Article 24 – Responsabilité du responsable du traitement

Article 24 - Responsabilité du responsable du traitement

1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou de mécanismes de certification approuvés comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des obligations incombant au responsable du traitement.

En savoir plus...

Cette disposition ouvre la section 1 du chapitre IV, qui est consacrée aux « obligations générales » du responsable du traitement et du sous-traitant. L'article 24 prévoit l'obligation abstraite du responsable du traitement d'assurer et de démontrer la conformité au RGPD et étend le principe de responsabilité énoncé à l'article 5, paragraphe 2, du RGPD. L'article 24 est donc étroitement lié aux obligations plus spécifiques du responsable du traitement, telles que l'article 25 ou l'article 32 du RGPD. Cet article attribue un rôle proactif au responsable du traitement, qui doit veiller au respect du RGPD à tous les stades du traitement. Pour atteindre cet objectif, le responsable du traitement utilise des mesures techniques et organisationnelles appropriées au risque lié au traitement (approche fondée sur le risque).

Le responsable du traitement n'est pas seulement responsable du respect effectif du RGPD, il doit également être en mesure de le démontrer. Le responsable du traitement peut utiliser des codes de conduite ou des mécanismes de certification approuvés comme éléments de cette démonstration.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).

Considérants pertinents

[Responsabilités du responsable de traitement]
74. Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

[Risques pours les droits et libertés de personnes physiques]
75. Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

[Evaluer les risques pour les personnes concernées]
76. Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

[Recommandations sur l'évaluation des risques]
77. Des directives relatives à la mise en œuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d'indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.

[Mesures techniques et organisationnelles appropriées]
78. La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d'être en mesure de démontrer qu'il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer. Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics.

