RGPD : responsable de traitement et sous-traitant
Le RGPD définit deux acteurs principaux dans le traitement des données :
- le responsable de traitement
- le sous-traitant
Le rôle du responsable de traitement
Le responsable de traitement est la personne morale ou physique qui détermine les finalités et les moyens d'un traitement. C'est-à-dire l'objectif et la façon de le réaliser.
Exemple : Pour un hôpital ou une administration, c'est son représentant légal. Pour un cabinet médical, c'est un médecin libéral.
C'est cet acteur qui est responsable de la conformité RGPD, notamment de la mise en œuvre du registre de traitement de données, de la réalisation des analyses d'impacts, des demandes d'exercice de droit ou encore de la gestion des violation de données.
Le responsable de traitement est responsable pénalement et encoure des sanctions pouvant aller jusqu'à 5 ans d'emprisonnement et 300 000€ d'amende en cas de non-respect des règles.
Mais il n'est pas seul, il peut d'appuyer sur l'aide du DPO et sur les responsables de la mise en œuvre de traitement, comme les responsables de produit.
Le rôle du sous-traitant
Le sous-traitant quant à lui est défini par le RGPD comme toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable de traitement, dans le cadre d'un service ou d'une prestation.
Par exemple: Dans le domaine de la santé, un éditeur de logiciel, un hébergeur de données de santé ou tout autre prestataire qui opère des traitements sur des données à caractère personnel.
Le sous-traitant ne détermine ni les objectifs, ni les moyens pour mettre en œuvre le traitement. Ses obligations et responsabilités sont définis dans un contrat de sous-traitance qui le lie au responsable de traitement.
Conclusion
Pour conclure, le responsable de traitement détermine les objectifs du traitement et s'il le souhaite délègue la mise en œuvre à ses salariés ou à des sous-traitants qui doivent répondre à ses instructions.