Les responsables du traitement et les sous-traitants sont les deux principaux types de parties qui participent au traitement et, en vertu du RGPD, aux devoirs concernant la protection des données personnelles, il est donc clair qu’ils sont partout dans le RGPD. Les responsables du traitement doivent garantir les droits des personnes concernées.
Dans la pratique, les responsables du traitement et les sous-traitants travaillent main dans la main. La définition officielle d’un responsable du traitement selon le RGPD, telle que définie à l’article 4 du texte du RGPD, est la suivante : le responsable du traitement est la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.
Le responsable du traitement est simplement l’organisation ou la personne qui dispose de données personnelles rgpd pour une multitude de raisons possibles : pour le marketing, les ressources humaines, la recherche scientifique, le service à la clientèle, enfin, pour à peu près tout ce que vous pouvez imaginer. Mais la simple étendue des responsabilités du RGPD est une autre affaire notamment pour les petites entreprises. Voici un regard sur le responsable du traitement des données.
La place du contrôleur des données
Dans un sens, un responsable du traitement est un sous-traitant parce que le simple fait d’utiliser ou de stocker des données à caractère personnel, ce que font toutes les organisations, même si ce n’est que temporairement, relève déjà de la définition extrêmement large du traitement des données à caractère personnel (et le fait qu’un responsable du traitement les « possède » signifie qu’il les a acquises d’une manière ou d’une autre, en fonction de la finalité et du contexte, l’acquisition étant également un traitement).
Néanmoins, en ce qui concerne les sous-traitants, le RGPD désigne les organisations ou les personnes qui sont chargées d’une ou plusieurs activités de traitement dans le cadre d’un accord contractuel. La relation entre le responsable du traitement et le sous-traitant est donc simplement une relation d’affaires dans laquelle vous ne pouvez pas tout faire vous-même et, en tant que responsable du traitement, vous utilisez de facto de nombreux sous-traitants pour faire les choses et être en mesure de faire ce que vous devez faire.
Dans le grand schéma du RGPD, on pourrait dire qu’il existe une sorte de hiérarchie. Au sommet, on trouve toutes les organisations et instances de l’UE qui jouent un rôle important pour le Conseil européen de la protection des données, puis les autorités nationales de contrôle ou les autorités nationales de protection des données (APD), ensuite tous les sous-traitants avec lesquels un responsable du traitement travaille et une série de sous-traitants secondaires potentiels avec des règles spécifiques concernant le moment où un sous-traitant peut les désigner ou non. Lorsqu’un sous-traitant veut travailler avec des sous-traitants secondaires, il ne peut le faire que si le responsable du traitement le sait et l’accepte. Il existe des règles très strictes à cet égard et le responsable du traitement est le chef de file.
Il est évident que, selon le champ d’application, les sous-traitants travaillent avec plusieurs responsables du traitement. Les responsables du traitement font également affaire avec d’autres responsables du traitement et les responsables du traitement traitent également des données à caractère personnel (et peuvent être à la fois responsable du traitement et sous-traitant). Dans cette vision hiérarchique, il faudrait mettre la personne concernée au bas de l’échelle, mais ce serait un peu bizarre car le RGPD concerne la protection des droits et des libertés des personnes concernées.
En fin de compte, le RGPD concerne principalement les relations entre le responsable du traitement et la personne concernée au niveau des données personnelles et tous les autres acteurs, des sous-traitants aux autorités de contrôle et des personnes comme le DPD (délégué à la protection des données), ont leur place, leur rôle et leurs devoirs dans le grand cadre juridique qui régit ces relations, ce qu’est réellement le RGPD.
Responsabilités du responsable du traitement dans le cadre du RGPD
C’est précisément parce que les contrôleurs (et dans une moindre mesure les transformateurs) sont si souvent mentionnés dans le texte du RGPD qu’il n’est pas toujours facile de savoir quelles sont leurs fonctions.
C’est là qu’un aperçu des principaux rôles, devoirs et droits (ils ont aussi des droits) des responsables du traitement des données s’avère utile. Bien sûr, nous ne pouvons pas couvrir tout ce qui concerne le responsable du traitement des données (enfin, nous pourrions mais cela deviendrait vraiment long), alors voici un résumé de certaines des principales choses à savoir sur le responsable du traitement du RGPD.
Le rôle du contrôleur des données dans la conformité et la démonstration de la conformité
La première chose qu’un contrôleur doit faire est de se mettre en conformité avec le RGPD. C’est plus facile à dire qu’à faire, mais c’est ce que c’est. Pour se conformer au RGPD, la première étape est la sensibilisation au RGPD: qu’est-ce que le RGPD, qu’est-ce que cela signifie pour un contrôleur et comment commencer ?
Le responsable du traitement est tout d’abord responsable de tous les principes concernant le traitement des données personnelles tels qu’ils sont mentionnés dans l’article 5 du RGPD. Il doit d’abord respecter ces principes. Mais il ne suffit pas d’être conforme, le contrôleur doit également être en mesure de démontrer la conformité avec les principes de RGPD. Il existe de nombreuses façons de le faire et il existe même des moyens explicites de démontrer la conformité qui sont moins connus mais clairement reconnus comme tels par le RGPD. Deux façons de démontrer la conformité au RGPD qui sont peut-être moins connues sont l’adhésion à un code de conduite et la demande d’une DPIA (Data Protection Impact Assessment) pour des activités de traitement de données spécifiques (principalement lorsque de nouvelles technologies telles que l’IdO sont sur le point d’être utilisées).
