Le responsable du traitement est une personne physique ou morale, publique ou privée, ou toute autre organisation ou association qui, seul ou conjointement avec d’autres, prend la décision de traiter des données à caractère personnel et en détermine les finalités.
A ce titre il est tenu :
- de déclarer ou de demander l’autorisation préalable avant tout traitement;
- de désigner un correspondant à la protection, pour les personnes morales;
- d’empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement de données;
- d’empêcher que des supports de données puissent être lus, copiés, modifiés, ou déplacés par une personne non autorisée;
- d’empêcher l’introduction non autorisée de toute donnée dans le système d’information, ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données enregistrées
- d’empêcher que des systèmes de traitements de données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données;
- d’empêcher que des systèmes de traitement de données soient utilisés à des fins de blanchiment de capitaux et de financement du terrorisme ;
- de garantir que, lors de l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données relevant de leur autorisation ;
- de garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des données peuvent être transmises par des installations de transmission ;
- de garantir que puisse être vérifiée et constatée a posteriori l’identité des personnes ayant eu accès au système d’information contenant des données à caractère personnel, la nature des données qui ont été introduites, modifiées, altérées, copiées, effacées ou lues dans le système, le moment auquel ces données ont été manipulées;
- d’empêcher que, lors de la communication de données et du transport de supports de données, les données puissent être lues, copiées, modifiées, altérées ou effacées de façon non autorisée;
- de sauvegarder les données par la constitution de copies de sécurité protégées. Le responsable du traitement doit mettre en œuvre toutes les mesures techniques et l’organisation appropriées pour assurer la protection des données qu’il traite contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.
- Veiller au respect des principes de la protection des données personnelles tel que prévu par la Loi du 19 juin 2013 relative à la protection des données personnelles ;
- Procéder à l’accomplissement des formalités auprès de l’Autorité de protection des données personnelles (dépôt des déclarations, demandes d’autorisation, etc.), sauf en cas de désignation d’un Correspondant à la protection des données personnelles;
- Informer les personnes de l’existence des droits que la loi leur confère (droits d’accès, de rectification et d’opposition) et de répondre aux sollicitations qu’il reçoit d’elles dans ce cadre ;
- Désigner, le cas échéant, un correspondant à la protection des données personnelles;
- Etablir un rapport annuel pour le compte de l’Autorité de protection des données.
- Le responsable du traitement peut décider de déléguer tout ou partie des activités de traitement à une organisation extérieure.
- Le sous-traitant est donc, d’une part, une personne physique ou morale distincte du responsable du traitement et, d’autre part, une personne physique ou morale qui traite les données à caractère personnel pour le compte du responsable du traitement, sans possibilité de faire quelque traitement que ce soit que le responsable n’a pas préalablement expressément autorisé.
- Le sous-traitant a pour mission d’exécuter des tâches sur les instructions et sous la responsabilité du responsable du traitement, exportateur des données.
- En cas de recours à un sous-traitant, le responsable du traitement doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer.
Le responsable du traitement est tenu de fournir à la personne dont les données font l’objet d’un traitement, au plus tard, lors de la collecte différentes informations telles que:
- Son identité;
- Les catégories de données concernées;
- Les finalités du traitement;
- Les destinataires;
- La possibilité de refuser de figurer sur le fichier;
- L’existence d’un droit d’accès;
- La durée de conservation des données;
- L’éventualité de tout transfert de données à destination d’un pays tiers.
Outre, le respect des principes attachés à la licéité de la collecte des données personnelles, le responsable du traitement est tenu de faire droit au demande d’accès, de rectification, d’opposition, de suppression et d’effacement des données formulées par les personnes concernées et ce dans les conditions prévues par la loi.
Le responsable du traitement est tenu de prendre toute précaution à l’égard des données, notamment d’assurer leur sécurité, et notamment d’empêcher qu’elles soient déformées, endommagées, ou que des tiers y aient accès.
Le responsable du traitement est tenu de prendre toute mesure utile pour s’assurer que les données à caractère personnel traitées peuvent être exploitées quel que soit le support technique utilisé.
Le responsable du traitement peut faire l’objet de sanctions administratives, pécuniaires et pénales, en cas de non-respect des dispositions de la loi 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel.