Le responsable du traitement

Qui est responsable ?

Ce que dit la loi :

Art. 3 - Le responsable d’un traitement de données à caractère personnel est la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et les moyens de toute opération de collecte, d’enregistrement, de modification …
Le responsable de traitement est la personne pour le compte de laquelle est réalisé le traitement

 

Afin de déterminer l'identité du responsable de traitement, on peut se poser les questions suivantes :

 

Celui de la « maîtrise d’ouvrage » du traitement : à quoi servira-t-il et comment fonctionnera-t-il ?

Celui de la « mise en œuvre » du traitement : qui décide de s’en servir et qui s’en sert ?

En pratique

Le responsable du traitement sera notamment la personne en charge :

  •  de veiller au respect des principes de la protection des données personnelles
  •  d’informer les personnes de l’existence de leurs droits d’accès, de rectification et d’opposition
  •  de procéder à l’accomplissement des formalités auprès de la CNIL
Dans le premier degré

 

Le directeur d’école ne pouvant être considéré comme responsable de traitement au sens de l’article 3 de la loi du 6 janvier 1978, la responsabilité d’un traitement mis en oeuvre par celui-ci est en principe endossée par :

 

le Directeur académique des services de l’éducation nationale.

 


Les écoles ne bénéficiant pas de la personnalité juridique, le directeur d’école ne dispose pas, en effet, des prérogatives d’un chef d’établissement du second degré.


Toutefois, si les obligations du responsable de traitement sont conférées au directeur académique des services de l’éducation nationale, le directeur d’école n’en demeure pas moins astreint au respect des dispositions de la loi informatique et libertés.

Dans le second degré

 

En application de l’article R. 421-8 du code de l’éducation,
le Chef d’établissement est le représentant de l’Etat
et l’organe exécutif de l’E.P.L.E. ; à ce titre, il détient la responsabilité de décider la création d’un traitement de données à caractère personnel et de procéder aux formalités liées à sa déclaration auprès de la CNIL.

Dès lors que la création et la mise en œuvre d’un traitement est arrêtée, le chef d’établissement est tenu à un devoir d’information de l’ensemble des personnes intéressées par le traitement, à l’intérieur comme à l’extérieur de l’établissement , notamment des parents ou des responsables légaux des élèves, par voie d’affichage ou de diffusion d’une note d’information.

Par ailleurs, en application de l’article 34 de la loi du 6 janvier 1978 modifiée, le chef d’établissement, responsable du traitement, est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Le responsable du traitement doit être distingué des personnes qui interviennent dans le cadre de la mise en œuvre du traitement tels les sous-traitants.

Le sous-traitant est un exécutant extérieur.

Il ne peut agir que sous l’autorité du responsable du traitement et sur instruction de celui-ci.

Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la loi.

La sous-traitance ne décharge pas le responsable du traitement de sa responsabilité.

Exemple : Dans le cas d’un hébergement externe de site web, l’hébergeur est considéré comme le sous-traitant.

Les obligations du responsable de traitement

Des obligations d’information : le respect du droit des personnes

Toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée

La loi impose au responsable du traitement de dispenser une série d’informations légales, qui varie selon la manière dont les données sont collectées.

La CNIL est vigilante quant au respect de cette obligation, car elle est le préalable à l’exercice des droits d’accès, de rectification ou d’opposition ; en cela elle n’hésite pas à sanctionner leur absence.

Informer les personnes

Recueillir le consentement des personnes

Lors du recueil des données, les personnes doivent être informées de la finalité du traitement, du caractère obligatoire ou facultatif du recueil, des destinataires des données et des modalités d’exercice des droits qui leur sont ouverts au titre de la loi « Informatique et Libertés »

Droit d’accès - article 39-I

Toute personne a le droit d'obtenir communication des données la concernant enregistrées dans le traitement sous une forme accessible et en obtenir une copie.

Droit d'accès indirect

Toute personne peut demander à la CNIL de vérifier les renseignements qui peuvent la concerner dans les fichiers intéressant la sûreté de l'Etat, la Défense et la Sécurité publique.

Droit de rectification - article 40

Toute personne peut demander communication de toutes les informations la concernant contenues dans un fichier détenu par l’établissement et a le droit de faire rectifier ou supprimer les informations erronées.

Droit d’opposition - article 38

Toute personne a le droit de s’opposer, pour des motifs légitimes, à ce que des données la concernant soient enregistrées dans un fichier informatique, sauf si celui-ci présente un caractère obligatoire

Elle impose de préciser pour tout traitement :

  •  L’identité du responsable du traitement et, le cas échéant, celle de son représentant
  •  La finalité poursuivie par le traitement auquel les données sont destinées
  •  Le caractère obligatoire ou facultatif des réponses
  •  Les conséquences éventuelles, à son égard, d’un défaut de réponse
  •  Les destinataires ou catégories de destinataires des données
  •  Les droits dont disposent les personnes à l’égard de ces données (les droits d’opposition, d’accès et de rectification)
  •  Les transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne 

A Noter

Le responsable du traitement engage sa responsabilité pénale toutes les fois où il ne prend pas de manière opérationnelle toutes les précautions utiles pour assurer la sécurité des données personnelles (5 ans d’emprisonnement, 300.000 euros d’amende).