Le règlement européen sur la protection des données (RGPD), entré en vigueur en 2018, a transformé le droit des données.
1. La définition du responsable de traitement
Le RGPD définit le responsable de traitement comme toute personne, entreprise, organisme, autorité publique « qui détermine les finalités et les moyens d’un traitement de données ».
En pratique et généralement, le responsable de traitement est la personne morale (entreprise, collectivité, association) incarnée par son représentant légal (président, gérant, maire…) qui est à l’origine et qui réalise le traitement.
Plusieurs personnes peuvent être responsables de traitement : le RGPD prévoit le cas d’une co-responsabilité. Dans ce cas, un accord doit définir précisément les obligations et le partage de responsabilité de chacun.
2. Les obligations générales du responsable de traitement
Le responsable de traitement doit s’assurer de la conformité de celui-ci au RGPD. Il a ainsi diverses obligations, parmi lesquelles :
-
Obligation de licéité du traitement : le responsable de traitement doit traiter les données en conformité avec le RGPD, de manière loyale, licite, transparente. Par exemple, si le traitement repose sur le consentement d’une personne, le responsable de traitement doit être en mesure de prouver ce consentement.
-
Obligation d’information : pour la réalisation d’un traitement, le responsable de traitement a l’obligation d’informer les personnes concernées. Il doit les informer sur les catégories de données collectées, leurs utilisations, les finalités du traitement …
-
Obligation de sécurité : le responsable de traitement a l’obligation de mettre en place des mesures permettant la sécurité des données traitées. Par ailleurs, en cas de violation des principes de protection des données, le responsable de traitement est tenu d’en informer la CNIL et, dans les cas les plus graves, les personnes concernées.
-
Obligation de prise en compte des droits des personnes : le RGPD confère aux personnes divers droits sur leurs données à caractère personnel. Le responsable de traitement doit faciliter l’exercice de ces droits pour les personnes concernées et prendre en compte les demandes qui y sont liées.
Le responsable de traitement est donc soumis à une série d’obligations. S’il ne s’y conforme pas, sa responsabilité peut être engagée.
3. La responsabilité du responsable de traitement
Le responsable de traitement est tenu d’assurer la conformité du traitement qu’il réalise aux principes du RGPD. Cela implique de prendre toutes les mesures nécessaires pour assurer cette conformité et de pouvoir démontrer la conformité du traitement au RGPD.
C’est la consécration du principe général d’accountability.
Le responsable de traitement, en fonction du traitement envisagé, doit donc évaluer les risques potentiels qui peuvent survenir et prendre toutes les mesures adéquates. Par exemple, pour certains traitements notamment les traitements de données sensibles, des mesures supplémentaires devront être prises, comme la réalisation d’une étude d’impact ou un hébergement spécifique de ces données.
Par ailleurs, en cas de recours à des sous-traitants, le responsable de traitement doit s’assurer que ces derniers opèrent en conformité avec le règlement sous peine de voir sa responsabilité engagée.
En cas de violation de ses obligations, le responsable de traitement peut être sanctionné lourdement : le RGPD prévoit en effet des sanctions administratives, telles qu’une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.
Il faut donc faire preuve de vigilance lors de la réalisation de tout traitement de données en tant que responsable de traitement.
***
Pour en savoir plus sur le RGPD, cliquez ici
***