement est proche de la responsabilité civile contractuelle ou délictuelle. Ainsi, le responsable de traitement n'est généralement pas le dirigeant de l'entreprise, celui ci n'est que le représentant légal du responsable de traitement.
Par exemple, l'entreprise Dastra emploie des salariés. Elle dispose d'un directeur des ressources humaines et d'un PDG. Le traitement relatif à la gestion des ressources humaines sera sous la responsabilité de Dastra, l'entreprise. Le dirigeant et le DRH sont du personnel attaché au responsable de traitement et ne sont pas autonomes. Leurs décisions sont prises pour uniquement pour accomplir la raison sociale de l'entreprise.
▶ La responsabilité peut parfois reposer sur une personne phyisique. C'est le cas notamment pour les professions libérales (avocats, médecins) ou encore les députés au titre de leur activité parlementaire.
Auto-évaluation
▶ Voici une liste proposée par le contrôleur européen de protection des données (CNIL des institutions européennes) pour déterminer facilement qui est responsable de traitement. Si la majorité des réponses est OUI, alors vous avez la qualité de responsable de traitement.
| Liste | oui | non |
|---|---|---|
| Vous avez décidé de traiter des données à caractère personnel ou vous êtes à l’origine de leur traitement par une autre entité | ||
| Vous avez décidé quelle finalité ou quel résultat l’opération de traitement doit avoir. | ||
| Vous avez décidé des éléments essentiels de l’opération de traitement, à savoir quelles données à caractère personnel doivent être collectées, sur quelles personnes, pour quelle période de conservation, qui y a accès, qui en sont les destinataires, etc | ||
| Les personnes concernées de vos opérations de traitement sont vos employés. | ||
| Vous exercez un jugement professionnel lors du traitement des données à caractère personnel. | ||
| Vous avez un lien direct avec les personnes concernées. | ||
| Vous disposez d’autonomie et d’indépendance quant à la manière de traiter les données à caractère personnel. | ||
| Vous avez désigné un sous-traitant afin qu’il exerce des activités de traitement pour votre compte, même si l’entité choisie dans cette finalité met en œuvre des moyens techniques et organisationnels spécifiques (éléments non essentiels). |