Le responsable de traitement RGPD est la personne physique ou morale qui détermine les finalités et les moyens du traitement de données personnelles. Cette qualification, définie à l’Art. 4(7) du RGPD, n’est pas un choix contractuel : elle découle de la réalité factuelle. Mal identifier le responsable de traitement expose à des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
Points Clés
- L’Art. 4(7) RGPD définit le responsable de traitement comme celui qui détermine les finalités et les moyens du traitement – cette qualification est factuelle, non contractuelle.
- L’Art. 24 RGPD impose au responsable de traitement de mettre en oeuvre des mesures techniques et organisationnelles appropriées pour démontrer la conformité.
- La responsabilité conjointe (Art. 26 RGPD) s’applique lorsque deux entités ou plus déterminent conjointement les finalités et les moyens du traitement.
- La distinction entre responsable de traitement et sous-traitant (Art. 28 RGPD) conditionne la répartition des obligations et des responsabilités.
- La CNIL a sanctionné plusieurs organismes pour qualification erronée du rôle, entraînant un défaut de conformité en cascade.
Définition légale : Art. 4(7) RGPD
L’Art. 4(7) RGPD dispose :
« “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. »
Deux critères cumulatifs définissent le responsable de traitement :
La détermination des finalités : le responsable décide pourquoi les données sont traitées. C’est le critère principal. L’entité qui définit l’objectif du traitement (gestion de la paie, prospection commerciale, vidéosurveillance) est le responsable de traitement, indépendamment de toute clause contractuelle.
La détermination des moyens : le responsable décide comment les données sont traitées, du moins pour les moyens essentiels (catégories de données, durée de conservation, destinataires). Les moyens techniques (choix du logiciel, infrastructure) peuvent être délégués au sous-traitant sans perdre la qualité de responsable.
Le CEPD (Comité européen de la protection des données) a précisé dans ses Lignes directrices 07/2020 sur les notions de responsable du traitement et de sous-traitant que la qualification est une analyse factuelle : « il convient de regarder les activités concrètes dans le contexte spécifique plutôt que la désignation formelle ».
Obligations du responsable de traitement : Art. 24 RGPD
L’Art. 24(1) RGPD impose au responsable de traitement de mettre en oeuvre des mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement est effectué conformément au règlement.
Ces mesures doivent tenir compte :
- De la nature, de la portée, du contexte et des finalités du traitement
- Des risques pour les droits et libertés des personnes physiques
- De l’état des connaissances (état de l’art)
Concrètement, les obligations du responsable de traitement RGPD comprennent :
Tenue du registre des traitements (Art. 30 RGPD) : le responsable doit documenter l’ensemble de ses activités de traitement dans un registre des traitements, incluant les finalités, catégories de données, destinataires, durées de conservation et mesures de sécurité.
Respect des droits des personnes (Art. 12 à 22 RGPD) : le responsable doit mettre en place des procédures pour répondre aux demandes d’accès, de rectification, d’effacement, de portabilité et d’opposition dans un délai d’un mois (Art. 12(3) RGPD).
Information des personnes (Art. 13 et 14 RGPD) : le responsable doit fournir une information transparente, complète et accessible sur le traitement de données personnelles.
Sécurité des données (Art. 32 RGPD) : le responsable doit mettre en oeuvre des mesures de sécurité adaptées au risque, incluant le chiffrement, la pseudonymisation, la résilience des systèmes et des tests réguliers.
Notification des violations (Art. 33 et 34 RGPD) : en cas de violation de données, le responsable doit notifier l’autorité de contrôle dans un délai de 72 heures et, si le risque est élevé, informer les personnes concernées.
Analyse d’impact (Art. 35 RGPD) : le responsable doit réaliser une analyse d’impact avant tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés.
Responsabilité conjointe : Art. 26 RGPD
L’Art. 26 RGPD s’applique lorsque deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du traitement. Cette situation est plus fréquente qu’on ne le pense : plateformes partagées, programmes de fidélité multi-marques, écosystèmes de données sectoriels.
Les responsables conjoints doivent conclure un accord transparent définissant :
- Leurs obligations respectives en matière de respect du RGPD
- L’exercice des droits des personnes concernées (qui répond à quelle demande)
- Les obligations d’information (Art. 13 et 14 RGPD)
La CJUE a clarifié la portée de la responsabilité conjointe dans l’arrêt Wirtschaftsakademie Schleswig-Holstein (C-210/16, 5 juin 2018) : l’administrateur d’une page Facebook est responsable conjoint avec Facebook pour le traitement de données des visiteurs, car il contribue à la détermination des finalités du traitement en créant la page et en paramétrant les statistiques.
Dans l’arrêt Fashion ID (C-40/17, 29 juillet 2019), la CJUE a étendu cette logique : l’exploitant d’un site web qui intègre un bouton « J’aime » de Facebook est responsable conjoint pour la collecte et la transmission des données, mais pas pour les traitements ultérieurs réalisés par Facebook.
Point important : l’Art. 26(3) RGPD précise que les personnes concernées peuvent exercer leurs droits à l’égard de chacun des responsables conjoints, indépendamment des termes de l’accord interne. L’accord ne peut pas limiter les droits des personnes.
