Connaître ses obligations

Il est primordial pour une organisation, de connaitre les obligations lui incombant en matière de protection des données personnelles. Ainsi vous pouvez retrouver ci-après le cadre d’application du RGPD ainsi que les obligations à respecter en qualité de responsable de traitement ou de sous-traitant.

1. Application

Le législateur européen a souhaité « Établir un cadre de protection renforcé et un niveau de protection cohérent et élevé des données personnelles […]», au sein de l’UE, en adoptant le Règlement Général sur la Protection des Données personnelles, le 27 avril 2016, devenu applicable le 25 mai 2018 ou RGPD.

Le RGPD s’applique :

  • au traitement1 de données à caractère personnel2 :
    • automatisé en tout ou en partie,
    • non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier pour une utilisation à titre professionnel.
  • au Responsable de Traitement3 ou au Sous-Traitant4
    • établi sur le territoire de l’UE
    • non établi dans l’UE mais dont les activités de traitement concernent l’offre de biens ou services à des personnes résidant dans l’UE ou au suivi du comportement (au sein de l’UE) de personnes se trouvant sur son territoire

De nouvelles dispositions ont ainsi vu le jour autour des exigences du RGDP :

  • Auto Responsabilisation des Entreprises : la tenue d’une documentation interne visant à démontrer sa conformité ainsi que la mise en œuvre de la protection des données à caractère personnel à la conception par défaut
  • Renforcement des droits des personnes avec la consolidation du consentement, la mise en place de nouveaux droits et la possibilité de recourir à des actions collectives
  • Désignation d’un Délégué à la Protection des Données obligatoire dans certains cas
  • Co-responsabilité des Sous-Traitants en cas de manquements : Co responsabilité pénale et obligations de conseil auprès des Responsables des Traitements
  • Durcissement des sanctions avec des amendes pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros

2. Responsabilités

Responsable de Traitement :

  • Respecter les principes de conformité d’un traitement (licéité, finalité, minimisation, exactitude, durée de conservation, intégrité et confidentialité)
  • Encadrer la sous-traitance des traitements par un contrat prévoyant les garanties de sécurité et de confidentialité imposées aux sous-traitants.
  • Sécuriser les traitements par la mise en œuvre de mesures organisationnelles et techniques appropriées.
  • Garantir le respect des droits des personnes en facilitant l’exercice des droits dans les délais impartis.
  • Recueillir le consentement (lorsque c’est la base légale du traitement) et assurer sa traçabilité
  • Notifier les violations de données personnelles dans les 72h à l’autorité de contrôle et aux personnes concernées le cas échéant
  • Tenir un Registre des activités de traitement
  • Désigner un DPO (obligatoire dans certains cas)
  • Réaliser une analyse d’impact pour les traitements à risques
  • Documenter sa conformité

Sous-Traitant :

  • Sécuriser les traitements en mettant en œuvre des mesures organisationnelles et techniques appropriées
  • Tenir un registre des catégories de traitement réalisées pour le compte du (ou des) responsable(s) de traitement
  • Conseiller et aider le responsable de traitement dans la mise en œuvre d’analyse d’impact et d’audits.
  • Notifier les violations de données personnelles dans les 72h au responsable de traitement
  • Documenter sa conformité

1 Traitement : Opération ou ensemble d’opérations réalisées sur les données personnelles de manière automatisée ou non, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou autre mise à disposition, alignement ou combinaison, la suppression, la restriction ou la destruction.

2 Données à caractère personnel : Toute information permettant d’identifier ou rendre identifiable directement ou indirectement une personne physique par un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique ou sociale.

3 Responsable de Traitement : Personne (morale ou physique) qui va déterminer à quoi va servir (finalités) et la manière dont on va atteindre l’objectif fixé (moyens).

4 Sous-Traitant : Prestataires de service (hébergement ou maintenance informatique, call center, etc…) qui s’engage contractuellement à exécuter un traitement de données à caractère personnel pour le compte du responsable de traitement.

Share this content: