Marketing Strategy

RGPD, Responsabilités d'un responsable de la protection des données

| 8 Minutes à Lire
respecter la RGPD

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) de l'Union Européenne, le 25 mai 2018 beaucoup d’entreprises s’interrogent sur les bonnes pratiques à avoir. Et surtout depuis que des grandes entreprises ont dû s’acquitter de lourdes amendes pour non respect du RGPD. Ce règlement a conservé les obligations de base des personnes chargés de la protection des données et en a introduit de nouvelles. Dans cet article, nous discuterons des responsabilités que la RGPD a conférées à chaque partie en matière de traitement et de contrôle des données, et nous donnerons un aperçu de la manière dont une organisation peut s’assurer de respecter le RGPD.

Définition : responsable du traitement des données et sous-traitant de données 

Dans le monde digital d'aujourd'hui, la collecte et le stockage des données sont plus une norme qu'une exception. Les entreprises peuvent collecter des données individuelles à des fins de publicité, de marketing, d'analyse ou de recherche. Chaque fois qu'une entreprise recueille et traite des données personnelles, elle le fait en tant que "chargé du traitement" ou "sous-traitant". Dans le chapitre 1, article 4 du RGPD, les deux sont définis comme suit :

Le "responsable du traitement des données" est "la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel".

Le terme "sous-traitant des données" désigne "une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel au nom du chargé du traitement".

Si une organisation contrôle et est responsable des données personnelles qu'elle détient, elle est chargée du traitement des données. Si, en revanche, elle détient les données à caractère personnel, mais qu'une autre organisation décide et est responsable de ce qu'il advient des données, alors elle est sous-traitant.

Responsable du traitement VS sous-traitant des données : qui est touché par le RGPD ?

La réponse à cette question est les deux. En vertu de la directive 95/46/CE sur la protection des données, seuls les responsables du traitement sont responsables en cas de non-respect de la protection des données. Toutefois, le règlement général de l'UE sur la protection des données (RGPD) établira un équilibre en attribuant également des obligations directes aux sous-traitants de données.

Selon l'article 83, en cas de non-respect, des amendes peuvent être appliquées à la fois aux responsables du traitement et aux sous-traitants. Ces amendes sont imposées en fonction du "degré de responsabilité des différents acteurs, compte tenu des mesures techniques et organisationnelles mises en œuvre par ceux-ci".

Cela a représenté un changement important et a augmenté considérablement le profil de risque des entités, telles que les fournisseurs de services cloud et de centres de données, qui agissent en tant que sous-traitant de données. Toutefois, l'impact a également été ressenti par les responsables qui font appel à leurs services, car l'augmentation du coût de mise en conformité peut entraîner une hausse conséquente du coût de leurs services. Les responsables du traitement doivent également faire preuve d'une vigilance accrue à l'égard des sous-traitants avec lesquels ils s'engagent et s'assurer qu'ils disposent des mesures techniques et opérationnelles nécessaires pour être en conformité avec le RGPD.

Quelles sont les responsabilités du chargé du traitement des données ?

Maintenant que nous avons établi que le chargé du traitement et le sous-traitant partagent les obligations en matière de protection des données, examinons plus en détail leurs responsabilités respectives. 

Le responsable du traitement est le principal responsable de la collecte des données. Ses responsabilités comprennent la collecte du consentement de la personne, le stockage des données, la gestion de la révocation du consentement, l'activation du droit d'accès, etc. Il doit être en mesure de démontrer le respect des principes relatifs au traitement des données à caractère personnel. Ces principes sont énumérés dans le RGPD comme "la licéité, l'équité et la transparence, la minimisation des données, l'exactitude, la limitation du stockage et l'intégrité, et la confidentialité des données personnelles".

Le RGPD fournit des détails supplémentaires sur la manière dont les organisations peuvent démontrer que leurs activités de traitement sont légales.

Si une personne révoque son consentement, le chargé du traitement aura la responsabilité d'initier cette demande. Par conséquent, à la réception de cette demande, il devra demander au sous-traitant des données de supprimer les données révoquées de ses serveurs.

S'il existe plusieurs organisations qui partagent les responsabilités du chargé du traitement des données à caractère personnel, l'EU RGPD prévoit l'existence de responsables communs. Le chargé du traitement commun est censé déterminer leurs responsabilités respectives de contrôle par un accord et fournir le contenu de cet accord aux personnes concernées, en définissant les moyens de communication avec les sous-traitants ayant un point de contact unique. La RGPD rend les contrôleurs conjoints pleinement responsables.

La directive sortante exonère les responsables du traitement de toute responsabilité pour les dommages survenant en cas de force majeure ou de circonstances imprévisibles qui les empêchent d'exécuter leur accord contractuel. Le GDPR ne contient pas une telle exemption, ce qui signifie que les responsables du traitement peuvent endosser le risque dans les cas de force majeure.

Le chargé du traitement devra enregistrer toutes les violations de données. Il est tenu de divulguer toute violation de données aux autorités chargées de l'application du RGPD sur demande. Étant donné que le délai de 72 heures pour signaler les violations de données risque de s'avérer extrêmement difficile pour le chargé du traitement, les experts conseillent aux organisations de nommer une personne chargée d'examiner et de signaler les violations de données, et de mettre en œuvre des politiques et des procédures claires de signalement des violations de données, le cas échéant.

Le chargé du traitement est censé ne travailler qu'avec les sous-traitants qui disposent des mesures techniques et organisationnelles appropriées pour se conformer aux lignes directrices de la RGPD. En d'autres termes, les responsables du traitement des données ne doivent choisir que des sous-traitants qui se conforment aux directives de la RGPD, sous peine de s'exposer eux-mêmes à des sanctions.

Comme les autorités de contrôle appliquent des sanctions aux responsables du traitement en cas d'absence de contrôle approprié, les sous-traitants peuvent se voir obligés d'obtenir des certifications de conformité indépendantes pour rassurer les responsables du traitement qui souhaitent faire appel à leurs services. Ils peuvent également devoir prendre des mesures pour sécuriser les données, telles que le cryptage et la pseudonymisation, la stabilité et le temps de fonctionnement, la sauvegarde et la récupération après sinistre, et des tests de sécurité réguliers. Il est probable que les sous-traitants situés en dehors de l'UE résistent à l'imposition de ces obligations, ce qui pourrait rendre plus difficile pour les responsables du traitement de désigner légalement les sous-traitants qu'ils souhaitent, et entraîner une négociation plus complexe des accords d'externalisation.

Que devra faire un sous-traitant de données pour être conforme au RGPD ?

Il est interdit au sous-traitant d'utiliser les données personnelles qui lui sont confiées à d'autres fins que celles décrites par le chargé du traitement des données. Sur demande, il doit supprimer ou retourner toutes les données personnelles au responsable du traitement à la fin du contrat de service.

Il ne peut transférer des données à caractère personnel à un pays tiers qu'après avoir reçu une autorisation légale.

Il doit obtenir l'autorisation écrite du chargé du traitement avant d'engager un sous-traitant et assume l'entière responsabilité des manquements des ces derniers à l'obligation de respecter le RGPD.

Le sous-traitant doit contribuer aux audits de conformité menés par le chargé du traitement ou son représentant.

En cas de violation des données, le sous-traitant est tenu d'informer les responsables du traitement sans délai excessif.

Un sous-traitant est en outre chargé de tenir un registre des activités de traitement des données s'il remplit l'un des critères suivants :

  • il emploie 250 personnes ou plus,
  • il traite des données "susceptibles d'entraîner un risque pour les droits et libertés des personnes concernées",
  • il traite les données régulièrement,
  • il traite des catégories particulières de données comme indiqué à l'article 9, paragraphe 1
  • il traite des données relatives aux condamnations pénales. 

Ils doivent également examiner les accords existants en matière de traitement des données pour s'assurer qu'ils ont respecté leurs obligations de conformité au titre du RGPD.

Qui est tenu de nommer un DP0 ?

