📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 24 du RGPD : Responsabilité du responsable de traitement

Sommaire

Introduction 

L’article 24 du RGPD introduit l’obligation centrale dite de « responsabilité » ou « accountability » du responsable du traitement des données personnelles. Il fait partie du Chapitre IV du règlement, qui regroupe les obligations générales imposées aux organisations traitant des données à caractère personnel, en particulier sur le territoire de l’Union européenne.

Schéma article 24 du RGPD Responsabilité du responsable du traitement

Explication de l’article 

L’article 24 du RGPD impose au responsable du traitement de mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir, et de pouvoir démontrer, que le traitement des données à caractère personnel s’effectue conformément au règlement.

Le responsable du traitement (RT) est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui détermine, seul ou conjointement avec d’autres, les finalités et les moyens des traitements de données personnelles. Il s’agit du véritable pilote de la conformité RGPD au sein d’une organisation.

Ce principe de « responsabilisation » (accountability) oblige ainsi tout RT à :

  • Evaluer les risques que présentent ses traitements pour les droits et libertés des personnes concernées ;
  • Définir et déployer des politiques internes ainsi que des mesures de sécurité proportionnées ;
  • Tenir une documentation complète permettant de prouver la conformité (registres, analyses d’impact, politiques internes, sensibilisation des équipes) ;
  • S’appuyer, si souhaité, sur des codes de conduite ou certifications pour attester des démarches prises.

L’article 24 place donc le responsable du traitement au cœur du dispositif de conformité, l’obligeant à anticiper, structurer et pouvoir justifier ses pratiques en matière de données personnelles à tout moment. 

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en oeuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou de mécanismes de certification approuvés comme le prévoit l’article 42 peut servir d’élément attestant du respect des obligations incombant au responsable du traitement.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Pas de disposition correspondante.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article. 57

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

En application de l’article 24 du règlement (UE) 2016/679 du 27 avril 2016, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément à ce même règlement et à la présente loi.

Le responsable du traitement et, le cas échéant, son représentant tiennent le registre des activités de traitement dans les conditions prévues à l’article 30 de ce règlement. Ils désignent un délégué à la protection des données dans les conditions prévues par la section 4 du chapitre IV du même règlement.

Analyse des 3 textes qui précèdent 

L’article 24 du RGPD instaure un « principe général de responsabilité » placé au premier rang des obligations générales du responsable du traitement, dont la définition reste inchangée depuis la Directive. En effet, le responsable du traitement est défini comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » (article 4, paragraphe 7 du RGPD).

Ce principe se divise en deux règles principales au paragraphe 1. La première affirme que le responsable du traitement a une responsabilité particulière dans la mise en œuvre des mesures techniques et organisationnelles appropriées afin de garantir que le traitement des données est réalisé conformément au RGPD. La proposition initiale comprenait une liste précise de ces mesures, mais celle-ci n’a pas été retenue dans la version finale. Cette liste, bien qu’absente dans le texte définitif, est néanmoins cruciale pour comprendre la portée du principe. Elle visait des mesures générales telles que la tenue de la documentation requise à l’article 30, la mise en œuvre des obligations de sécurité des données de l’article 32, la réalisation d’une analyse d’impact relative à la protection des données selon l’article 35, la consultation préalable auprès de l’autorité de contrôle selon l’article 36, ainsi que la désignation d’un délégué à la protection des données (DPO) en application de l’article 37.

Pour déterminer ces mesures appropriées, il faut tenir compte de la nature, de la portée, du contexte et des finalités du traitement, ainsi que de la probabilité et de la gravité des risques pour les droits et libertés des personnes physiques. Les considérants 75 et 76 détaillent ces risques, qui peuvent inclure des dommages physiques, matériels, moraux, ou des atteintes telles que la discrimination, le vol d’identité, une perte financière, une atteinte à la réputation, la divulgation de données confidentielles, ou encore le traitement de données sensibles ou d’évaluations personnelles. L’évaluation du risque doit être objective et prendre en compte si le traitement présente un risque élevé, entendu comme un risque particulier de porter atteinte aux droits et libertés des personnes, conformément au considérant 60 ter.

Au paragraphe 2, l’article 24 précise que, si les mesures sont proportionnées aux activités de traitement, elles peuvent inclure la mise en œuvre de politiques internes appropriées en matière de protection des données par le responsable.

