Qui est responsable ?

Le GDPR précise que c’est à chacun de démontrer qu’il respecte le règlement et ses principes. C’est parce que c’est à chacun de démontrer qu’il respecte le GDPR qu’il est si important de documenter son respect. Cette documentation est fondamentale, centrale.

En termes de responsabilité, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du GDPR a le droit d’obtenir du responsable de traitement ou du sous-traitant réparation du préjudice subi.

De manière plus détaillée,

  • lorsque plusieurs responsables de traitement déterminent conjointement les finalités et les moyens du traitement, ils sont responsables conjoints du traitement. Il est intéressant de souligner que le GDPR précise que l’accord entre lesdits responsable de traitement est mis à la disposition des personnes concernées ;
  • lorsqu’un traitement est effectué pour le compte d’un responsable de traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes. Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable du responsable de traitement.
    • En cas de faute du sous-traitant, le responsable de traitement et le sous-traitant sont responsables (charge de se retourner entre eux le cas échéant) ;
    • En cas de faute du responsable de traitement, seul celui-ci est responsable.