RGPD : la CNIL rappelle les rôles clés des acteurs du traitement des données
RESSOURCES ET
INFORMATIONS
EN UN CLIC
plus forts,
engagés pour l’avenir
RGPD : la CNIL rappelle les rôles clés des acteurs du traitement des données
En tant que professionnel, vous traitez régulièrement des données personnelles : celles de vos salariés, clients ou partenaires.
Mais saviez-vous que votre rôle dans le traitement (responsable, co-responsable ou sous-traitant) détermine vos obligations légales ?
La CNIL le rappelle : « Bien identifier son rôle, c’est mieux comprendre ce que l’on doit faire pour respecter le RGPD, mais aussi ce dont on est légalement responsable. »
Une récente sanction (30 avril 2025) a montré l’importance de ce point : un organisme a été condamné à 20 000 € pour « défaut d’encadrement des relations entre responsable et sous-traitant ».
Le GHR fait le point sur les trois rôles principaux :
1. Notions essentielles
| Notion | Définition | Exemple |
|---|---|---|
| Donnée personnelle | Toute information se rapportant à une personne physique identifiée ou identifiable | Nom, prénom, téléphone, image, numéro de sécurité sociale |
| Traitement | Toute opération sur des données, sur support papier ou numérique | Collecte, enregistrement, conservation, consultation |
| Responsable de traitement | Détermine les finalités et moyens du traitement | Représentant légal de l’entreprise |
| Co-responsable de traitement | Plusieurs responsables définissent ensemble finalités et moyens | Plusieurs hôteliers créant une plateforme commune de réservation |
| Sous-traitant | Traite des données pour le compte du responsable | Logiciels de réservation, prestataires informatiques, agences marketing |
2. Rôles et responsabilités détaillés
| Acteur | Responsabilités clés | Exemple concret |
|---|---|---|
| Responsable de traitement | Décide pourquoi et comment les données sont traitées (finalité et moyens essentiels). Même sans accès direct aux données, il définit les règles du traitement. | Restaurateur gérant un programme de fidélité via un prestataire externe |
| Co-responsable de traitement | Décisions conjointes ou complémentaires sur finalités et moyens du traitement. Chaque décision contribue à un traitement commun. | Plusieurs hôteliers définissant ensemble le traitement des données clients pour une plateforme partagée |
| Sous-traitant | Agit pour le compte du responsable, suit ses instructions. Peut prendre certaines décisions techniques mais non essentielles. | Choix d’un logiciel, paramétrage technique pour un prestataire externe |
📌 Points clés à retenir
-
Identifier correctement votre rôle est essentiel pour respecter le RGPD.
-
Le responsable de traitement fixe les finalités et moyens essentiels.
-
Le co-responsable partage ces décisions avec d’autres acteurs.
-
Le sous-traitant ne décide pas des finalités mais applique les instructions reçues.
Pour approfondir, la CNIL et le Comité européen de la protection des données proposent des diagrammes explicatifs et guides pratiques.
https://www.cnil.fr/fr/rgpd-comment-bien-identifier-son-role
https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_fr.pdf#page=57