Partie 3 — Acteurs & rôles (RT, ST, DPO, CNIL)
⏱️ TL;DR — Le RGPD ne dit pas seulement ce qu’il faut faire, il dit qui doit le faire. Chaque traitement met en scène des rôles précis, et ce sont eux qui portent les obligations : le responsable de traitement (celui qui décide pourquoi et comment — art. 4.7), le sous-traitant (celui qui exécute pour son compte et sur instruction — art. 4.8 & 28), parfois des responsables conjoints (deux organismes qui décident ensemble — art. 26), et au centre la personne concernée (l’humain dont on traite les données, titulaire des droits). Enfin, le DPO (art. 37-39) conseille et contrôle sans jamais décider à la place du responsable. Confondre ces rôles, c’est signer le mauvais contrat, notifier au mauvais moment et répondre à côté d’une demande de droit. Cette partie t’apprend à qualifier chaque acteur — la brique manquante avant de choisir une base légale.
Le problème qu’on résout
Sur le papier, tout le monde « traite des données ». Mais le RGPD répartit des responsabilités inégales : celui qui décide n’a pas les mêmes obligations que celui qui exécute. Un dev qui ne sait pas qualifier son organisme (« suis-je responsable ou sous-traitant de ces données ? ») prend systématiquement les mauvaises décisions : il croit devoir informer les personnes alors que ce n’est pas son rôle, il oublie de signer le contrat qui l’oblige, il notifie la CNIL alors qu’il aurait dû notifier son client. Pire : sur une même plateforme, le même organisme peut être responsable pour certaines données et sous-traitant pour d’autres. On répare ça en posant, une bonne fois, la carte des acteurs et la question qui tranche à chaque fois : qui détermine les finalités et les moyens ?
La CNIL — l’autorité de contrôle — et le CEPD ont déjà été présentés en Partie 2. Ici, on se concentre sur les acteurs du traitement lui-même : qui décide, qui exécute, qui subit, qui conseille.
Ce que tu sauras faire à la fin de cette partie
- Qualifier un organisme : responsable de traitement, sous-traitant, ou responsables conjoints.
- Distinguer un responsable d’un sous-traitant avec le seul critère qui compte : qui détermine les finalités et les moyens ?
- Reconnaître la dualité RT/ST : le même acteur peut cumuler les deux casquettes selon le traitement.
- Ne jamais confondre responsables conjoints (art. 26) et sous-traitance (art. 28).
- Remettre la personne concernée au centre : titulaire des droits, jamais « responsable » de ses propres données.
- Savoir quand un DPO est obligatoire, ce qu’il fait — et ce qu’il ne fait pas.
Les chapitres
| # | Chapitre | En un mot |
|---|---|---|
| 3.1 | Le responsable de traitement | Celui qui décide pourquoi et comment — il porte les obligations. |
| 3.2 | Le sous-traitant | Il exécute pour le compte du responsable, sur instruction. |
| 3.3 | Les responsables conjoints | Deux organismes décident ensemble (art. 26). |
| 3.4 | La personne concernée | L’humain au centre, titulaire des droits. |
| 3.5 | Le DPO / délégué | Il conseille et contrôle ; il ne décide pas. |
On commence : Le responsable de traitement.