RESPONSABLE ET CO-RESPONSABLE 

DE TRAITEMENT

 

La fonction de responsable de traitement est une importante responsabilité au regard de la loi, et en l’absence d’une nomination officielle par la direction (documentation à l’appui), c’est le dirigeant en exercice de l’entreprise qui en fait office.

Cette fonction peut être externalisée auprès d’Euro Data Protection avec un mandat de responsable ou de co-responsable de traitement, à la condition qu’Euro Data Protection soit le DPO déclaré à la CNIL de l’entreprise.

Dans ce cas c’est Euro Data Protection qui informera le dirigeant ou la personne dans l’entreprise à qui revient cette tâche (responsable ou co-responsable), et lui notifiera le bien-fondé d’un traitement qu’il souhaite mettre en place, sa finalité, et la validation des moyens de mise en œuvre prévus incluant la vérification et la validation des sous-traitants sur leur conformité au RGPD.

Légalement, lorsqu’il n’y a pas de nomination d’un responsable de traitement dans l’entreprise, c’est le dirigeant légal en exercice qui en assume la responsabilité.

Si un co-responsable des traitements en interne est nommé dans l’entreprise.

Il devra s’agir d’un salarié, formé, qui doit être indépendant de toute pression, avec les moyens en temps, en budget, et une connaissance juridique démontrée du RGPD.

C’est lui – avec ou sans le dirigeant (qui dans ce cas fait office de responsable des traitements) – qui définit, organise, décide, et met en place les traitements, directement avec un ou plusieurs sous-traitants sans devoir en référer ou requérir aucun avis, si ce n’est celui du dirigeant.

Si Euro Data Protection n’est pas le DPO de l’entreprise ou un autre tiers.

Le dirigeant seul ou/et avec un co-responsable interne ou externe, assumera la responsabilité de la fonction de responsable des traitements.

L’entreprise nomme Euro Data Protection comme DPO déclaré à la CNIL.

La(les) personne(s) ou l’(les)organisme(s) externe(s) faisant office de responsable(s) ou de co-responsable(s) des traitements dans et pour l’entreprise, communiquera l’ensemble des éléments du processus à Euro Data Protection pour commentaires éventuels, restrictions ou validation.

L’entreprise nomme Euro Data Protection comme DPO déclaré à la CNIL et comme co-responsable des traitements.

Euro Data Protection peut être mandatée comme co-responsable pour une partie des traitements clairement identifiés, conséquence d’une charge de travail trop importante pour l’entreprise.

Le dirigeant de l’entreprise étant toujours officiellement le responsable de traitement, c’est lui qui devra concevoir et organiser les traitements et les soumettra pour validation à Euro Data Protection.

L’entreprise nomme Euro Data Protection comme DPO déclaré à la CNIL et comme responsable des traitements.

La totalité de la responsabilité des traitements repose sur EDP qui organise avec des personnes ressources internes ou externes à l’entreprise la conception, définition des finalités, mise en œuvre, sélection des différents prestataires…

Euro Data Protection dispose d’assurances spécifiques à ce type de situation.

Dans tous les cas où Euro Data Protection intervient, le dirigeant de l’entreprise est toujours le destinataire de nos rapports, particulièrement dans les cas où des problèmes se posent. Ce sera à lui de trancher.

POUR RÉSUMER, DEVANT L’IMPORTANCE QUE REVÊT LE TRAITEMENT DES DONNÉES PERSONNELLES ET SES ÉVENTUELLES CONSÉQUENCES, LE LÉGISLATEUR VEUT UN RESPONSABLE, VOIRE UNE CHAÎNE DE RESPONSABILITÉ, CLAIREMENT ÉTABLI(E).

Si votre entreprise a subi une violation de données (si des données personnelles ont été, de manière accidentelle ou illicite, divulguées ou vous avez constaté un accès non autorisé à des données) vous devez le signaler à votre DPO, et en l'absence de DPO à la CNIL dans les 72 heures si cela est susceptible de représenter un risque sécuritaire pour les droits et libertés des personnes concernées.
De plus, si ces risques sont élevés pour ces personnes, vous devrez les en informer.