Le responsable du traitement : son rôle dans la protection des données

Défini à l’article 4 §7 du RGPD, le responsable du traitement (RT) est une personne physique ou morale, une autorité publique, un service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités (objectifs poursuivis) et les moyens d’un traitement de données.

 

 

Au sein de la région académique, différents responsables du traitement interviennent :

  • La Rectrice de région académique, rectrice d’académie et chancelière des universités pour tous les traitements de données mis en œuvre dans les domaines de l’article R. 222-3-2 du Code de l’Education
  • Les Rectrices d’académie, chancelière des Universités de Lille et Amiens ainsi que tous les traitements de données mis en place par les services académiques du rectorat, les services départementaux de l’éducation nationale, les CIO et les circonscriptions.
  •   L’Inspecteur d’Académie Directeur Académique des Services de l’Education Nationale du département, à savoir, pour l’Académie de Lille, l’IA-DASEN de l’Aisne, du Nord, de l’Oise, du Pas-de-Calais et de la Somme agissant par délégation de la rectrice, pour tous les traitements de données des écoles maternelles et écoles primaires (premier degré).
  • Le Chef d’établissement (Art. R. 421-8 du Code de l’éducation) pour tous les traitements de données au sein des E.P.L.E. (second degré public).
  • Le Directeur pour les traitements de données du GIP.

 

            Des obligations encadrées

En vertu de l’article 24 du RGPD, le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées, voire, si nécessaire, une politique en matière de protection des données, de manière à s’assurer et pouvoir démontrer que le traitement effectué est conforme au Règlement. Il procède à une évaluation objective du degré de risque pour les droits et libertés de la personne concernée.

Le responsable du traitement doit également tenir un registre des activités de traitement effectuées sous sa responsabilité, dans un souci de transparence affiché par le Règlement (art. 30 du RGPD).

Dans certains cas, notamment lorsque le responsable du traitement est une autorité publique ou un organisme public, il doit désigner un délégué à la protection des données.

Au regard des articles 33 et 34 du RGPD, en cas de violation de données, le responsable du traitement est tenu d’une obligation de notification à la CNIL dans les meilleurs délais, et, si possible, 72h au plus tard après en avoir pris connaissance. Si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne concernée, le responsable du traitement communique la violation à cette personne dans les meilleurs délais.

 

            La responsabilité du responsable du traitement

Le RGPD vient renforcer sa responsabilité, mais il prévoit désormais que le sous-traitant peut aussi engager sa propre responsabilité. Ce dernier doit notamment mettre à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par le Règlement.

Le responsable du traitement met en œuvre le traitement dans son intérêt, en son nom et pour son propre compte.

Le responsable du traitement est tenu de respecter ses différentes obligations. En vertu de l’article 26 du RGPD, il peut y avoir responsabilité conjointe lorsque deux responsables du traitement voire plus déterminent les finalités et les moyens du traitement mis en œuvre.

L’article 82 du RGPD prévoit qu’il est responsable du dommage causé par une violation des données d’une personne dans la mise en œuvre d’un traitement.