RGPD, le responsable de traitement

votre mise en conformité au RGPD avec SYSGUARD

Être responsable de traitement, qu’est-ce donc ? De quoi parle-t-on ? De médecine, de chimie, d’un autre thème ? Un autre thème oui ! Le règlement général de la protection des données plus connu sous l’acronyme RGPD. Qu’est ce qu’un responsable de traitement ? A chaud, cela semble flou. Le Comité Européen de la Protection des Données, en 2020, a clarifié cette notion. De plus, il la distingue également de la notion de sous-traitant. Nous allons ainsi pouvoir dire qui et ce que fait un responsable de traitement de données à caractères personnelles. Puis nous allons aborder les obligations qui lui incombent. Enfin, nous évoquerons sa responsabilité face aux règles du RGPD.

1-La notion de responsable de traitement

L’Article 4.7 du RGPD donne une définition de la notion de responsable de traitement  : «responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre; »

Concrètement, un responsable de traitement est une personne physique ou morale (entreprise, collectivité locale etc.). Elle qui détermine les finalités et les moyens d’un traitement de données à caractère personnelles, c’est à dire l’objectif et la façon de le réaliser. Il s’agit donc de la personne morale incarnée par son représentant légal. (https://www.cnil.fr/fr/definition/responsable-de-traitement )

Ainsi on peut affirmer qu’

  • Un dirigeant social
  • Un entrepreneur individuel
  • Un professionnel en libéral (médecin, avocat…)
  • Un maire
  • Le président d’une communauté de communes
  • Un directeur d’une collectivité

Sont des responsables de traitement.

Exemples :

  • Lors des inscriptions à une liste électorale, le maire définit les données collectées pour donner le droit de vote à des personnes devenues majeures, à des nouveaux arrivants dans sa commune
  • Dans le cadre d’un jeu concours, une entreprise va collecter les données des participants (Nom, prénom, adresse, téléphone, e-mail). L’entreprise est responsable de traitement et son dirigeant social, la représente dans le cadre de cette fonction

Dans la pratique, un responsable de traitement délègue ses missions soit à un collaborateur soit à un prestataire externe. Dans cette dernière hypothèse, on parle alors de sous-traitance.

Chacun doit prendre conscience de leur rôle institué par le RGPD et des obligations qui en découlent.

2-Les obligations du responsable de traitement

Tout responsable de traitement s’assure de la conformité de celui-ci au RGPD au sein de son organisation, traite les données collectées. Il a de nombreuses obligations, basées sur les 8 principes fondamentaux du RGPD à savoir :

La licéité : cela signifie qu’un responsable de traitement doit traiter toutes données collectées de manière loyale, transparente et sur la base d’un fondement. Le fondement peut être le consentement de la personne, une base légale. En cas de contrôle, le responsable de traitement apporte la preuve du respect de la licéité.

La finalité  : Les données collectées répondent à un but déterminé précisément et légitime. Elles ne doivent pas être traitées ultérieurement dans un but incompatible avec l’objectif initial.

Le principe de minimisation des données : les données à caractère personnel collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités de leur traitement.

La protection particulière des données sensibles : certaines données sont réputées sensibles par le RGPD. Exemples les données relatives, à la religion, à la liberté syndicale ne doivent pas être collectées sauf dans des cas précis.

La durée de conservation des données : les données se conservent le temps de la finalité. Dans certains cas, la Loi fixe des durées. Exemple les données d’un salarié licencié se conservent le temps de l’écoulement des délais de voix de recours.

Sécuriser les données : les responsable de traitement doit mettre en place des mesures adéquates pour sécuriser les données traitées. En cas de violation, il informe la CNIL dans les 72h. Dans les cas les plus graves (exemples la CAF, France Travail, ALMERYS et bien d’autres), il informe les personnes concernées.

Principe de transparence : pour la réalisation d’un traitement, le responsable de traitement a l’obligation d’informer les personnes concernées. Il doit les informer sur les catégories de données collectées, leurs utilisations, les finalités du traitement.

