Le responsable du traitement, défenseur des données personnelles

Définition et réglementation applicable

La fonction de responsable de traitement a vu le jour avec un texte de référence en matière de protection des données à caractère personnel, le règlement n°2016/679. Ce règlement de l’Union européenne est entré en vigueur le 24 mai 2016 et est plus communément appelé le « règlement RGPD ». S’il n’existe pas une définition à proprement parler de ce responsable du traitement, il s’agit d’une personne physique, généralement représentant légal de la personne morale effectuant un traitement de données à caractère personnel. De par son rôle de référent du traitement, le choix de cette personne peut se porter sur un responsable d’exploitation ou chef de projet.

C’est aux articles 24 à 36 de ce règlement RGPD que sont prévues toutes les obligations générales, fonctions et responsabilités du responsable du traitement.

Quel est son rôle?

Le responsable du traitement est destiné à mettre en oeuvre des procédures internes pour être en conformité avec la réglementation RGPD. Pour cela, il met en place des mesures techniques et organisationnelles afin de pouvoir apporter la preuve, en cas de contrôle, que le traitement est en conformité avec les obligations prévues par la législation en vigueur. Une vérification et des mises à jour régulières de ces procédures et mesures doivent être instaurées. Il peut notamment être rédigé un code de conduite qui servira de trame afin de faire respecter les politiques internes en matière de traitement des données personnelles. Il va ainsi déterminer les finalités et les moyens du traitement en fonction des données personnelles strictement nécessaires à collecter dans le cadre de l’activité de l’entreprise. C’est lui qui, en respectant la réglementation RGPD, détermine les informations à collecter sur les clients (nom, prénom, adresse, sexe ou autres), le délai de conservation et l’utilisation qui en est faite par la suite.

Responsabilités

Le responsable du traitement agit en coopération avec l’Autorité de contrôle dans la plus grande transparence possible. Des contrôles peuvent être effectués et il sera tenu responsable en cas de non respect de la réglementation RGPD. Le responsable doit agir en prenant en compte la nature, la portée, le contexte et la finalité du traitement des données ainsi que les risques qui pourraient être liés à une mauvaise mise en oeuvre du traitement. En effet, au regard des types de données collectées (plus ou moins sensibles), les possibilités de piratage et de divulgation de ces données auront un impact plus ou moins important sur les droits et libertés des personnes concernées. Il est alors de la responsabilité de la personne en charge de mettre en oeuvre des solutions adaptées, au risque de faire l’objet d’une action en justice.

Tenue d’un registre d’activité

Dans le cadre de sa mission, le règlement RGPD prévoit la tenue, par le responsable du traitement, d’un registre des activités liées au traitement de données personnelles. Il est mis à jour par ce dernier et contient des informations comme:

• son nom;
• ses coordonnées et celles d’un éventuel responsable conjoint ou d’un délégué à la protection des données;
• les finalités du traitement de données;
• une description des personnes dont les données sont récoltées;
• les destinataires de ces données s’il y en a (en France ou à l’étranger);
• les mesures mises en place pour protéger les données et encore les délais de conservation de celles-ci.

Ce registre peut être établi par écrit sur support papier ou électronique et doit être transmis aux autorités compétentes qui contrôlent les activités de traitement.

Des exonérations sont possibles dans les entreprises de moins de 250 salariés sauf si les données personnelles récoltées sont sensibles (relatives à des données sur l’état de santé ou concernant des condamnations pénales par exemple).

La pluralité de responsables

Il est possible que la société ou l’organisme désigne deux responsables du traitement, voire davantage. Dans ce cas précis, les personnes désignées sont conjointement responsables et un accord doit déterminer leurs obligations respectives. Toutes les informations nécessaires au respect de la réglementation RGPD doivent être transmises entre ces différents responsables pour une transparence totale.

Le sous-traitant sous le contrôle du responsable du traitement

Lorsque l’activité nécessite un traitement important de données et que cela prend du temps, le responsable du traitement peut faire appel à un sous-traitant qui est bien souvent un prestataire externe à l’entreprise. Ce dernier agira en conformité avec un cadre contractuel précis, qui détermine ses devoirs et ses responsabilités, même après la fin du contrat. Conformément à l’article 28 du règlement européen, le responsable doit s’assurer que ce sous-traitant présente des garanties suffisantes pour mettre en oeuvre les mesures appropriées. Le responsable du traitement peut aussi donner une autorisation écrite au sous-traitant de faire appel à son tour à un autre sous-traitant. Au regard des personnes dont les données sont collectées, le responsable du traitement peut voir sa responsabilité être engagée conjointement avec le sous-traitant en cas de violation des dispositions du règlement RGPD.

Le traitement de données à l’étranger

Lorsque le traitement des données à caractères personnel est effectué par un responsable ou un sous-traitant non-établi dans un des pays de l’Union européenne, ce responsable doit désigner par écrit un représentant présent dans un des pays de l’Union. Cette nomination est obligatoire pour les activités de traitement liées à une offre de services ou de biens à des personnes ayant des liens dans l’Union ou au suivi du comportement de ces personnes à l’intérieur de l’Union. Une exonération est prévue pour le traitement de données occasionnel ou portant sur des données non sensibles et lorsqu’il a été fait par un organisme public ou une autorité publique. Ce représentant dispose d’un mandat et devra alors collaborer avec les autorités de contrôle et les personnes dont les données sont collectées lors du traitement. Pour autant, ce sont les responsables initiaux du traitement et les sous-traitant, s’il en existe, qui sont tenus responsables en cas de litige.