La seconde règle, liée à la première, concerne la charge de la preuve : le responsable du traitement doit être en mesure de démontrer qu’il a effectivement mis en œuvre les mesures nécessaires et que le traitement respecte le RGPD. Il doit donc pouvoir justifier à tout moment cette conformité.

Enfin, le paragraphe 3 prévoit que l’adhésion à des codes de conduite approuvés (article 40) ou à des mécanismes de certification (article 42) peut constituer un moyen d’attester du respect des obligations du responsable du traitement. Le distinguo est également fait avec les recommandations du DPO, mentionnées dans le considérant 77 quater.

Par comparaison, ni la Directive 95/46/CE ni les législations nationales en vigueur avant le RGPD ne prévoyaient une disposition aussi claire sur cette responsabilité générale et proactive, ni sur la charge de preuve qui en découle. L’article 24 marque donc un tournant majeur en posant le principe de la responsabilisation comme un socle fondamental de la protection des données personnelles en Europe.

Jurisprudences 

Européennes 

Décision Chypre – Housing Finance Corporation (10 mars 2025)

Cette décision concerne une sanction de 10 000 euros à la Housing Finance Corporation pour traitement de données sans base légale suffisante, en violation notamment de l’article 24(1) du RGPD. L’article 24 impose au responsable du traitement d’assurer que toute opération de traitement respecte les principes clés et le cadre légal. Ici, le manquement porte sur la responsabilité du responsable du traitement à garantir un cadre juridique clair pour les traitements effectués, démontrant un défaut dans la mise en œuvre des mesures appropriées. Cette décision illustre l’application directe de la charge de la preuve du respect des obligations au responsable du traitement selon l’article 24.

Décision Irlande – Sligo County Council (13 novembre 2024)

Cette décision montre un cas pratique où le responsable du traitement a failli à son obligation de garantir un traitement conforme aux exigences légales, avec des manquements révélés dans la documentation, la sécurité des données (art. 32), et l’information des personnes (art. 13).

C-210/16 Wirtschaftsakademie Schleswig-Holstein (5 juin 2018)

Cette décision précise la notion de responsable du traitement, telle que définie à l’article 24. Elle confirme que même une entité gérant une page fan sur un réseau social peut être considérée comme responsable du traitement, car elle détermine finalités et moyens. Cela illustre la portée de la responsabilité du responsable du traitement en application du principe général de l’article 24, qui impose de mettre en œuvre les mesures nécessaires pour garantir le respect du RGPD.

C-340/21 VB contre Natsionalna agentsia za prihodite (14 décembre 2023)

Cette affaire concerne l’évaluation des mesures techniques et organisationnelles mises en œuvre par un responsable du traitement selon les articles 24 et 32 RGPD. La CJUE souligne que la simple divulgation non autorisée par un tiers ne suffit pas à prouver le manquement aux mesures « appropriées ». La décision rappelle que l’évaluation du caractère approprié des mesures doit être concrète et proportionnée au risque, conformément à l’article 24. La charge de la preuve incombe au responsable du traitement, ce qui est au cœur de l’article 24.

C-687/21 MediaMarktSaturn (25 janvier 2024)

La CJUE rappelle dans cette décision que le fait qu’un employé ait accidentellement communiqué des données à un tiers non autorisé ne suffit pas en soi à démontrer que les mesures prises par le responsable du traitement n’étaient pas appropriées au sens de l’article 24. L’appréciation doit être concrète, tenant compte des risques et de la mise en œuvre des mesures techniques et organisationnelles. Elle insiste aussi sur la charge de la preuve qui revient au responsable du traitement, conformément au principe général de responsabilité de l’article 24.

Françaises 

Aucune jurisprudence sur cet article !

Recommandations 

CNIL

Comment bien identifier son rôle de responsable de traitement

Chapitre IV – Responsable du traitement et sous-traitant

CNIL : Responsable de traitement et sous-traitants, intérêt légitime et documents récents du CEPD

Article détaillé sur la détermination du responsable de traitement par la CNIL

CEPD

Lignes directrices 07/2020 concernant les notions de responsable du traitement et sous-traitant (version française)

Analyse et explication des guidelines du CEPD en matière de responsable du traitement et sous-traitant

Ne restez pas seul face à vos obligations RGPD. Trouvez un DPO externe de confiance avec Mon Expert RGPD.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.