Responsable du traitement

Le RGPD répartit les responsabilités entre deux rôles. Le responsable du traitement décide pourquoi et comment les données personnelles sont traitées. Le sous-traitant traite les données pour le compte du responsable, en suivant ses instructions. La grande majorité des obligations légales pèse sur le responsable : informer les personnes concernées, sécuriser les données, traiter les demandes d’effacement.

Voici où cela vous concerne directement. Quand le gérant d’une boutique colle sa liste de diffusion clients dans un chatbot pour rédiger une newsletter, c’est lui le responsable du traitement de ces données. Le rôle de l’éditeur d’IA dépend de l’offre choisie : sur les formules professionnelles assorties d’un accord approprié, il agit généralement en tant que sous-traitant ; sur un compte grand public, l’éditeur peut aussi utiliser les données à ses propres fins, une situation bien plus difficile à justifier vis-à-vis de la CNIL.

C’est pourquoi « sur quelle formule suis-je ? » est, en réalité, une question de confidentialité autant que de facturation. Le vérificateur de collage vous indique comment chaque éditeur traite les données selon la formule souscrite, et le DPA est le document qui formalise la relation avec le sous-traitant. Pour vos obligations spécifiques, les recommandations de la CNIL (cnil.fr) font autorité, notamment ses fiches pratiques sur l’IA générative publiées depuis 2024.

Où vous rencontrerez ce terme

• Les politiques de confidentialité : la section qui désigne qui est le responsable du traitement
• Les conditions générales professionnelles et entreprise des éditeurs d’IA, qui définissent les rôles responsable/sous-traitant
• Les pages d’orientation de la CNIL et du Comité européen de la protection des données (CEPD/EDPB)

Termes associés

• RGPD →
• DPA (accord de traitement des données) →
• Données personnelles →
• Autorité de protection des données →