Le concept de "Délégué à la Protection des Données" (DP0 : Data Protection Officer) pour les organisations qui traitent des données à caractère personnel a été une exigence obligatoire dans certains pays et une bonne pratique dans d'autres. Toutefois, le RGPD a rendu la nomination d'un DPO obligatoire pour les organisations, quelle que soit leur taille ou qu'elles traitent des données à caractère personnel en leur qualité de chargé du traitement des données ou de sous-traitant dans certaines circonstances.

Selon le RGPD (article 37), il existe trois principaux scénarios dans lesquels la désignation d'un DPO par un chargé du traitement ou un sous-traitant de données est obligatoire :

  1. le traitement est effectué par une autorité publique ;
  2. les activités principales du chargé du traitement ou du sous-traitant consistent en des opérations qui nécessitent un traitement régulier et systématique des personnes concernées à grande échelle ;
  3. les activités principales du chargé du traitement ou du sous-traitant consistent à traiter à grande échelle des données sensibles ou des données relatives à des condamnations pénales ou à des infractions. 

Les activités essentielles se réfèrent ici aux activités opérationnelles clés d'un responsable ou d'un sous-traitant. Cela n'inclut pas les activités de soutien telles que la paie ou le support informatique qui sont des fonctions accessoires.

Les organisations tiennent compte d'un certain nombre de facteurs lorsqu'elles déterminent si leur traitement est "à grande échelle". Ces facteurs sont les suivants :

  • le nombre de personnes concernées ;
  • le volume de données ou la gamme de données ;
  • la durée du traitement ;
  • l'étendue géographique du processus.

Le contrôle régulier et systématique comprend toutes les formes de suivi et de profilage sur Internet. Il n'est toutefois pas limité à l'environnement en ligne et peut également inclure les activités hors ligne. Par surveillance "régulière", on entend une surveillance continue ou à des intervalles particuliers pendant une période donnée ; récurrente ou répétée à des moments fixes ou encore constante ou périodique. La surveillance "systématique" désigne la surveillance qui se déroule selon un système, préétabli, organisé ou méthodique, qui s'inscrit dans un plan général de collecte de données ou qui est réalisée dans le cadre d'une stratégie.

Il est également important de noter que si une organisation ne répond pas aux exigences du RGPD, mais décide au contraire de nommer volontairement un DP0, alors les mêmes exigences qui s'appliquent aux DPD obligatoires s'appliqueront toujours. Si une organisation décide de ne pas nommer de DPO, il lui est conseillé de documenter clairement ces raisons.

Qualifications d'un délégué à la protection des données

Bien que le RGPD ne précise pas leurs qualifications précises, un responsable de la protection des données est censé avoir une expérience professionnelle et une connaissance suffisante de la législation sur la protection des données. Cette expertise doit être proportionnelle au type de traitement effectué par l'organisation et au niveau de protection que les données personnelles exigent.

Avertissement : Veuillez noter que dans ce blog, nous avons fourni des informations de base concernant le RGPD. WSI n'est pas une autorité légale pour le RGPD et peut seulement offrir des conseils sur les meilleures pratiques à suivre lors de la réalisation de toute initiative de marketing digital. Toutefois, pour obtenir des conseils concernant l'interprétation juridique de cette loi pour votre entreprise, veuillez vous adresser à un responsable juridique ou à un responsable de la protection des données.  

Le RGPD affecte les organisations de nombreuses manières, au-delà de la sécurité des données et des règlements. Les entreprises qui sont touchées doivent demander de l'aide ou des conseils juridiques si nécessaire. Elles doivent au moins disposer d'un plan d'action clair comprenant une formation sur la RGPD, la révision de leurs mécanismes de flux et de traitement des données, un aperçu de leurs pratiques et politiques de protection de la vie privée, la manière dont elles exploitent les données de tiers, etc. 

Si vous avez besoin d'aide pour rendre vos campagnes webmarketing RGPD Compliant, contactez-nous :

CONTACTEZ-NOUS DÈS AUJOURD'HUI

La meilleure connaissance et le meilleur conseil en marketing digital

Le blog sur le marketing digital de WSI est votre point de départ pour obtenir des conseils, des astuces et des pratiques exemplaires sur tout ce qui a trait au marketing digital. Jetez un coup d'œil à nos derniers articles.