Données personnelles (RGPD) : qui peut être responsable du traitement ?

Le Règlement général sur la protection des données (RGPD) est monstre réglementaire qui fait parler de lui depuis plusieurs mois. En effet, son entrée en vigueur au 25 mai 2018 se rapproche et les entreprises commencent seulement à prendre conscience des travaux à réaliser pour s’y conformer. 

Cette conformité sera capitale, bien que des délais d’adaptation plus larges seront probablement admis, car des sanctions alourdies sont prévues par le RGPD. Les entreprises mettant en oeuvre un ou plusieurs traitements de données personnelles doivent donc désigner un responsable du traitement : voici les 3 choses à savoir sur le sujet. 

Le responsable du traitement : une personne morale ou physique

Toute entreprise qui met en oeuvre en son sein un ou plusieurs traitements de données personnelles doit désigner un responsable du traitement. Ce responsable peut avoir sous sa houlette un ou plusieurs traitements différents en même temps. 

Le RGPD définit à son article 1 le responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement« . Une personne morale peut donc être responsable du traitement, ce n’est pas nécessairement un individu. 

C’est à ce responsable qu’il appartient de mettre en oeuvre toutes les mesures appropriées pour démontrer que le ou les traitements dont il a la responsabilité sont effectués en conformité avec le RGPD. 

On peut également noter que plusieurs personnes peuvent être désignées responsables d’un seul et même traitement de données. Dans ce cas, leur responsabilité est conjointe : l’article 26 du RGPD souligne qu’il leur incombe de définir leurs obligations respectives par un accord conclu entre eux. Les personnes dont les données font l’objet du traitement géré conjointement doivent se voir communiquer les grandes lignes de l’accord répartissant les obligations de chaque responsable. 

Le responsable du traitement peut faire appel à un sous-traitant

Une entreprise peut demander à un sous-traitant la mise en oeuvre d’un traitement de données personnelles pour son compte. Le responsable du traitement est toujours rattaché à l’entreprise mais c’est le sous-traitant qui est chargé de réaliser le traitement. 

Dans un tel cas, l’article 28 du RGPD indique qu’un contrat doit nécessairement régir le traitement effectué par un sous-traitant : ce contrat doit encadrer la réalisation du traitement (objet, durée, nature, finalités, type de données traitées, obligations et droits du responsable du traitement etc…). C’est toutefois le responsable du traitement initial qui reste le premier à mettre sa crédibilité en jeu. Un sous-traitant ne peut être qualifié de responsable du traitement que dans le cas où il définirait lui-même les finalités et moyens du traitement mis en oeuvre. 

Signalons que le responsable du traitement qui a été mis en cause et a intégralement réparé un préjudice subi peut réclamer au sous-traitant le remboursement de la part de la réparation correspondant à sa part de responsabilité dans le dommage. 

Le délégué à la protection des données peut-il être responsable du traitement ?

Bien que cela ne soit pas écrit noir sur blanc dans le RGPD, le délégué à la protection des données ne peut pas être le responsable du traitement. La raison est simple : son travail est de faire en sorte que le traitement reste conforme en tous points avec le droit européen et national, il ne doit pas recevoir d’instructions de la part du responsable du traitement ou du sous-traitant concernant l’exercice des missions qui lui incombent. 

Le responsable du traitement et le délégué à la protection des données sont donc deux personnes bien distinctes. 

A propos Leo Guittet 186 Articles
Juriste spécialisé dans les données de santé à Tripalio depuis 2014, j'écris quotidiennement des articles sur le thème de la protection sociale collective et des données de santé. Actuellement en thèse CIFRE sur le sujet de l'accès aux données de santé en France, je suis intéressé par tous les sujets qui touchent aux avancées technologiques et juridiques sur ce thème.

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Lire les articles précédents :
Liberté d’installation : et si médecins et pharmaciens se tiraient une balle dans le pied ?

Un syndicat des pharmaciens conteste le droit à un médecin généraliste de délivrer des médicaments. Une opposition qui pourrait être mal-perçue par...

Fermer