Le responsable de traitement (RT) est la personne morale ou physique qui détermine les finalités et les moyens d'un traitement, c'est à dire l'objectif et la façon de le réaliser.

Au sein de l’Education nationale les responsables de traitements sont le Ministre, le Recteur, les DASEN par délégation et les Chefs d’établissement

Leurs principales obligations du responsable de traitement sont :

• Définir les finalités, moyens et modalités des traitements mis en œuvre
• Tenir à jour le registre des traitements mis en œuvre dans la structure (cf. fiche registre)
• Informer les usagers des traitements et respecter leurs droits (cf. fiches mentions information / droits des personnes)
• Contrôle la conformité des sous-traitants (cf. fiche sous-traitant)
• Coopérer avec l’autorité de contrôle (CNIL)
• Mettre en œuvre les mesures de sécurité organisationnelles et techniques appropriées
• Remonter toute violation de données à caractère personnel (cf. fiche violation)
• Désigner un délégué à la protection des données (organismes public)

Autres responsables de traitement  

Les traitements que l’on retrouve dans les établissements ne sont pas toujours de la responsabilité de l’Education nationale, parfois les finalités et les moyens de ces traitements sont définis par la collectivité, dans ce cas c’est la collectivité qui est le RT.

Exemple de traitement de données où la collectivité est RT :

• Vidéosurveillance dans les écoles primaires

CO-responsables de traitement

Il arrive que le Recteur, le DASEN ou le chef d’établissement ne définisse pas seul les finalités et les moyens d’un traitement mais conjointement avec une collectivité. Dans ce cas le recteur, le DASEN ou le chef d’établissement sont responsables conjoints de traitement. Un accord défini alors leurs obligations respectives aux fins d'assurer le respect des exigences du RGPD et notamment en ce qui concerne l'information et l’exercice des droits des personnes concernées.

Exemple de traitement de données où la collectivité peut être co-RT :

• Les ENT sont souvent en coresponsabilité

Responsable de traitement  et sous traitant

Très souvent le responsable de traitement pour traiter les données pour son compte fait appel à un sous-traitant. Le RGPD consacre une logique de responsabilisation de tous les acteurs en y incluant les sous-traitants. Le sous-traitant ne dois agir que sur instruction du RT. Des clauses spécifiques doivent figurer dans le contrat avec le sous–traitant (cf : fiche sous-traitant).

Exemple de traitement de données avec sous traitance :

• Pronote en mode hébergé
• Utilisation de ressources numériques en ligne