responsabilité
Responsabilité
Le responsable de traitement doit démontrer à tout moment sa conformité aux principes du RGPD : documentation, registres, analyses d’impact, etc.
Tant le RGPD que la convention 108+ énoncent que le responsable du traitement est tenu de veiller au respect des principes applicables au traitement des données à caractère personnel. Ce dernier doit être en mesure de démontrer sa conformité (RGPD, art. 5(2) ; Convention 108+, art. 10(1), (2)).
Cette obligation implique la mise en œuvre de mesures techniques et organisationnelles appropriées, proportionnées à la nature des données traitées, aux finalités poursuivies et aux risques identifiés pour les droits et libertés des personnes concernées.
Responsabilité
Bien que l’article 5, paragraphe 2 du RGPD vise explicitement les responsables du traitement, les sous-traitants sont également soumis à des obligations spécifiques en vertu des articles 28 et suivants du RGPD. Ils sont juridiquement tenus de respecter les instructions du responsable et de garantir la sécurité des données. À ce titre, leur responsabilité est également engagée. Le Groupe de travail « Article 29 » (aujourd’hui remplacé par le Comité européen de la protection des données - CEPD) rappelle que les mesures à mettre en œuvre dépendent du niveau de risque lié au traitement, de sa complexité et de la sensibilité des données concernées. Il ne s'agit donc pas d'une approche unique, mais d’une obligation de moyens renforcée, fondée sur une analyse de risque continue.
exemples
Exemples de mesures permettant de démontrer la conformité :
exemples
Tenue d’un registre des activités de traitement, conformément à l’article 30 du RGPD, à tenir à jour et à mettre à la disposition de l’autorité de contrôle sur demande.
exemples
Réalisation d’une analyse d’impact relative à la protection des données (AIPD ou DPIA) dans les cas où le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (art. 35 RGPD), accompagnée, si nécessaire, d'une consultation préalable de l’autorité de protection des données (art. 36 RGPD).
exemples
Mise en place de procédures internes de contrôle et d’audit, y compris des mécanismes d’évaluation régulière de la conformité des sous-traitants.
exemples
Formalisation contractuelle des engagements des sous-traitants, incluant des clauses spécifiques sur la confidentialité, la sécurité, l’obligation de coopération avec le responsable et les autorités de contrôle (art. 28 RGPD).
exemples
Documentation des mesures techniques (ex. chiffrement, pseudonymisation) et organisationnelles (ex. formation du personnel, politiques internes) mises en œuvre pour garantir la conformité.
cas réels
Bărbulescu (Cour européenne des droits de l'Homme, 2016) : l’absence de politique claire et documentée de surveillance a conduit à la condamnation de l’employeur CNIL vs Dedalus (France, 2022) : fuite massive de données médicales, absence de documentation technique suffisante → amende de 1,5 million €.
responsabilité
Hey Programme
Created on September 9, 2025
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Teaching Challenge: Transform Your Classroom
View
Frayer Model
View
Math Calculations
View
Interactive QR Code Generator
View
Piñata Challenge
View
Interactive Scoreboard
View
Interactive Bingo
Explore all templates
Transcript
responsabilité
Responsabilité
Le responsable de traitement doit démontrer à tout moment sa conformité aux principes du RGPD : documentation, registres, analyses d’impact, etc. Tant le RGPD que la convention 108+ énoncent que le responsable du traitement est tenu de veiller au respect des principes applicables au traitement des données à caractère personnel. Ce dernier doit être en mesure de démontrer sa conformité (RGPD, art. 5(2) ; Convention 108+, art. 10(1), (2)). Cette obligation implique la mise en œuvre de mesures techniques et organisationnelles appropriées, proportionnées à la nature des données traitées, aux finalités poursuivies et aux risques identifiés pour les droits et libertés des personnes concernées.
Responsabilité
Bien que l’article 5, paragraphe 2 du RGPD vise explicitement les responsables du traitement, les sous-traitants sont également soumis à des obligations spécifiques en vertu des articles 28 et suivants du RGPD. Ils sont juridiquement tenus de respecter les instructions du responsable et de garantir la sécurité des données. À ce titre, leur responsabilité est également engagée. Le Groupe de travail « Article 29 » (aujourd’hui remplacé par le Comité européen de la protection des données - CEPD) rappelle que les mesures à mettre en œuvre dépendent du niveau de risque lié au traitement, de sa complexité et de la sensibilité des données concernées. Il ne s'agit donc pas d'une approche unique, mais d’une obligation de moyens renforcée, fondée sur une analyse de risque continue.
exemples
Exemples de mesures permettant de démontrer la conformité :
exemples
Tenue d’un registre des activités de traitement, conformément à l’article 30 du RGPD, à tenir à jour et à mettre à la disposition de l’autorité de contrôle sur demande.
exemples
Réalisation d’une analyse d’impact relative à la protection des données (AIPD ou DPIA) dans les cas où le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (art. 35 RGPD), accompagnée, si nécessaire, d'une consultation préalable de l’autorité de protection des données (art. 36 RGPD).
exemples
Mise en place de procédures internes de contrôle et d’audit, y compris des mécanismes d’évaluation régulière de la conformité des sous-traitants.
exemples
Formalisation contractuelle des engagements des sous-traitants, incluant des clauses spécifiques sur la confidentialité, la sécurité, l’obligation de coopération avec le responsable et les autorités de contrôle (art. 28 RGPD).
exemples
Documentation des mesures techniques (ex. chiffrement, pseudonymisation) et organisationnelles (ex. formation du personnel, politiques internes) mises en œuvre pour garantir la conformité.
cas réels
Bărbulescu (Cour européenne des droits de l'Homme, 2016) : l’absence de politique claire et documentée de surveillance a conduit à la condamnation de l’employeur CNIL vs Dedalus (France, 2022) : fuite massive de données médicales, absence de documentation technique suffisante → amende de 1,5 million €.