⚖️ Responsable de traitement, sous-traitant, responsable conjoint : comment bien identifier son rôle ?

⚖️ Responsable de traitement, sous-traitant, responsable conjoint : comment bien identifier son rôle ?

Le 6 juin 2025, la CNIL a publié un article à destination des DPO et autres professionnels de la conformité, afin de les aider à identifier clairement le rôle de leur organisation dans un traitement de données personnelles. Cette étape est indispensable, car avant de collecter ou d’utiliser des données, il faut d’abord se poser une question centrale : quel est mon rôle dans le traitement ? Responsable de traitement ? Sous-traitant ? Responsable conjoint ? Cette qualification n’est pas qu’un détail administratif. Elle conditionne les obligations juridiques de chaque acteur, la nature des contrats à établir, et les risques encourus en cas de contrôle.

🔍 De quoi s’agit-il ?

Le RGPD impose une analyse concrète des rôles de chacun. Ce n’est pas le contrat qui fait foi, mais les faits : qui décide des finalités (pourquoi traiter les données) et des moyens essentiels (comment le faire) ? Qui agit seulement sur instruction ? Et, dans certains cas, est-ce que plusieurs entités construisent ensemble un traitement commun ?

📌 Comment bien se positionner ?

Un responsable de traitement est l’acteur qui définit les objectifs et les paramètres clés du traitement. Il choisit, par exemple, quelles données collecter, combien de temps les conserver, ou qui peut y accéder. Il peut s’agir d’un employeur qui gère un processus de recrutement, d’un assureur, ou encore d’un développeur qui conçoit un service en exploitant des données personnelles.

Un sous-traitant, lui, agit sur les données pour le compte d’un responsable et selon ses consignes. Il ne décide ni des objectifs, ni des moyens essentiels. Son rôle est d’exécuter, comme par exemple un prestataire qui héberge une base de données ou assure la maintenance technique d’un site.

Il existe aussi des cas où plusieurs entités définissent ensemble les finalités et les modalités du traitement. On parle alors de responsables conjoints. C’est le cas, par exemple, de collectivités territoriales qui développent une plateforme commune, d’hôpitaux qui entraînent un système d’intelligence artificielle à partir de leurs données respectives ou encore de deux sociétés qui organisent un évènement ensemble pour faire connaitre leurs activités. Chacun joue un rôle actif et indispensable dans la mise en œuvre du traitement, dans un intérêt commun.

🛠 Quels sont les impacts pratiques ?

Selon le rôle, les obligations diffèrent. Un responsable du traitement doit conclure un contrat écrit avec son sous-traitant, s’assurer de ses garanties en matière de sécurité et de conformité, et rester pleinement responsable vis-à-vis des personnes concernées.

Info

Des modèles de ces contrats (DPA) sont disponibles dans l'application "Ressources juridiques" de Data Comply One que ce soit pour intervenir en tant que sous-traitant ou en tant que responsable de traitement.


Dans le cas d’une responsabilité conjointe, un accord écrit doit formaliser la répartition des obligations : gestion des demandes d’exercice de droits, notification des violations de données, information des personnes, etc. Même si les responsabilités sont partagées, chaque acteur reste pleinement impliqué et peut être tenu responsable.

Info
Un modèle de contrat de co-responsabilité est aussi disponible dans l'application "Ressources juridiques" de Data Comply One pour vous aider !

⚠️ La vigilance de la CNIL

La CNIL insiste : elle ne se limite pas aux contrats. Lors d’un contrôle, elle examine les pratiques réelles et peut requalifier les rôles si la répartition choisie ne reflète pas les faits. C’est pourquoi il est indispensable de documenter soigneusement la réflexion menée et de pouvoir la justifier.


Comment encadrer ces relations ?
Dans la plateforme Data Comply One, documentez vos traitements en tant que :
- Responsable dans l'application Registre de traitements,
- Sous-traitant dans l'application Registre de sous-traitance,
- Co-responsable dans l'application Registre de traitement, et listez vos co-responsables dans l'Écosystème.
Complétez les documents adaptés à vos relations grâce aux modèles présents dans les ressources juridiques.


À bientôt sur Data Comply One !

Tom 
Juriste protection des données personnelles - Data Comply One