Distinction avec le sous-traitant
La distinction entre responsable de traitement et sous-traitant est déterminante pour la répartition des obligations :
| Critère | Responsable de traitement | Sous-traitant |
|---|---|---|
| Finalités | Les détermine | Ne les détermine pas |
| Moyens essentiels | Les détermine | Peut proposer des moyens techniques |
| Registre | Art. 30(1) – registre complet | Art. 30(2) – registre limité |
| Notification de violation | Notifie l’autorité (Art. 33) | Notifie le responsable (Art. 33(2)) |
| Analyse d’impact | Obligation propre (Art. 35) | Assiste le responsable (Art. 28(3)(f)) |
| Droits des personnes | Répond directement | Assiste le responsable |
Un prestataire informatique qui héberge des données pour le compte d’un client est sous-traitant. Mais s’il utilise ces données pour ses propres finalités (amélioration de ses services, profilage), il devient responsable de traitement pour ces traitements additionnels.
La CNIL, Délibération n°SAN-2019-005 du 21 janvier 2019, a sanctionné Google LLC d’une amende de 50 millions d’euros, qualifiant Google de responsable de traitement pour les traitements de personnalisation publicitaire liés aux comptes Google, et non de simple sous-traitant de ses partenaires.
Exemples pratiques de qualification
Employeur traitant les données de paie : l’employeur est responsable de traitement car il détermine les finalités (gestion de la paie, obligations légales) et les moyens essentiels (catégories de données, durée de conservation). Le prestataire de paie est sous-traitant.
Plateforme de e-commerce : le vendeur qui utilise une marketplace est généralement responsable de traitement pour les données de ses clients. La marketplace peut être responsable conjoint si elle détermine partiellement les finalités (analyse des transactions, publicité ciblée).
Cabinet d’avocats : le cabinet est responsable de traitement pour les données de ses clients traitées dans le cadre de la relation de conseil. Le prestataire de cloud est sous-traitant.
Groupe de sociétés : chaque entité du groupe est responsable de traitement pour les données qu’elle traite pour ses propres finalités. Un partage de données entre entités du groupe n’est pas exempté du RGPD (considérant 48) et nécessite une base juridique appropriée.
Sanctions pour manquements du responsable de traitement
Les manquements aux obligations du responsable de traitement exposent aux sanctions les plus élevées du RGPD :
CNIL, Délibération n°SAN-2022-009 du 15 septembre 2022 : Sephora a été sanctionnée de 400 000 euros pour avoir manqué à ses obligations de responsable de traitement, notamment en matière de consentement aux cookies et de gestion des demandes d’opposition.
AEPD (Espagne), 2023 : CaixaBank a reçu une amende de 6 millions d’euros pour manquement aux obligations d’information (Art. 13 RGPD) et de base juridique (Art. 6 RGPD), illustrant la responsabilité directe du responsable de traitement.
DPC (Irlande), septembre 2023 : TikTok a été sanctionné de 345 millions d’euros pour des manquements aux obligations du responsable de traitement concernant les données d’enfants, incluant des défaillances dans le privacy by design et les paramètres par défaut.
FAQ
Comment déterminer si une entité est responsable de traitement ou sous-traitant ?
La qualification repose sur une analyse factuelle en deux étapes. D’abord, identifier qui détermine les finalités du traitement (le pourquoi). Ensuite, examiner qui détermine les moyens essentiels (catégories de données, durée de conservation, destinataires). L’entité qui maîtrise ces deux éléments est le responsable de traitement. Les clauses contractuelles ne peuvent pas contredire la réalité factuelle : un contrat qualifiant un prestataire de sous-traitant alors qu’il détermine les finalités est inopérant.
Un sous-traitant peut-il devenir responsable de traitement ?
Oui. L’Art. 28(10) RGPD prévoit explicitement cette situation : si un sous-traitant détermine les finalités et les moyens du traitement en violation des instructions du responsable, il est considéré comme responsable du traitement pour ce traitement. Cela entraîne l’application de l’ensemble des obligations du responsable de traitement, y compris les sanctions correspondantes.
Quelles sont les conséquences d’une mauvaise qualification ?
Une qualification erronée entraîne un défaut de conformité en cascade. Si un organisme se considère à tort comme sous-traitant alors qu’il est responsable, il ne respecte pas ses obligations propres : registre Art. 30(1), notification des violations à l’autorité, analyse d’impact, information des personnes. La CNIL peut requalifier le rôle et sanctionner l’ensemble des manquements constatés.
L’accord de responsabilité conjointe (Art. 26) doit-il être rendu public ?
L’Art. 26(2) RGPD impose que les grandes lignes de l’accord soient mises à la disposition des personnes concernées. Il ne s’agit pas de publier l’intégralité de l’accord, mais de communiquer les informations essentielles sur la répartition des responsabilités, notamment sur le point de contact pour l’exercice des droits. Cette transparence est nécessaire pour permettre aux personnes d’exercer effectivement leurs droits auprès du bon interlocuteur.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
