Responsable de traitement (maître de fichier)

L'entité qui décide du but et du contenu du fichier. Autrement dit, celle qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. 

De manière synthétique, le reponsable de traitement est celui qui : 

• définit les finalités (décide des objectifs du traitement);

• définit les moyens essentiels (détermine comment le traitement est opéré);

• possède une autonomie et une indépendance pour le traitement des données personnnelles (dispose d’un pouvoir décisionnel réel, même avec directives);

• en principe (pas toujours le cas), est perçu à l'externe comme responsable (l'entité est perçue comme responsable par les personnes concernées).

En cas de traitement conjoint (art. 24b CPDT-JUNE), les entités répondent solidairement du préjudice (art. 56 CPDT-JUNE).

Il y a traitement conjoint lorsque les entités décident ensemble des finalités et des moyens esssentiels.

1. Les entités sont soumises aux contrôles du PPDT et, si elles décident de sous-traiter, la responsabilité est transférée au sous-traitant. Il appartient à l'entité qui sous-traite de gérer les coûts potentiels. Les entités doivent également s’assurer que le sous-traitant respecte les règles, notamment : « Le responsable du traitement veille notamment à ce que le sous-traitant respecte la présente convention et qu'il n'effectue pas d'autre traitement que celui confié. Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données. »
   Par conséquent, il est dans l’intérêt des entités de définir qui assumera les coûts, ainsi que la périodicité et l’étendue des audits (dossier 2024.5367).

2. La soumission à des secrets n’influence pas les conditions d’application des règles de protection des données.
   Pour qu’une entité soumise à la CPDT-JUNE puisse communiquer des données personnelles à une autre entité soumise à la CPDT-JUNE, les conditions des art. 25 et 26 CPDT-JUNE doivent être respectées. Les entités ne sont en droit de communiquer des données, d'office ou sur requête, que si une base légale l’autorise ou si la communication est nécessaire à l’accomplissement d’une tâche légale. En présence de données sensibles ou de profilages, l’autorisation ou la tâche doit reposer sur une loi au sens formel ; pour autant qu’aucune exception de l’art. 26 CPDT-JUNE ne soit réalisée.
   Même au sein d'une commune, la nécessité de transmettre des données non anonymisées doit être validée par le service qui les a récoltées et non pas par le service qui les reçoit. Si les données sont sensibles, le service responsable de traitement doit également pouvoir se prévaloir d'une base légale formelle (dossier 2024.5299).

3. Bien que la CPDT-JUNE soit commune aux deux cantons, des lois spéciales s'appliquent néanmoins pour certains systèmes d'information. Autrement dit, GERES (JU) et la BDP (NE) ne sont pas soumis aux mêmes conditions.
   Pour obtenir un accès à GERES, il faut préalablement obtenir une modification de l’O. concernant le contrôle des habitants, (RSJU 142.111) et la liste des données accessibles doit se limiter à celles nécessaires/indispensables pour accomplir le mandat et figurant dans la liste de la Loi concernant le contrôle des habitants, aux art. 25 et 27 (RSJU 142.11) à moins que les conditions de l’art. 28 de cette loi soient remplies.
   Lorsqu'il s'agit d'un accès à un certain nombre de dossiers, se pose la question, sous l’angle de la proportionnalité, du bien fondé d’un accès à l’ensemble de GERES. Il appartient donc au responsable de traitement de GERES de juger si les données demandées remplissent les conditions et en particulier le principe de la proportionnalité (dossier 2024.5284).

4. Si un système d’information fait l’objet d’une violation de sécurité, seul le responsable de traitement doit faire l’annonce de violation à l’autorité à laquelle il est soumis. Les entités qui ont communiqué des données personnelles à ce système ne sont pas tenues de respecter l’art. 23c CPDT-JUNE (dossier 2023.4809).

5. Lorsqu’une entité ne répond pas à une demande fondée sur la CPDT-JUNE rapidement, comme les art. 39 et 76 CPDT-JUNE le prévoient, la partie demanderesse peut demander au PPDT la tenue d’une séance de conciliation (art. 40 CPDT-JUNE) (voir modèles) (dossier 2023.4954).

6. Pour obtenir la réparation d’un dommage causé par le vol ou une indemnité pour tort moral, les demandes doivent être adressées au responsable de traitement s’il est soumis à la loi neuchâteloise sur la responsabilité des collectivités publiques et de leurs agents (LResp) et si le montant est de moins de CHF 30'000.-. Si le montant est supérieur, la demande sera adressée à la commission cantonale de la responsabilité des collectivités publiques. Si ces démarches n’aboutissent pas dans le sens souhaité et que le demandeur veut aller en justice, il faut impérativement la saisir dans un délai de 3 ans à compter de la connaissance du dommage ainsi que de la personne tenue à réparation. Faute de quoi, il n’est plus possible de faire valoir les prétentions devant un tribunal (dossier 2022.4201).