Responsable de traitement : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le responsable de traitement constitue, dans l'architecture du RGPD, l'acteur central de la conformité.

Le responsable de traitement constitue, dans l'architecture du RGPD, l'acteur central de la conformité. L'article 4 paragraphe 7 du Règlement (UE) 2016/679 le définit comme la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

Cette définition place la qualification entre les mains de celui qui décide. Le responsable n'est pas nécessairement la personne qui manipule techniquement les données, mais celle qui dispose du pouvoir d'arbitrer les choix essentiels du traitement : pourquoi les données sont collectées, quelles données sont collectées, comment elles sont utilisées, à qui elles sont communiquées, combien de temps elles sont conservées.

L'enjeu pratique de la qualification est majeur. Le responsable de traitement supporte la totalité des obligations RGPD et se trouve en première ligne en cas de contrôle ou de sanction de l'autorité de contrôle. La requalification d'un sous-traitant en responsable de traitement, lorsqu'il agit hors des instructions reçues, expose à des conséquences juridiques considérables.

Vous souhaitez clarifier votre qualification au regard du RGPD ? Le Cabinet Aurore Bonavia accompagne les organisations dans l'analyse de leurs flux de données et la qualification précise de leur rôle. → Voir l'accompagnement en droit du numérique

La détermination des finalités et des moyens

La qualification de responsable de traitement repose sur deux éléments cumulatifs : la détermination des finalités (le pourquoi du traitement) et la détermination des moyens essentiels (les principaux paramètres opérationnels).

L'EDPB, dans ses Lignes directrices 07/2020, distingue les moyens essentiels des moyens non essentiels. Les moyens essentiels recouvrent les choix structurants : catégories de données collectées, catégories de personnes concernées, durées de conservation, destinataires, transferts éventuels, droits ouverts aux personnes. Leur définition est l'apanage exclusif du responsable de traitement. Les moyens non essentiels (choix techniques sur les serveurs, formats de fichier, langage de programmation) peuvent être laissés à l'appréciation du sous-traitant sans remettre en cause la répartition des rôles.

Cette distinction permet de qualifier les acteurs dans des configurations contractuelles complexes. Une plateforme SaaS qui propose ses services à un client conserve sa qualité de sous-traitant tant que le client garde la main sur les paramètres essentiels (qu'est-ce qu'on collecte, pour quoi, pendant combien de temps). Si la plateforme prend des décisions structurantes pour son propre compte (réutilisation des données pour son amélioration produit, agrégation à des fins statistiques propres, profilage publicitaire), elle bascule en responsable de traitement pour ces opérations.

Les obligations du responsable de traitement

L'article 24 du RGPD pose le principe général de responsabilité du responsable de traitement :

« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. »

Les obligations concrètes qui en découlent couvrent l'ensemble du cycle de vie du traitement :

  • la détermination de la base légale parmi les six bases prévues à l'article 6 (consentement, exécution contractuelle, obligation légale, intérêts vitaux, mission d'intérêt public, intérêts légitimes) ;
  • la tenue d'un registre des activités de traitement (article 30 paragraphe 1) ;
  • la délivrance de l'information aux personnes concernées (articles 13 et 14) ;
  • la garantie de l'exercice des droits des personnes (articles 15 à 22) ;
  • la désignation d'un DPO dans les hypothèses prévues à l'article 37 ;
  • la réalisation d'analyses d'impact (AIPD) pour les traitements à risque élevé (article 35) ;
  • la notification des violations de données à l'autorité de contrôle dans le délai de soixante-douze heures (article 33) et l'information des personnes concernées en cas de risque élevé (article 34) ;
  • l'encadrement contractuel des relations avec les sous-traitants (article 28) ;
  • la mise en œuvre des principes de protection des données par défaut et dès la conception (article 25).

La responsabilité conjointe

L'article 26 du RGPD organise un régime particulier lorsque deux ou plusieurs responsables de traitement déterminent conjointement les finalités et les moyens d'un traitement. Cette responsabilité conjointe suppose un accord transparent fixant les obligations respectives de chaque coresponsable, en particulier en ce qui concerne l'exercice des droits par les personnes concernées et les informations qui leur sont délivrées.

L'arrêt CJUE Wirtschaftsakademie du 5 juin 2018 (C-210/16) a inauguré une lecture extensive de la coresponsabilité, qualifiant comme telle la relation entre Facebook Ireland et l'administrateur d'une page Fan, au motif que ce dernier participait à la définition des finalités du traitement par le paramétrage des audiences cibles. Cette jurisprudence, prolongée par les arrêts Fashion ID (29 juillet 2019, C-40/17) et Jehovan todistajat (10 juillet 2018, C-25/17), oblige de nombreux opérateurs économiques à reconsidérer leur qualification antérieure et à formaliser des accords de coresponsabilité avec leurs partenaires plateformes.

Spécificité juridique sur la responsabilité civile

L'article 82 du Règlement (UE) 2016/679 organise un régime de responsabilité civile particulier au profit des personnes ayant subi un dommage du fait d'un traitement de données :

« 1. Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

Le responsable de traitement est responsable du dommage causé par le traitement qui constitue une violation du règlement, sans qu'il puisse s'exonérer en démontrant simplement la diligence du sous-traitant qu'il a mandaté. Il ne peut s'exonérer qu'en prouvant que le fait qui a provoqué le dommage ne lui est nullement imputable (article 82 paragraphe 3).

Cette responsabilité civile s'ajoute aux sanctions administratives prononcées par l'autorité de contrôle au titre de l'article 83 du RGPD, dont les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. La Cour de justice de l'Union européenne a rappelé dans l'arrêt UI / Österreichische Post du 4 mai 2023 (C-300/21) que la simple violation du règlement ne suffit pas à fonder un droit à réparation : la personne demandant indemnisation doit démontrer un dommage matériel ou moral concret.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de responsable de traitement

  • la qualification précise de votre rôle (responsable seul, responsable conjoint, sous-traitant) au regard de chacun de vos traitements ;
  • la rédaction des accords de coresponsabilité conformes à l'article 26 du RGPD ;
  • la mise en conformité globale en qualité de responsable de traitement ;
  • la rédaction des contrats de sous-traitance et des chartes de pilotage des prestataires ;
  • la défense face aux actions civiles fondées sur l'article 82 du RGPD ;
  • l'accompagnement en cas de contrôle ou de procédure de sanction de la CNIL ;
  • la formation des équipes dirigeantes et opérationnelles aux obligations du responsable de traitement.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 4.7, art. 24, art. 26, art. 82, art. 83, EDPB Lignes directrices 07/2020, jurisprudence CJUE 5 juin 2018 (Wirtschaftsakademie C-210/16), 29 juillet 2019 (Fashion ID C-40/17), 4 mai 2023 (UI / Österreichische Post C-300/21). Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.