Droit souple

Lignes directrices et recommandations

> CEPD - Lignes directrices 07/2020 - Responsable de traitement et sous-traitant

07 juillet 2021, v2.0

Références

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Lien
C-340/21	Natsionalna agentsia za prihodite	14/12/2023	2023	Bulgarie	Cour de Justice de l'UE	A classer		Violation de données - Présomption irréfragable d'insuffisance des mesures de sécurité - Absence	31. Partant, les articles 24 et 32 du RGPD ne sauraient être compris en ce sens qu’une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par un tiers suffisent pour conclure que les mesures adoptées par le responsable du traitement concerné n’étaient pas appropriées, au sens de ces dispositions, sans même permettre à ce dernier d’apporter la preuve contraire.	24, 32, 82	788235c7a7839ac7e834e0a5a9a15b95657a9271	Cliquer pour accéder à la décision
SAN-2021-002	Société X	08/01/2021	2021	France	CNIL ou équivalent	A classer		Répartition des responsabilités entre responsable de traitement et sous-traitant - Solutions techniques et organisationnelles de sécurité adéquates - Responsabilité du sous-traitant - Existence	Si aux termes de l’article 32 du RGPD, les obligations en matière de sécurité des traitements de données à caractère personnel s’adressent tant au responsable de traitement qu’au sous-traitant, la répartition des responsabilités entre ces deux acteurs résulte également du contrat de sous-traitance qu’ils doivent conclure au titre de l’article 28 du RGPD. En ce sens, l’article 28-3-f impose que ce contrat prévoit que le sous-traitant « aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ». La CNIL déduit de la combinaison de ces dispositions qu’il revient au sous-traitant de proposer au responsable de traitement les solutions techniques et organisationnelles adéquates, notamment en ce qui concerne la sécurité des traitements, et ce, indépendamment des obligations qui pèsent en propre sur le responsable du traitement.	24, 28, 32	788235c7a7839ac7e834e0a5a9a15b95657a9271	Non publié. Source: CNIL, Tables Informatique et Libertés
MED-2020-040	LAPI Commune X	24/11/2020	2020	France	CNIL ou équivalent	Responsable de traitement	Administration	Responsabilités du traitement - Concession de service public - Qualification du concessionnaire - Qualification de l’autorité publique concédante	La qualification de responsable de traitement est reconnue au concessionnaire dès lors qu’il agit pour son propre compte avec une autonomie certaine sur les traitements des données d’usagers qu’il met en œuvre dans l’exécution de ses missions, en déterminant les finalités et les moyens essentiels du traitement. - Cependant, l’autorité publique concédante est également qualifiée de responsable des traitements des données à caractère personnel des usagers mis en œuvre par le concessionnaire dans le cadre de l’exécution du service, dès lors que le traitement de ces données est nécessaire à la satisfaction des finalités poursuivies par la collectivité et que cette dernière a substantiellement défini les traitements de données en cause et leurs conditions de réalisation par le concessionnaire, notamment à travers des clauses contractuelles ou des instructions précises quant à leur mise en œuvre durant l’exécution du contrat.	4, 24, 26	788235c7a7839ac7e834e0a5a9a15b95657a9271	Non publié. Source: CNIL, Tables Informatique et Libertés
C-272/19	Land Hessen	09/07/2020	2020	Allemagne	Cour de Justice de l'UE	A classer	Administration	Responsable du traitement - Commission des pétitions du parlement d’un État fédéré d’un État membre - Inclusion - Article 15 - Droit d’accès de la personne concernée - Application	72. En quatrième et dernier lieu, aucune exception n’est prévue dans le règlement 2016/679, notamment au considérant 20 et à l’article 23 de celui-ci, en ce qui concerne les activités parlementaires. - 74. Il résulte de l’ensemble des considérations qui précèdent que l’article 4, point 7, du règlement 2016/679 doit être interprété en ce sens que, dans la mesure où une commission des pétitions du parlement d’un État fédéré d’un État membre détermine, seule ou avec d’autres, les finalités et les moyens du traitement, cette commission doit être qualifiée de « responsable du traitement », au sens de cette disposition, de telle sorte que le traitement de données à caractère personnel effectué par une telle commission relève du champ d’application de ce règlement, notamment de l’article 15 de celui-ci.	4, 15, 24	788235c7a7839ac7e834e0a5a9a15b95657a9271	Cliquer pour accéder à la décision
C-40/17	Fashion ID	29/07/2019	2019	Allemagne	Cour de Justice de l'UE	A classer	Technologie	Gestionnaire d’un site internet équipé du bouton « j’aime » de Facebook - Responsabilité conjointe entre le gestionnaire du site et Facebook - Admission	75. En l’occurrence, sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, il ressort du dossier dont dispose la Cour que, en ayant inséré sur son site Internet le bouton « j’aime » de Facebook, Fashion ID semble avoir offert la possibilité à Facebook Ireland d’obtenir des données à caractère personnel des visiteurs de son site Internet, une telle possibilité étant déclenchée dès le moment de la consultation d’un tel site, et ce indépendamment du fait que ces visiteurs soient membres du réseau social Facebook ou qu’ils aient cliqué sur le bouton « j’aime » de Facebook ou encore qu’ils aient connaissance d’une telle opération. - 76. Compte tenu de ces informations, il convient de constater que les opérations de traitement de données à caractère personnel dont Fashion ID est susceptible de déterminer, conjointement avec Facebook Ireland, les finalités et les moyens sont, au regard de la définition de la notion de « traitement à caractère personnel » figurant à l’article 2, sous b), de la directive 95/46, la collecte et la communication par transmission des données à caractère personnel des visiteurs de son site Internet.	24, 26	788235c7a7839ac7e834e0a5a9a15b95657a9271	Cliquer pour accéder à la décision
C-25/17	Jehovan todistajat	10/07/2018	2018	Finlande	Cour de Justice de l'UE	A classer		Responsabilité conjointe - Obligation que chaque responsable de traitement participe de manière équivalente et/ou ait accès aux données et/ou ait donné des consignes écrites relatives aux traitements - Absence	66. L’objectif de cette disposition étant d’assurer, par une définition large de la notion de « responsable », une protection efficace et complète des personnes concernées, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce (voir, en ce sens, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, points 28, 43 et 44). [...] 75. Eu égard aux considérations qui précèdent, il convient de répondre aux troisième et quatrième questions que l’article 2, sous d), de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il permet de considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements.	24, 26	788235c7a7839ac7e834e0a5a9a15b95657a9271	Cliquer pour accéder à la décision
C-210/16	Wirtschaftsakademie Schleswig-Holstein	05/06/2018	2018	Allemagne	Cour de Justice de l'UE	A classer	Technologie	Responsabilité conjointe - Obligation que chaque responsable de traitement ait accès aux données et/ou participe de manière équivalente - Absence	38. S’il est vrai que les statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée, il n’en demeure pas moins que l’établissement de ces statistiques repose sur la collecte préalable, au moyen de cookies installés par Facebook sur l’ordinateur ou sur tout autre appareil des personnes ayant visité cette page, et le traitement des données personnelles de ces visiteurs à de telles fins statistiques. En tout état de cause, la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées. [...] 43. Cela étant, il y a lieu de préciser, ainsi que l’a relevé M. l’avocat général aux points 75 et 76 de ses conclusions, que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce.	24, 26	788235c7a7839ac7e834e0a5a9a15b95657a9271	Cliquer pour accéder à la décision
C-210/16	Wirtschaftsakademie Schleswig-Holstein	05/06/2018	2018	Allemagne	Cour de Justice de l'UE	A classer	Technologie	Gestionnaire d’une page hébergée sur un réseau social (Facebook) - Responsabilité conjointe entre le gestionnaire et le fournisseur du service - Admission	39. Dans ces circonstances, il y a lieu de considérer que l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement, au sens de l’article 2, sous d), de la directive 95/46.	24, 26	788235c7a7839ac7e834e0a5a9a15b95657a9271	Cliquer pour accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

GPDP (autorité italienne)

02 janvier 2025

Télémarketing : le fournisseur d’électricité et de gaz se voit infliger une amende de 679 000 euros par la Garante Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné Illumia spa, une société opérant dans la fourniture de services d’électricité et de gaz, à 678 897 euros d’amendes pour avoir traité de manière […]

Disponible sur: veille.portail-rgpd.com

APD (autorité belge)

17 décembre 2024

Un hôpital belge condamné à 50 000 euros d’amende pour des problèmes de sécurité L’autorité belge a aujourd’hui publié une décision de sanction à l’encontre d’un hôpital pour avoir manqué à ses obligations en matière de sécurité. Plus précisément, une violation de données de type ransomware a été notifiée à l’autorité par cet hôpital belge […]

Disponible sur: veille.portail-rgpd.com