Le responsable de traitement

Passons en revue les fonctions du responsable de traitement et les échanges qu’il a avec les différents acteurs.

Le responsable de traitement

Le responsable de traitement est une personne physique ou morale, une autorité publique, un service ou un organisme qui définit, seul ou conjointement, les finalités et moyens du traitement.

Ses responsabilités vis-à-vis du traitement

Le responsable de traitement, comme son nom l’indique, est responsable du bon déroulement du traitement, que celui-ci soit réalisé par ses équipes ou par un sous-traitant.

Parmis ses responsabilités, il doit :

  • Identifier le traitement
  • Autoriser le traitement sur ses indications
  • Prendre les mesures appropriées (proportionnées) pour assurer la sécurité des données (par exemple limiter l’accès aux données)
  • Etre en mesure de démontrer la conformité des traitements (à l’aide de codes de bonne conduite ou de certification, par exemple)
  • Assurer la sécurisation du traitement, grâce, par exemple à :
    • la pseudonymisation
    • le chiffrement
    • l’intégrité, la disponibilité et la résilience des systèmes de traitement
    • des moyens de rétablir la disponibilité (des données et de l’accès)
    • des procédures de test, l’analyse et l’évaluation des mesures de sécurisation

Il réalise une analyse de risque avant la mise en oeuvre des traitements. Cette analyse est obligatoire si le traitement concerne :

  • une évaluation ou  un scoring
  • une décision automatique
  • une surveillance systématique
  • une collecte de données sensibles
  • une collecte à large échelle
  • un croisement de données
  • des personnes vulnérables
  • un usage innovant
  • l’exclusion du bénéfice d’un droit par rapport à un contrat

A contrario, l’analyse n’est pas obligatoire si :

  • il n’y a pas de risque élevé
  • le traitement est similaire à un traitement déjà analysé
  • il s’agit d’une obligation légale ou d’une mission de service public

La responsabilité du responsable de traitement peut être conjointe et gérée par des accords contractuels.

Le responsable et la CNIL

Le responsable de traitement est responsable aux yeux de la CNIL. Il se peut, cependant qu’il soit hors de l’union européenne. Dans ce cas, il devra désigner un représentant sur le territoire de l’union.

Le responsable de traitement coopère avec l’autorité de contrôle et dans le cas où les traitements sont réalisés hors de l’union, il doit s’assurer que le sous-traitant respecte le RGPD.

Dans le cas où le traitement comporte un risque élevé, il consulte la CNIL.

C’est lui qui notifie la CNIL de toute violation des données (sous 72 heures). Cette information précise :

  • la nature de la violation
  • la volumétrie concernée
  • les coordonnées du DPO
  • les conséquences probables
  • les mesures prises

Le responsable et le DPO

Le responsable de traitement désigne le DPO et communique ses coordonnées à la CNIL.

Il fournit également au DPO des moyens pour exercer sa mission.

Le responsable et les personnes concernées

En cas de violation des données, le resposanble de traitement informe les personnes concernées par la violation.

Retour à la description du traitement