JurisDoR
JurisDoR
Data gouv logo

Responsable de traitement

I. Responsable du traitement

  • Lexique : Responsable de traitement

« Personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens de traitement, lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critère spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».

- Article 4, 7° du Règlement général sur la protection des données

Le responsable de traitement est celui qui détermine, qui prend l’initiative ou encore qui a le pouvoir de décision sur le traitement, c’est-à-dire qui détermine la finalité et les moyens du traitement.

Le responsable de traitement est prioritairement la personne morale qui « abrite » le traitement lui-même. – G29, Avis n° 1/2010, 16 février 2010, WP 169

Recherche scientifque

Selon la CNIL, « en principe, en dehors du cas où le chercheur agit exclusivement pour son propre compte (chercheur “indépendant”, c’est-à-dire sans rattachement à un organisme particulier et/ou sans mandat confié pour la réalisation de la recherche), le responsable du traitement mis en œuvre est l’organisme public ou privé au duquel il effectue sa recherche (université, entreprise privée, etc.) ». – CNIL, Recherche scientifique (hors santé) : les questions-réponses de la CNIL, 31 janvier 2022

Ainsi, dans la plupart des cas, le responsable du traitement sera l’organisme dont dépend le chercheur.

Responsable de traitement de données de santé

Dans le secteur de la santé, les responsables de traitement sont limitativement énumérés par la loi.

L’article L. 1460-1, al. 1er du Code de la santé publique dispose que plusieurs personnes sont autorisées à effectuer un traitement des données personnelles de santé dans le respect de la Loi informatique et libertés lorsque les données leur sont destinées. 

Il s'agit :

  • des services ou établissements publics de l'État
  • des collectivités territoriales
  • des professionnels de santé
  • des organismes de sécurité sociale

II. Responsable conjoint du traitement

  • Lexique : Responsable conjoint de traitement

Le règlement ne définit pas à proprement parler le responsable conjoint du traitement. Il est cependant affirmé que, lorsque la responsabilité du traitement est assumée conjointement par deux personnes, les responsables définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations à la personne concernée. 

- Article 26 du Règlement général sur la protection des données

Lorsque deux ou plusieurs entités déterminent conjointement les finalités et les moyens du traitement, elles sont responsables conjointes. Elles doivent :

  • définir de manière transparente leurs obligations respectives, notamment en matière d’exercice des droits des personnes concernées 
  • veiller à ce que les personnes concernées soient informées correctement

La présence d’un responsable conjoint de traitement peut le cas échéant être démontrée pour justifier une coresponsabilité.

Recherche scientifique

Le partenariat scientifique entre plusieurs institutions de recherche peut justifier la déclaration conjointe d’un traitement et, à tout le moins, la désignation de plusieurs personnes comme coresponsables de traitement. 

De même, la passation d’un sondage par une unité de recherche à un institut de sondage peut éventuellement aboutir à une coresponsabilité s’il est montré que l’institut de sondage a également participé à la détermination de la finalité du traitement des données.

Le CNRS considère, par exemple que la responsabilité du traitement revient à la personne dirigeant l’Unité mixte de recherche, puisqu’elle en détermine la finalité et les moyens. Cette responsabilité ne repose pas sur la personne réalisant concrètement le traitement des données, qu’il s’agisse d’un chercheur, d’un enseignant-chercheur, d’un ingénieur, d’un doctorant, d’un étudiant ou d’un stagiaire. Le directeur d’unité est ainsi désigné comme responsable du traitement des données. – InSHS, Les sciences humaines et sociales et la protection des données à caractère personnel dans le contexte de la science ouverte, Guide pour la recherche, févr. 2021 (V. 2), p. 13

III. Sous-traitant du traitement

  • Lexique : Sous-traitant

« La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». 

- Article 4, 8e du Règlement général sur la protection des données

Le sous-traitant peut être identifié en fonction du niveau d’instruction donnée, de l’autonomie dont il dispose pour la réalisation de sa prestation de la valeur ajoutée fournie par le prestataire et du degré de transparence sur le recours à un prestataire. 

La responsabilité d’une personne peut résulter expressément d’un texte. Sinon, l’identification du responsable du traitement doit reposer sur l’analyse des faits.

Recherche scientifique

Le Centre national de la recherche scientifique (CNRS) qualifie, par exemple, la TGIR Huma-Num de sous-traitant pour l’hébergement des données. - InSHS, Les sciences humaines et sociales et la protection des données à caractère personnel dans le contexte de la science ouverte, Guide pour la recherche, février 2021 (V. 2), p. 13