Le RGPD mentionne souvent le responsable de traitement. Avant d’entrer dans la définition du responsable de traitement pour bien comprendre qui il est et quel est son rôle, il faut faire deux distinctions.
Premièrement, le responsable de traitement n’est pas le DPO (ou Délégué à la Protection des Données) : celui-ci est une personne physique en charge de la protection des données dans votre entreprise. Or le responsable de traitement peut être une personne morale comme l’entreprise, un organisme, une autorité publique…
Ensuite, on n’est pas responsable de traitement une bonne fois pour toutes : ce n’est pas un statut mais plutôt une fonction, à envisager dans le cadre d’une relation ou d’un traitement donné. Souvent, le responsable de traitement est mis en lien avec le sous-traitant au sens du RGPD. Ils ont chacun un rôle dans une opération de traitement donnée, mais il est possible d’être responsable de traitement pour une opération sur un type de données et sous-traitant pour une autre, par exemple.
Une fois ces éléments clarifiés, qui est le responsable de traitement ? Quelles sont ses obligations ? Quelle est sa responsabilité et quelles sanctions risque-t-il ?
Responsable de traitement RGPD : qui est-il ?
Le RGPD donne un définition du responsable de traitement. Il peut s’agir d’une personne, d’une entreprise, d’une organisation… qui “détermine les finalités et les moyens d’un traitement de données”. C’est donc lui qui décide d’une opération de traitement.
En pratique, le responsable de traitement est en général la personne morale, c’est-à-dire votre entreprise, incarnée par son représentant légal (dirigeant…).
En clair, dès que vous réalisez une opération de traitement des données (pour rappel, ces opérations sont très larges et vont de la collecte d’adresse email de vos clients à l’usage de cookies jusqu’à la gestion de la paie de vos salariés), vous êtes responsable de traitement pour cette opération.
A noter qu’il est aussi possible d’entrer dans un schéma de co-responsabilité pour un traitement : dans ce cas, un contrat doit encadrer l’opération et notamment définir les obligations et responsabilités de chacun.
Quelles sont les obligations du responsable de traitement ?
Obligations du responsable de traitement dans une opération classique
Dans le cadre d’une opération classique, qu’on entend ici comme une opération de traitement de données ne mettant pas en scène de sous-traitants au sens du RGPD, le responsable de traitement doit s’assurer de la conformité au RGPD de l’opération.
Il doit donc respecter une série d’obligations définies par le RGPD. La première d’entre elles est de garantir la licéité du traitement : il faut que l’opération elle-même soit permise par le texte. Ensuite, on peut citer la nécessité de tenir un registre des traitements, de respecter les différents droits à la vie privée des personnes concernées (droit d’accès, droit d’effacement…) ou encore l’obligation de mener des analyses d’impact.
Enfin, le responsable de traitement doit mettre en place des mesures pour assurer la sécurité des données collectées. Celles-ci peuvent revêtir plusieurs formes en fonction de la sensibilité de la donnée et du mode de collecte et de traitement. Dans tous les cas, il faut documenter ces mesures prises, notamment pour pouvoir les présenter à la CNIL en cas de contrôle.
Obligations du responsable de traitement avec sous-traitants
Prenons maintenant le cas où un sous-traitant est présent. C’est lui qui vient opérer le traitement sur instruction du responsable de traitement. Dans ce contexte, le responsable de traitement a également un certain nombre d’obligations spécifiques.
Premièrement, il doit choisir un sous-traitant présentant les garanties nécessaires à la conformité au RGPD. En d’autres termes, il doit passer par l’étape d’audit de ses sous-traitants pour s’assurer qu’ils présentent les garanties requises.
Ensuite et plus généralement, le responsable de traitement doit s’assurer que le sous-traitant exerce le traitement en conformité avec le RGPD. Entre autres, le responsable de traitement a un devoir d’assistance envers son sous-traitant et doit mettre à disposition les informations ou éléments nécessaires (preuve de consentement, par exemple). A noter que le sous-traitant a également une responsabilité propre et notamment un devoir de conseil : il doit accompagner le responsable de traitement dans cette tâche.
RGPD : Quelle responsabilité pour le responsable de traitement ?
Comme son nom l’indique, le responsable de traitement endosse une certaine responsabilité donnée par le RGPD.
Le principe à avoir en tête est celui de l’accountability. Cela signifie que c’est au responsable de traitement de prendre toutes les mesures nécessaires pour assurer la sécurité des données collectées et le respect du RGPD. C’est aussi à lui de pouvoir prouver et documenter la mise en place de ces mesures.
C’est notamment dans ce cadre que le responsable de traitement doit produire certains documents qu’il devra pouvoir présenter à la CNIL en cas de contrôle. Il s’agit notamment du registre de traitement des données, des analyses d’impact ou AIPD et éventuellement du registre des sous-traitants.
Enfin, on l’a dit, le responsable de traitement voit sa propre responsabilité engagée dans sa relation avec des sous-traitants. Il doit donc bien choisir ses sous-traitants, vérifier leur conformité et mener un audit des sous-traitants.
En cas de non-respect des obligations du RGPD, la responsabilité de l’entreprise est engagée. Concrètement, la CNIL peut prononcer des sanctions administratives très lourdes : jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires mondial de l’entreprise. Le montant des sanctions dépend donc à la fois de la taille de l’entreprise et de la nature de la violation éventuellement constatée.
