Quel rôle pour le responsable de traitement ?

La mise en place du Règlement Général sur la Protection des Données (RGPD) a totalement modifié les mesures de sécurité sur internet et impose aujourd’hui la présence de nouveaux acteurs et instances de contrôle. Parmi les acteurs majeurs du RGPD, le responsable de traitement joue un rôle particulièrement important puisqu’il est en charge de la gestion globale de l’application du RGPD dans une entreprise ou une institution. Il a donc plusieurs missions pour garantir une protection efficace et déterminer la stratégie dans laquelle s’inscrit l’organisme quant aux données qu’il traite. Dans la lutte pour la protection des données, le responsable de traitement tient donc un rôle central.

La définition officielle du responsable de traitement

Chaque pays signataire du RGPD doit être doté d’une instance de référence en matière d’application de cette réglementation. En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui est en charge de vérifier la bonne application des mesures de sécurité dans la protection des données personnelles. Afin de clarifier la mise en conformité, la CNIL définit les différents acteurs impliqués et leur rôle. Concernant le Responsable de traitement, il est défini comme suit “ Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.”

La possibilité de coresponsabilité

Selon la taille et le type d’activité des organismes concernés, les besoins en protection et les mesures à mettre en place peuvent varier. Ainsi, dans certains cas, deux responsables du traitement ou plus déterminent ensemble les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Cette possibilité de coresponsabilité implique une prise de décision en accord avec toutes les personnes responsables. Pour éviter toute confusion, il est essentiel d’identifier clairement les rôles et les obligations de chacun.

Les obligations du responsable de traitement

Afin d’assurer un traitement dans les règles du RGPD, le texte identifie clairement les différentes obligations qui incombent à ce poste. Parmi les principales, on retrouve :

• Mise en place d’un registre des traitements,
• Application de mesures organisationnelles et techniques pour sécuriser les données,
• Coopération avec l’autorité de contrôle,
• Respect des droits dont disposent les utilisateurs quant à la consultation et à la modification de leurs données.

Le respect de ces différentes obligations est une nécessité pour garantir le bon respect des mesures du RGPD. Dans la lutte pour la protection de la vie privée sur internet, la mise en place de ces différentes obligations est donc un passage obligatoire pour les acteurs concernés.

Une mesure appliquée également aux sous-traitants

Selon les besoins, il peut s’avérer nécessaire pour le responsable de traitement de faire appel à des sous-traitants. Afin de garantir au maximum la sécurité des données, le RGPD prévoit également un encadrement pour la sous-traitance. Ainsi, le responsable du traitement se doit de vérifier le fait que les sous-traitants respectent effectivement le cadre que le RGPD leur impose. A l’instar du responsable de traitement, les sous-traitants se doivent donc de garantir un niveau de sécurité similaire et ont une obligation d’alerte et d’assistance pour assurer la sécurité des données en permanence. Le RGPD est donc suffisamment complet pour donner les règles à suivre pour assurer une protection des données aux différentes échelles de traitement.

Quelles sont les utilisations des données par le responsable de traitement ?

Une fois les données collectées, les traitements de celles-ci peuvent être de différentes natures et avoir différents objectifs. Ainsi on distingue deux types de traitements des données personnelles.

Traitements successifs

Lorsqu’une donnée est collectée, elle peut être utilisée plusieurs fois selon différents besoins de traitements. Dans ce cas de traitement d’une même donnée pour plusieurs besoins, on parle d’interventions successives. Si le cadre du RGPD est respecté, ce traitement principal d’une donnée ne pose donc pas de problème.

Traitements ultérieurs

Ce type d’utilisation de données correspond à des traitements supplémentaires réalisés après le traitement principal. Dans cette situation, le traitement dépasse donc le cadre de la collecte initiale des données. Pour ces traitements ultérieurs, deux cas sont envisageables :

• Le traitement est compatible avec la finalité pour laquelle les données ont été collectées.
• Le traitement n’est pas compatible avec la finalité pour laquelle les données ont été collectées.

Pour déterminer la compatibilité avec la collecte initiale, le Responsable de traitement va prendre en compte différents éléments : lien entre les finalités, contexte de collecte, nature des données, conséquences du traitement, garanties de confidentialité.

Dans le cas où la compatibilité n’est pas avérée, le Responsable de traitement peut être autorisé au traitement ultérieur dans deux situations :

• Obtention du consentement clair et explicite de la personne concernée
• Respect du cadre de l’article 6 du RGPD : traitement fondé sur le droit de l’Union Européenne ou sur le droit d’un Etat membre

Dans tous les cas, le Responsable du traitement se doit de vérifier la licéité du traitement avant de pouvoir utiliser les données collectées.

L’importance du Responsable du traitement

En se référant aux règles posées par le RGPD, on peut noter l’importance du rôle du Responsable du traitement et les différentes obligations qu’il se doit de respecter pour assurer la confidentialité des informations et un respect de la vie privée. Grâce à un texte particulièrement complet, les différentes situations de traitement et les potentiels acteurs impliqués sont informés sur leurs droits et les règles qu’ils doivent suivre pour que les données personnelles soient parfaitement protégées et que leur traitement se fasse dans un cadre bien défini.