Responsable RGPD : Qui est-il ?

Le terme de responsable RGPD n’est pas si simple. En fait, on se rend rapidement compte qu’on peut parler de plusieurs choses quand on emploie ce terme. Le responsable RGPD peut d’abord être le responsable du traitement, ce qui est une terminologie juridique donnée par le RGPD.

De façon plus pratique, le responsable RGPD est tout simplement la personne qui sera en charge du RGPD dans l’entreprise : il peut avoir le titre et les qualifications de DPO (Délégué à la Protection des Données) mais pas obligatoirement, surtout dans les petites structures.

On revient sur ce point vocabulaire pour mieux comprendre les réalités qui se cachent derrière le terme de responsable RGPD.

Le responsable de traitement : la définition juridique du responsable RGPD

Le responsable RGPD est d’abord, aux yeux des textes, le responsable de traitement.

Le responsable de traitement est la personne qui décide de l’opération de traitement des données : c’est lui qui détermine les finalités du traitement (c’est-à-dire les objectifs) et les moyens mis en œuvre pour le réaliser.

Il s’agit de l’entreprise ou de l’entité qui décide de la réalisation du traitement. C’est bien la personne morale qui est responsable de traitement. Elle est donc le plus souvent représentée par son président, un directeur général ou un représentant légal.

La notion de responsable de traitement prend tout son sens quand on la place en relation avec le sous-traitant. Par opposition, le sous-traitant est une personne (entreprise) qui traite les données pour le compte d’un tiers, le responsable de traitement.

La responsabilité vis-à-vis du RGPD n’est pas la même entre ces deux personnes et chacune porte des obligations distinctes.

Enfin et dans certains cas, on peut admettre une co-responsabilité. Dans ce cas, un contrat répartit précisément les rôles de chacun dans l’opération de traitement et répartit donc de même les responsabilités juridiques.

La notion de responsable de traitement correspond bien, juridiquement, à celle de responsable RGPD. Néanmoins, le terme peut renvoyer à une autre réalité plus concrète : il s’agit alors de la personne chargée de piloter la conformité dans l’entreprise.

Le DPO : la personne derrière le RGPD dans l’entreprise

Le responsable RGPD dans l’entreprise est souvent le DPO, pour Data Protection Officer, ou Délégué à la Protection des Données en français.

Cependant, il n’est pas toujours obligatoire de nommer un DPO dans votre entreprise. En effet, seuls trois cas sont concernés par une obligation de principe :

• Les organismes publics ou administrations ;

• Les entreprises qui traitent de données sensibles à grande échelle ;

• Les entreprises qui opèrent un traitement de données régulier ou système à grande échelle sur un grand nombre de personnes.

• Dans tous les autres cas, la nomination d’un DPO n’est pas une obligation mais est cependant conseillée : ce responsable du RGPD dans l’entreprise remplit plusieurs fonctions.

C’est lui qui chapeaute toutes les opérations liées à la conformité de votre entreprise (tenue du registre des traitements, audit des sous-traitants, analyses d’impact…) et qui fait le lien entre les différentes personnes et métiers impliqués dans ces démarches.

C’est également le DPO qui est l’interlocuteur principal de la CNIL en cas de contrôle. Son rôle est donc de garantir des échanges fluides avec l’autorité de contrôle et de présenter les informations et documents RGPD adaptés pour démontrer que l’entreprise respecte bien ses obligations et donc éviter une sanction.

Sans nécessairement nommer un DPO, il est conseillé d’avoir une ou plusieurs personnes responsables du RGPD dans l’entreprise : celles-ci ont en général un profil au croisement de la technique et du juridique et peuvent lorsque ces départements existent dans l’entreprise appartenir à la direction compliance ou à la direction juridique de la structure.

A noter cependant que le rôle particulier du responsable RGPD lui donne un rôle dans de très nombreux projets de l’entreprise, souvent au coeur des expertises métiers. Dans ce contexte, il peut être important que sa place dans l’organigramme lui permette de gérer au mieux les relations avec les personnes concernées pour garantir que le RGPD soit une priorité dans la conduite des projets.