En tant que professionnel, vous êtes amené à traiter de nombreuses données personnelles : celles de vos salariés, de vos clients, de vos partenaires.
Mais saviez-vous que votre rôle (responsable de traitement, co-responsable de traitement, sous-traitant) détermine vos obligations en matière de protection des données personnelles ?
En fonction des acteurs, les obligations diffèrent. Selon la CNIL « Bien identifier son rôle, c’est mieux comprendre ce que l’on doit faire pour respecter le RGPD, mais aussi ce dont on est légalement responsable. » C’est pourquoi, l’autorité a publié un article à ce sujet en juin dernier sur cette thématique.
Cet article fait également écho à une sanction récente, rendue le 30 avril 2025, où la CNIL relève notamment un « défaut d’encadrement des relations entre le responsable de traitement et le sous-traitant ». L’organisme concerné a été condamné à une amende de 20 000€.
C’est pourquoi le GHR vous propose de faire le point sur trois rôles clefs en matière de gestion de protection des données : le responsable de traitement, le co-responsable de traitement ainsi que le sous-traitant.
NB : Vous trouverez également un diagramme explicatif de ces notions dans les lignes directrices du Comité européen de la protection des données.
1/ Définition des notions clefs et exemples :
|
Notions essentielles |
Définitions |
Exemples |
|
Donnée personnelle |
Toute information se rapportant à une personne physique identifiée ou identifiable |
Ex : nom, prénom, numéro de téléphone, numéro de sécurité sociale, voix, image |
|
Traitement |
Toute opération qui porte sur des données personnelles, sur un support papier comme numérique |
Ex : collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation |
|
Responsable de traitement |
Personne physique ou morale qui détermine les finalités et les moyens d’un traitement |
Ex : représentant légal de la personne morale |
|
Co-responsable de traitement |
Plusieurs responsables de traitement déterminent ensemble les finalités et les moyens du traitement |
Ex : Plusieurs hôteliers décident de développer une plateforme commune de réservation d’hébergement et définissent ensemble les finalités et moyens du traitement |
|
Sous-traitant |
Personne physique ou morale qui traite des données pour le compte du responsable de traitement dans le cadre d’un service ou d’une prestation |
Ex : logiciels de réservation en ligne, logiciels de caisse, prestataire de paiement, prestataire informatique, agence marketing qui envoie des mails à vos clients |
2/ Précision apportées par la CNIL :
|
Rôle des acteurs en cas de traitement de données personnelles |
Le responsable de traitement |
Le co-responsable de traitement |
Le sous-traitant |
|
Critères d’appréciation |
Détermination des finalités et des moyens essentiels du traitement :
Le responsable de traitement décide pourquoi les données sont collectées (finalité) et comment elles sont traitées (moyens).
Il prend les décisions clefs relatives au traitement des données (quelles données traitées, durées de conservation, mesures de sécurité mises en place etc.) En somme, il définit les moyens essentiels à mettre en place.
|
Plusieurs acteurs :
Les co-responsables de traitement sont au minimum deux.
|
Finalités décidées par un autre :
Seul le responsable de traitement fixe l’objectif de traitement.
Le sous-traitant ne décide pas pourquoi les données sont traitées (finalités).
|
|
Question de l’accès aux données :
Je peux être responsable de traitement sans même avoir accès aux données.
Ex :
- Je suis restaurateur et je souscris un programme de fidélité géré par un prestataire extérieur : je décide des avantages, des conditions d’adhésion et de l’utilisation des données clients mais je n’ai pas accès directement à ces données.
|
Décision conjointe ou complémentaire sur les finalités et les moyens du traitement :
Les co-responsables de traitement définissent ensemble les finalités et les moyens du traitement.
Cela peut faire l’objet d’une décision commune ou de décisions séparées mais complémentaires, qui aboutissent à un traitement commun.
|
Traitement pour le compte d’un autre :
Le sous-traitant agit au nom et pour le compte du responsable de traitement.
Le sous-traitant suit les instructions du responsable de traitement. |
|
|
|
Participation active de chacun des acteurs :
Le traitement ne pourrait avoir lieu sans la participation active de chacun.
|
Autonomie limitée : Le sous-traitant peut décider de mettre en place certains moyens techniques mais seulement ceux non essentiels.
Ex : -Choix d’un logiciel -Paramétrage technique |