Skip to Content
RGPDPartie 3 — Acteurs & rôles (RT, ST, DPO, CNIL)3.1 — Le responsable de traitement

Chapitre 3.1 — Le responsable de traitement

⏱️ TL;DR — Le responsable de traitement (art. 4.7) est la personne ou l’organisme qui détermine les finalités et les moyens d’un traitement : pourquoi on traite ces données et, dans les grandes lignes, comment. C’est le rôle central du RGPD, car c’est lui qui porte les obligations : tenir le registre (art. 30), informer les personnes (art. 13/14), assurer la sécurité (art. 32), notifier les violations (art. 33), répondre aux droits (art. 12-22). Pour l’identifier, une seule question : « Qui décide pourquoi et comment ces données sont utilisées ? » Ce n’est pas forcément celui qui a les mains dans la base — c’est celui qui commande. Une école, un organisme de formation, une entreprise pour ses salariés : chacun est responsable de ses traitements.

🎯 Objectifs

  • Définir le responsable de traitement et le distinguer de l’exécutant technique.
  • Identifier le responsable avec la question « qui décide pourquoi et comment ? ».
  • Lister les obligations que porte le responsable (et lui seul, ou en premier).
  • Repérer le responsable dans des cas EdTech : école, organisme de formation, employeur.

Celui qui décide pourquoi et comment

L’article 4.7 définit le responsable de traitement comme celui qui, seul ou avec d’autres, détermine les finalités et les moyens du traitement. Deux mots à décortiquer :

  • Finalités = le pourquoi. « Gérer la scolarité », « payer les salaires », « envoyer une newsletter ». C’est l’objectif poursuivi.
  • Moyens = le comment, au sens des choix structurants : quelles données, quels outils, quelle durée de conservation, quels sous-traitants. Le responsable n’a pas besoin de coder lui-même : il décide l’architecture, il peut la déléguer.

Le point qui piège les devs : le responsable n’est pas forcément celui qui manipule techniquement les données. Un prestataire d’hébergement stocke des téraoctets de données personnelles sans en être responsable — il agit pour le compte de ses clients. Le responsable, c’est celui qui commande le traitement et en tire l’usage.

💡 Réflexe — Pour qualifier un organisme, ne regarde pas qui touche la donnée, regarde qui a décidé qu’on la collecterait et pour quoi faire. Celui qui répond à « c’était mon idée, c’est mon but, ce sont mes règles » est responsable. Celui qui répond « je l’ai fait parce qu’on me l’a demandé » est, au mieux, sous-traitant (chapitre suivant).

La question qui tranche

Face à un traitement, déroule cet arbre :

Une seule finalité, un seul décideur des moyens essentiels → responsable unique. Décision partagée → responsables conjoints (chapitre 3.3). Exécution sur ordre → sous-traitant (chapitre 3.2).

Ce que porte le responsable

Le responsable est le débiteur principal des obligations du RGPD. Voici les grandes, avec leur article :

ObligationArticleEn clair
Choisir une base légale par finalitéart. 6Pas de traitement sans fondement (Partie 4).
Informer les personnesart. 13 / 14Mentions claires : qui, quoi, pourquoi, quels droits.
Respecter les droitsart. 12-22Accès, effacement, opposition… dans le délai d’1 mois.
Tenir le registreart. 30Cartographier ses traitements — preuve d’accountability.
Garantir la sécuritéart. 32Mesures techniques et organisationnelles adaptées au risque.
Notifier les violationsart. 33 / 34CNIL sous 72 h si risque ; personnes si risque élevé.
Encadrer la sous-traitanceart. 28Contrat écrit (DPA) avec chaque prestataire.
Faire une AIPD si risque élevéart. 35Analyse d’impact avant de lancer (Partie 11).

Autrement dit : quand la CNIL contrôle, c’est d’abord le responsable qu’elle interroge. Il peut se retourner contre un sous-traitant défaillant, mais vis-à-vis des personnes et de l’autorité, c’est lui qui répond.

⚠️ Piège — « On utilise un SaaS pour gérer nos élèves, donc c’est l’éditeur du SaaS le responsable. » Faux. L’éditeur est ton sous-traitant : c’est toi (l’école) qui as décidé de collecter ces données, pour ta finalité (la scolarité). Externaliser l’outil ne transfère pas la responsabilité. On ne « sous-traite » pas sa qualité de responsable.