Le droit des personnes : on rappelle qu’à l’origine, l’un des objectifs du RGPD est de renforcer le droit des personnes quant à la protection et l’usage de leurs données personnelles. En conséquence, tout responsable de traitement doit faciliter l’exercice de ces droits pour les personnes concernées. En conséquence, il prend en compte les demandes qui y sont liées.

Le responsable de traitement répond à une série d’obligations contraignantes et techniques. S’il ne s’y conforme pas, il est susceptible de voir sa responsabilité engagée.

3-La responsabilité du responsable de traitement face aux règles du RGPD

Une responsabilité forte

Nous avons évoqué que tout responsable du traitement met en place les mesures techniques et organisationnelles destinées à garantir la sécurité données collectées.

De plus, il ne traite seulement les données à caractère personnel nécessaires au regard de chaque finalité spécifique. Il respecte le principe de la conservation limitée des données. Il s’assure que les personnes ont un droit d’accès de rectification et de suppression.

Le responsable de traitement est tenu d’assurer la conformité du traitement qu’il réalise aux principes du RGPD. Cela implique de prendre toutes les mesures nécessaires pour assurer cette conformité et de pouvoir démontrer leur conformité au RGPD.

Le responsable de traitement, en fonction du traitement envisagé, doit donc évaluer les risques potentiels susceptibles de survenir. Puis, il prend toutes les mesures adéquates. Par exemple, pour certains traitements notamment les traitements de données sensibles, des mesures supplémentaires devront être prises, comme la réalisation d’une analyse d’impact.

Par ailleurs, en cas de recours à des sous-traitants, le responsable de traitement s’assure que ces derniers opèrent en conformité avec le règlement sous peine de voir sa responsabilité engagée.

En cas de violation de ses obligations, quelle que soit l’origine (cyberattaque, vol par un ancien collaborateur), le responsable de traitement peut être lourdement sanctionné. En effet, le RGPD prévoit des sanctions administratives, telles qu’une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. A cela d’autres actions en justice peuvent s’ajouter (Action en responsabilité civile par exemple)

Il faut donc faire preuve de vigilance lors de la réalisation de tout traitement de données en tant que responsable de traitement.

Pour conclure

Ainsi, toute personne morale et physique traitant des données doit d’être en conformité quant aux dispositions du RGPD. Face aux enjeux et obligations imposés par le RGPD, SYSGUARD vous accompagne pour :

  • Mettre en conformité votre organisation quant au RGPD ;
  • Conseiller et rédiger vos politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • Documenter vos traitements (registre des activités de traitement, registre des violations,
  • Réaliser une analyse d’impact quand cela est nécessaire ;
  • Instaurer des process de sécurité pour sécuriser vos données et leur archivage
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • Étudier la faisabilité juridique et technique d’un nouveau traitement de données à caractère personnel ;
  • Rédiger et transmettre vos codes de conduites à la CNIL pour approbation ;
  • Alerter la CNIL en cas de violation de vos données
  • Analyser la conformité de vos traitements de données, y compris des transferts hors de l’Espace Economique Européen ;
  • Sensibiliser et former vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe pour certains de nos clients. Nous vous accompagnons dans votre mise en conformité, la création d’un nouveau traitement, réaliser une analyse d’impact et bien d’autres prestations relatives au RGPD.

Se mettre en conformité par rapport à ce règlement européen est un gage de sérieux et de confiance quant à vos clients, prospects partenaires, administrés. Notre accompagnement dans votre organisation se fait en toute impartialité et avec franchise et transparence.

Besoin de se mettre en conformité de se faire accompagner quant au RGPD ? Contactez-nous.

0 commentaires

Ecrit par Stéphane Rondelot

Juriste de formation, je suis expert en droit et en communication. Depuis plus de 20 ans, je forme les entreprises et les personnes en phase de création de société sur le droit des sociétés, l'économie et la communication. Passionné de nouvelles technologies, je me suis intéressé très tôt au droit de l'internet et bien entendu au RGPD.

Publié le 25 mars 2024