Responsable de traitement des données
Sommaire
Le responsable de traitement des données à caractère personnel est une personne physique ou morale (administration, entreprise…) chargée de la gestion de ces données. Il s’agit donc d’une profession à part entière exerçant dans la protection des données.
Qu’est-ce qu’un responsable de traitement des données ?
Le responsable de traitement des données est une personne physique ou morale. Son rôle principal est de déterminer les axes et les méthodes permettant de délimiter les finalités et les moyens du traitement des données personnelles. Plus clairement, c’est lui qui a la responsabilité de collecter, stocker et traiter les données en se conformant à la loi.
Quand ce responsable est une personne morale, on a généralement à faire à une entreprise ou une administration publique par exemple. Dans ce cas, la personne morale est officiellement responsable. Mais en réalité, c’est une personne physique qui est la responsable légale des missions à réaliser. La personne physique incarne donc la personne morale nommée responsable de traitement.
Quelles sont les missions du responsable de traitement des données ?
Les missions détaillées du responsable de traitement se trouvent dans le règlement général sur la protection des données (RGPD). Elles apparaissent dans le chapitre IV intitulé “Responsable du traitement et sous-traitant”.
Conformité avec le règlement général sur la protection des données
Le responsable doit connaître les obligations et les préconisations réunies dans le RGPD. L’un de ses rôles principaux est de veiller à la conformité entre les finalités et les moyens de traitement mis en place et les règles obligatoires inscrites dans le règlement européen.
Par exemple, le responsable de traitement doit s’assurer de la mise à disposition des données personnelles à leur propriétaire pour consultation et/ou modification.
Pour ce faire, il doit créer des comptes-rendus pour faciliter le travail de la commission nationale de l’informatique et des libertés (CNIL).
Autorisations de sous-traitance des données
Le responsable ne travaille pas seul. Il est en effet accompagné de sous-traitants dans l’exercice de ses missions. Mais, il est alors garant du travail réalisé par les personnes physiques missionnées pour sous-traiter les données. Ces dernières doivent en effet respecter les cadres posés par le RGPD et c’est le responsable qui doit s’en assurer.
Mise en place des activités de traitement
Les activités de traitement sont dirigées et organisées par le responsable. Elles doivent de fait être consignées dans le registre des activités de traitement. Sa tenue et sa mise à jour régulière dépendent intégralement des fonctions du responsable.
Parmi les activités qu’il peut décider de mettre en place, on peut aussi retrouver :
- une pseudonymisation des données à caractère personnel,
- une anonymisation de ces données,
- un rapport concernant les utilités de la récolte de telle ou telle donnée,
- une augmentation de la sécurisation des données à l’aide de cryptages ou de nouveaux espaces de stockage…
Ce registre recense ainsi toutes les activités liées au traitement de ces données.
La synthèse de Julien Dupé
(CEO et Fondateur de Infonet.fr)Le responsable de traitement des données à caractère personnel est une personne physique ou morale supervisant la récolte, l’analyse et le stockage des données. Son rôle est essentiel au sein de toutes les structures travaillant avec des données personnelles. L’une des missions les plus importantes de son travail est de veiller à la conformité entre les mesures mises en œuvre dans sa structure et celles apparaissant comme obligatoires dans le règlement général sur la protection des données (RGPD).
Autres définitions de la catégorie Protection des données
- Analyse d'impact à la protection des données
- Anonymisation
- Certification données personnelles
- Cloud Act
- Code de conduite
- Comité européen de la protection des données
- Commission nationale de l’informatique et des libertés
- Consentement
- Donnée personnelle
- Données sensibles
- Délégué à la protection des données
- Entreprise non diffusible
- G29
- Hadopi
- Libre circulation des données à caractère personnel
- Portabilité des données
- Pseudonymisation
- Règlement général sur la protection des données