DE QUI S’AGIT-IL ?
Rappelons la défintion du responsable du traitement :
| « … la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre; « |
Le responsable du traitement est le chef d’orchestre car il maîtrise les traitements de données personnelles qu’il met en oeuvre en déterminant les finalités et les moyens des ces derniers. La finalité du traitement se définit comme l’objectif principal de l’utilisation d’une telle ou telle donnée à caractère personnel. Autrement dit, le Responsable du traitement détermine le « pourquoi » et le « comment » d’une opération portant sur des données personnelles.
Je dirige une entreprise, suis-je responsable du traitement ?
Oui ! Le responsable du traitement peut être une personne morale (entreprise, collectivité) ou une personne physique.
QU’EN EST-IL DU CO-RESPONSABLE DU TRAITEMENT ?
Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du RGPD, notamment en ce qui concerne l’exercice des droits de la personne concernée.
ET LE SOUS-TRAITANT DANS TOUT ÇA ?
Qui est ce personnage ?
| « … la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ; … » |
Concrètement, de quoi s’agit-il ?
Le sous-traitant agit uniquement sur les instructions du responsable du traitement et pour le compte de ce dernier. Il peut s’agir d’un hébergeur de données ou encore d’un éditeur de logiciel. Le sous-traitant ne détermine pas les finalités ni les moyens du traitement à mettre en place mais reste soumis à des obligations propres prévues par le RGPD. La relation entre le responsable du traitement et son sous-traitant doit être strictement encadrée et faire l’objet d’une convention ou d’un avenant au contrat existant.
Responsable du traitement, responsable conjoint du traitement ou sous-traitant ?..
Vous êtes responsable du traitement lorsque :
- vous déterminez les finalités et les moyens du traitement sur le fondement d’une base légale précise ;
- vous déterminez les finalités et les moyens du traitement sur le fondement d’une habilitation implicite ;
- vous déterminez les finalités et les moyens du traitement dans la pratique.
Vous êtes co-responsable du traitement lorsque :
- vous déterminez conjointement les finalités et les moyens du traitement avec un autre responsable du traitement ;
- vous déterminez conjointement certaines finalités essentielles avec un autre responsable du traitement (tandis que les autres finalités sont déterminées de manière séparée).
Vous êtes sous-traitant lorsque :
- vous n’avez aucun contrôle sur les finalités et les moyens du traitement qui vous est confié.
Bureau H. 