FAQ

FAQ - Foire aux questions

Qui est le responsable de traitement et qui est sous-traitant ?

Le RGPD distingue deux rôles principaux : le responsable du traitement et le sous-traitant. Cette distinction est cruciale, car le responsable du traitement porte plus de responsabilités et doit remplir plus d’obligations que le sous-traitant.
Les responsables du traitement et les sous-traitants peuvent être des personnes physiques ou morales, par exemple une PME, une autorité publique, une entreprise, une organisation, un organisme d’État, une association, etc.
Le responsable du traitement détermine les finalités et les moyens d’une opération de traitement. En d’autres termes, le responsable du traitement décide du comment et du pourquoi d’une opération de traitement. Les sous-traitants, quant à eux, traitent des données personnelles pour le compte du responsable du traitement. Le traitement effectué par les sous-traitants doit être régi par un contrat avec le responsable du traitement des données ou par un autre acte juridique.

Exemples de contrôleurs de données :

  • les entreprises qui traitent les données personnelles de leurs clients pour finaliser une vente ;
  • les institutions financières qui traitent les données personnelles de leurs clients ;
  • les associations qui traitent les données de leurs membres ;
  • les écoles ou universités qui traitent les données personnelles des étudiants et des enseignants ;
  • les hôpitaux qui traitent les données personnelles de leurs patients ;
  • les agences gouvernementales qui traitent les données personnelles des citoyens.

Exemples de sous-traitants :

  • une PME embauche un service de comptabilité pour conserver ses livres de comptes : la PME est responsable du traitement des données et le service de comptabilité est un sous-traitant ;
  • une société de gestion de paie traite les données personnelles d’une PME. La société de gestion de paie agira en tant que sous-traitant si elle traite uniquement les données personnelles pour le compte de la PME. La PME détermine les finalités et les moyens du traitement des données et est donc responsable du traitement des données.
  • une PME demande à une société de marketing de collecter des adresses e-mail via des sites web tiers. La société de marketing se confirme aux instructions explicites de la PME et aux fins exclusives de celle-ci. La société de marketing agit comme sous-traitant pour cette collecte de données.
     

Plus d’informations :

Cela répond-il à votre question ?