Sommaire

Les obligations du responsable de traitement de données

Trois acteurs essentiels sont consacrés par le nouveau texte européen : le responsable de traitement, le sous-traitant et la personne concernée par les données du traitement. Lorsqu’une entreprise participe à un traitement, elle devra définir le rôle qu’elle va jouer dans ce traitement. Cette détermination n’est pas anodine puisqu’elle conditionnera, comme nous allons le voir, l’ensemble du régime de responsabilité et les obligations qui pèseront sur l’entreprise.

1. Qui est le responsable du traitement ?

Le RGPD, reprenant la définition de la loi Informatique et Libertés, indique que le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » (RGPD (UE) n° 2016/679, art. 4, 7).

Il s’agit le plus souvent d’une personne morale qui :

  • décide de collecter et traiter des données personnelles ;

  • décide des finalités pour lesquelles elles sont collectées (ex : campagne publicitaire par e-mail) ;

  • décide des moyens essentiels du traitement dont le caractère sensible est fondamental pour la licéité du traitement : il s’agit des moyens aussi bien techniques ...