Toutes les activités de traitement des données ne sont pas identiques. Un responsable du traitement doit examiner toutes les activités de traitement des données et voir si elles répondent aux principes du traitement des données à caractère personnel et si la finalité et la nature des données à caractère personnel et de l’activité de traitement ne nécessitent pas plus d’attention que d’autres car le RGPD voit des risques plus élevés lorsqu’elles sont planifiées.
Quoi qu’il en soit, revenons à ces principes de traitement des données personnelles avant d’aller plus loin. Les données à caractère personnel doivent être traitées conformément à ces principes, qui s’appliquent également aux sous-traitants, et ne tiennent pas compte des catégories particulières de données.
Ils sont parfois appelés les principes du traitement licite, bien que le traitement licite, loyal et transparent ne soit que l’un de ces principes (et ne doit pas être confondu avec les fondements juridiques de la licéité du traitement des données à caractère personnel).
Lorsque l’on résume les principes du traitement des données à caractère personnel, on parle souvent des huit principes de protection des données (personnelles). D’autres parlent de six principes parce que c’est le nombre qui est mentionné au paragraphe 1 de l’article 5 du RGPD, chacun avec un nom résumant le principe. La raison pour laquelle vous verrez souvent 8 principes au passage est liée à la loi britannique de 1998 sur la protection des données. En fait, tous ces 8 principes se retrouvent dans les 6 principes de l’article 5 du RGPD et dans d’autres articles du RGPD.
Notez que ce qui est différent avec le RGPD est que les CONTRÔLEURS doivent démontrer ou montrer qu’ils sont conformes et comment, comme mentionné précédemment. C’est le deuxième paragraphe de l’article 5 et en fait, on pourrait appeler cela un septième principe, car la responsabilité, comme on l’appelle, revient chaque fois dans le texte du RGPD. Si vous commencez vraiment à creuser, vous pourriez aller plus loin et proposer une liste de principes supplémentaires, mais restons simples. Vous trouverez ci-dessous un aperçu de ces six principes et de la manière dont la responsabilité et le respect des règles s’appliquent à tous du point de vue de l’obligation de rendre compte du contrôleur.
Responsabilités des responsables du traitement : mesures appropriées de conformité et de protection des données par conception et par défaut.
L’article 24 stipule ce qui suit concernant ces responsabilités des contrôleurs.
Le responsable du traitement – titulaire d’une certification DPO – doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer et pouvoir démontrer que le traitement est effectué conformément aux RGPD (en soulignant à nouveau le fait que les responsables du traitement doivent démontrer la conformité et, bien sûr, ont fait tout ce qu’il fallait pour être conformes aux RGPD).
Parmi les mesures que le responsable du traitement doit prendre figure la mise en œuvre de politiques appropriées de protection des données en fait partie.
Et, afin de démontrer leur conformité, les responsables du traitement peuvent utiliser des éléments spécifiques qui les y aident, tels que les codes de conduite approuvés mentionnés précédemment, mais aussi des mécanismes de certification ou des techniques de pseudonymisation.
Un autre devoir du responsable du traitement est de s’assurer que les principes de protection des données par conception et par défaut du RGPD sont activés. Cela implique à nouveau de prendre les mesures techniques et/ou organisationnelles appropriées mentionnées, mais ici le RGPD va un peu plus loin (article 25) :
- Recommander l’utilisation de la pseudonymisation,
- Souligner les mesures visant à mettre en œuvre les principes de protection des données mentionnés précédemment,
- Mettre l’accent sur les mesures relatives au fait que seules les données à caractère personnel nécessaires à chaque finalité de traitement sont effectivement traitées avec des détails supplémentaires.
Il existe davantage de responsabilités pour les responsables du traitement des données : de la tenue de registres et de l’octroi de droits aux personnes concernées à des obligations spécifiques
Les responsables du traitement doivent également tenir des registres de leurs activités de traitement (article 30 du RGPD) et, ce faisant et lors de la préparation de nouvelles activités de traitement, ils doivent tenir compte des fondements juridiques appropriés pour un traitement licite, comme mentionné précédemment.
Bien entendu, les responsables du traitement doivent également :
- Travailler avec les autorités de contrôle,
- Vérifier s’ils doivent nommer un DPD et habiliter ce dernier,
- S’acquitter de leurs obligations de notification des violations de données à caractère personnel en cas de violation de ce type,
- Veiller à ce qu’en cas de doute, ils recourent aux méthodes appropriées pour vérifier si une nouvelle activité de traitement de données envisagée est susceptible d’entraîner des risques élevés ou non (lorsque l’AIPD susmentionnée mais aussi le mécanisme de consultation préalable entre en jeu),
- Choisir les transformateurs appropriés avec l’obligation claire de ne travailler qu’avec des transformateurs qui ont mis en place les bonnes garanties,
- Tenir compte des catégories de données spéciales et des règles particulières concernant les données à caractère personnel des enfants, y compris la nécessité de voir si un consentement explicite est nécessaire lorsque le consentement est la base juridique d’un traitement licite,
- S’acquitter de leur important devoir d’information, même lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (article 14 du RGPD),
- Faciliter l’exercice des droits des personnes concernées (article 12 du RGPD),
- Être responsable des dommages causés par un traitement qui enfreint le RGPD et entraîne des amendes RGPD ou plus (article 82 du RGPD).