🧭 Sur FormaCampus — FormaCampus est responsable de traitement pour tous les traitements qu’elle décide pour son propre compte : les comptes de son site, sa prospection commerciale, sa newsletter, ses statistiques d’usage, la paie de ses salariés. Pour chacun, c’est FormaCampus qui a fixé la finalité et les moyens — donc c’est elle qui informe, sécurise, notifie. Attention : ce même acteur devient sous-traitant dès qu’une école lui confie les données de ses élèves (on le voit au chapitre 3.2). Retenir dès maintenant : la casquette dépend du traitement, pas de l’organisme.

🔒 Côté personne concernée — Pour un parent, le responsable, c’est l’interlocuteur qui répond de tout. C’est à lui qu’il adresse sa demande d’accès ou de rectification, c’est lui qui doit expliquer pourquoi les données de son enfant sont collectées, et c’est lui qu’on tient pour comptable en cas de fuite. Savoir qui est le responsable d’un traitement, c’est savoir à qui s’adresser pour faire valoir ses droits.

📚 Le texte — La définition est à l’article 4.7 du RGPD : le responsable est celui qui « détermine les finalités et les moyens du traitement ». Ses obligations sont disséminées dans tout le règlement (art. 5, 6, 12-22, 24, 30, 32, 33-34, 35), mais l’article 24 pose le principe chapeau : il doit mettre en œuvre les mesures et pouvoir démontrer la conformité (accountability, art. 5.2).

✏️ Exercices

Exercice 1 — Qui est responsable ? Pour chaque situation, nomme le responsable de traitement : (a) un collège utilise un ENT hébergé par une entreprise privée pour gérer les notes ; (b) une entreprise verse les salaires de ses employés via un logiciel de paie externe ; (c) un organisme de formation collecte les coordonnées de ses stagiaires pour organiser les sessions.

✅ Solution

(a) Le collège : c’est lui qui a décidé de gérer les notes de ses élèves (finalité) et choisi l’outil (moyen). L’entreprise qui héberge l’ENT est sous-traitant. (b) L’entreprise employeur : la paie de ses salariés est sa finalité et son obligation légale ; l’éditeur du logiciel est sous-traitant. (c) L’organisme de formation : il collecte pour sa finalité (organiser ses sessions). Dans les trois cas, l’exécutant technique n’est pas le responsable — c’est celui qui décide pourquoi qui l’est.

Exercice 2 — La bonne obligation. Une association sportive collecte les certificats médicaux de ses adhérents mineurs. En tant que responsable, cite trois obligations concrètes qui lui incombent.

✅ Solution

Au moins : (1) choisir une base légale adaptée (et vérifier le régime des données de santé, sensibles — Partie 5) ; (2) informer les adhérents et leurs parents (art. 13) sur la finalité, la durée, leurs droits ; (3) sécuriser ces certificats (art. 32 — accès restreint, chiffrement) ; (4) inscrire ce traitement au registre (art. 30) et fixer une durée de conservation. On pourrait ajouter la notification en cas de fuite (art. 33-34). Toutes ces obligations pèsent sur l’association, responsable, pas sur le logiciel qu’elle utilise.

🧠 Quiz de révision

1. Qu’est-ce qu’un responsable de traitement ?

Celui qui détermine les finalités et les moyens d’un traitement (art. 4.7) : pourquoi et comment on traite les données. C’est le rôle central du RGPD, car il porte les obligations (information, sécurité, registre, notification, droits).

2. Quelle question permet d’identifier le responsable ?

« Qui décide pourquoi et comment ces données sont utilisées ? » Celui qui a fixé la finalité et les moyens essentiels est responsable — même s’il ne manipule pas techniquement les données lui-même.

3. L’organisme qui héberge les données est-il le responsable ?

Non, pas de ce seul fait. Celui qui exécute pour le compte d’un autre, sur instruction, est sous-traitant. Le responsable reste celui qui a décidé de collecter les données pour sa finalité. Externaliser l’outil ne transfère pas la responsabilité.

4. Cite trois obligations du responsable de traitement.

Par exemple : informer les personnes (art. 13/14), assurer la sécurité (art. 32), tenir le registre (art. 30), notifier les violations (art. 33-34), respecter les droits (art. 12-22), encadrer la sous-traitance (art. 28). C’est lui qui répond devant la CNIL et devant les personnes.

5. Une école qui utilise un LMS SaaS est-elle responsable des données de ses élèves ?

Oui. C’est l’école qui a décidé de collecter les données de ses élèves pour sa finalité (la scolarité). L’éditeur du LMS est son sous-traitant. La qualité de responsable ne se sous-traite pas.


Chapitre suivant : Le sous-traitant — celui qui exécute pour le compte du responsable, sur instruction documentée. Et le cœur du fil rouge : comment un même acteur, FormaCampus, peut être responsable et sous-traitant.

Last updated on