Publicité en cours de chargement...
RGPD : de la difficulté d’identifier le responsable de traitement
La définition d’un RT est courte : selon l’article 4 du RGPD, il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Dans pas mal de cas, l’identification d’un RT est assez simple. Une entreprise publique ou privée est bien évidemment responsable de son traitement RH : qui d’autre qu’elle-même pourrait en déterminer les finalités (payer ses agents et gérer leur carrière) ainsi que les moyens associés (logiciels, équipements, équipe RH, etc.) ?
D’autres cas s’avèrent plus complexes. Une entreprise peut ainsi se retrouver en situation de déterminer une finalité avec d’autres acteurs, cas qui apparaît fréquemment dans le domaine de la recherche – d’où la notion de responsabilité conjointe. Autre contexte : celui d’un groupement d’entreprises qui confie à une structure cofinancée le soin de mettre en place un traitement (la plupart du temps un logiciel commun) pour le bénéfice du groupement. Cette structure (GIE, GCS, GIP, etc.) peut alors se trouver en position de RT par délégation, à moins que tous les membres du groupement ne décident de se positionner en coresponsabilité – aucune des deux solutions n’est simple à mettre en œuvre, et il convient d’y réfléchir en amont sous peine de devoir régler une semaine avant la mise en production une situation réglementaire compliquée sur l’analyse de laquelle personne ne s’accordera.
Le problème de la définition de l’article 4 susnommé concerne à la fois l’usage des termes « finalités » et « moyens ». Selon le groupe de travail « Article 29 » sur la protection des données , il consiste à déterminer le « pourquoi » et le « comment », ce qui est une autre formulation de la MOA et de la MOE. Or, traditionnellement, MOA et MOE sont séparées – dans certains secteurs tels que le BTP, il est même impossible d’assumer les deux rôles sous peine de conflit d’intérêts. De fait, mélanger ces deux notions dans un même article introduit une forme d’ambiguïté : par définition, un ST est autonome sur les moyens techniques qu’il mobilise (jusqu’à un certain stade en tout cas). Pourquoi alors faire figurer le terme « moyens » dans la définition d’un RT ?
Les réponses sont apportées dans les Guidelines de juin 2021 et largement commentées sur plusieurs sites de cabinets spécialisés : en substance, il conviendrait de distinguer les moyens « essentiels » des moyens « opérationnels ». Les premiers se réfèrent à des éléments plutôt high level (tels que le type de données traitées, la durée du traitement, etc.), alors que les seconds font référence au volet opérationnel (logiciel utilisé, personnels agissant, etc.). Au final, il semble que ce qui l’emporte sur la qualification RT/ST soit plutôt la capacité de définir la finalité. Un exemple donné sur le site Europa concerne une sous-traitance auprès d’une société de marketing, qui assure la totalité de la prestation depuis la collecte des données jusqu’à la distribution publicitaire sans que le RT soit impliqué dans le processus, mais qui conserve son statut de ST du fait que c’est bien son client (donneur d’ordre) qui détermine les aspects stratégiques (la finalité) du traitement : dans un tel exemple, la société de marketing agit sur ordre et non pas de son seul fait ; elle est donc bien ST.
Globalement, concernant les critères permettant d’établir avec précision les rôles respectifs de RT/ST, la relation directe avec la personne dont les données sont traitées n’est pas déterminante, comme le montre l’exemple ci-dessus. Le critère principal semble être celui de l’autonomie : un ST n’est en rien autonome puisqu’il traite les données qu’on lui demande de gérer, et le RT peut parfaitement changer de ST pour un traitement donné (alors que l’inverse n’est pas vrai).
Avez-vous apprécié ce contenu ?
A lire également.

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

IA et santé : la FHF publie un livre blanc stratégique pour structurer l’innovation
05 sept. 2025 - 11:15,
Actualité
- DSIHLe 3 septembre 2025, la Fédération Hospitalière de France (FHF) a dévoilé son livre blanc « L’IA en santé : qui est le maître ? – Ambitions et perspectives ». Ce document analyse les usages actuels de l’intelligence artificielle dans les établissements publics et propose une feuille de route pour un...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?

L’IA au service des soignants et des patients à l’hôpital Foch
01 sept. 2025 - 22:24,
Actualité
- Damien Dubois, DSIHL’hôpital Foch continue sa transformation et intègre l’IA de manière concrète et progressive au sein de ses différents services, en partenariat avec des start-up et des acteurs clés du secteur.