Posté le 19/01/2018
Le responsable du traitement (RT) doit mettre en place des procédures internes afin de veiller au respect du règlement et de prouver cette conformité. Pour ce faire, il doit notamment mettre en place toutes les mesures techniques et organisationnelles pour assurer un niveau de sécurité approprié aux risques (pseudonymisation, cryptage des données, traçabilité…).
Le responsable du traitement ne doit cependant pas être confondu avec le DPO.
Le DPO est plus le prescripteur., vérifiant ensuite que ses directives sont suivies, alors que le RT est la personne capable d'appliquer la prescription : elle maîtrise son système d’informations, est aux commandes et donc responsable d’un non-respect des règles.
Le RT peut donc subir les sanctions administratives (financières), civiles (indemnités à verser aux personnes) et pénales (emprisonnement, amendes).
Il est aussi condamnable en tant que personne.
Il appartient donc au responsable de traitement de mettre en œuvre toutes les actions préconisées dans le cadre du programme RGPD et de les appliquer au quotidien : prouver que chaque personne a donné son consentement, appliquer les règles (72 heures, etc.) et assurer la traçabilité ainsi que la conception dans le respect des règles.
Le sous-traitant d’un responsable de traitement peut donc un être un responsable de traitement, s'il opère sur des traitements pour le compte du client.