GDPR – Obligations des contrôleurs et des processeurs

GDPR – Obligations des contrôleurs et des processeurs

octobre 2, 2017 / by Trueson / GDPR

 

Le GDPR apporte de nombreuses nouvelles règles et obligations. D’autre part, il adapte, spécifie, facilite ou supprime de nombreuses règles de confidentialité précédentes.

Comme dans le cas des règles de confidentialité antérieures, le GDPR distingue deux types d’organisations: les contrôleurs de données (article 4 (7)) et les processeurs de données (article 4 (8)). Il est très important de comprendre si votre entreprise est un contrôleur ou un processeur, car chacun a des obligations différentes en vertu du GDPR. En bref, un contrôleur de données détermine le (s) but (s) et les moyens de traitement des données personnelles, alors qu’un processeur de données traite des données personnelles au nom du contrôleur.

Examine les obligations les plus importantes en vertu du GDPR.

Obligations en tant que contrôleur de données

En tant que contrôleur de données …

  • Vous devez, bien sûr, vous assurer de traiter les données personnelles conformément au GDPR (article 6 (1)).
  • Vous ne pouvez traiter que des données personnelles adéquates, pertinentes et limitées à ce qui est nécessaire aux fins pour lesquelles elles sont traitées (considérant 39).
  • Vous devez mettre en place des mesures de sécurité appropriées pour protéger les données personnelles que vous procédez contre la destruction ou la perte accidentelle ou illégale, la modification, la divulgation ou l’accès non autorisé (considérant 83 et article 32).
  • Vous devez mettre en œuvre des mesures de protection des données, tant au cours de la phase de planification des activités de traitement des données personnelles que pendant la phase de mise en œuvre de tout nouveau produit ou service. C’est ce qu’on appelle le principe de «protection des données par conception» et «protection des données par défaut» (considérant 78 et article 25).
  • Vous devez conserver des registres sur toutes vos activités de traitement impliquant des données personnelles (considérant 82, 89 et article 30).
  • Envisager d’effectuer une évaluation d’impact sur la protection des données « Data Protection Impact Assessment (DPIA) », où un type de traitement risque d’entraîner un risque élevé pour les droits et libertés des personnes physiques (article 35). Notre prochain blog examine plus en détail le DPIA.
  • Vous devrez peut-être désigner un responsable de la protection des données (article 37, 38, 39). Un blogpost ultérieur sera consacré à cette fonction nouvellement introduite.
  • Lorsque Vous travaillez avec un processeur, Vous et votre processeur doivent garantir la conformité avec le GDPR. Cela doit être explicite dans le contrat entre le contrôleur et le processeur.
  • Vous devriez vous familiariser avec les règles relatives aux transferts de données transfrontalières, car celles-ci sont beaucoup plus strictes dans le cadre du GDPR (article 44-50).
  • Vous devez déclarer l’incidence d’une violation de données dans les 72 heures aux autorités et aux personnes concernées (article 33, 34).

Obligations en tant que processeur de données

En tant que processeur de données, la règle la plus importante consiste à traiter les données personnelles selon votre contrat avec le responsable du traitement de données, et d’aucune autre manière (article 29). En vertu de la réglementation précédente, les contrôleurs de données pourraient être tenus pour responsables de leurs propres actions, ainsi que pour ceux de leurs processeurs de données. Dans le cadre du GDPR, les processeurs sont tenus responsables de leurs propres actions.

Si vous êtes un processeur de données, procédez comme suit:

  • Comme pour les contrôleurs de données, vous devez mettre en place des mesures de sécurité appropriées (considérant 83 et article 32), tenir des registres (considérant 82, 89 et article 30), effectuer des évaluations d’impact de la protection des données (article 35), respecter les obligations relatives aux frontières Transferts de données, et peut-être désigner un agent de protection des données (article 37, 38, 39).
  • Si vous souffrez d’une violation de données, cela doit être signalé au contrôleur « sans retard » (article 33). Ce délai devrait être spécifié dans le contrat avec le contrôleur, pour vous assurer que vous êtes tous deux sur la même page sur ce que cela signifie.
  • Si vous souhaitez utiliser un sous-processeur, vous avez besoin du consentement écrit préalable du contrôleur (article 28 (2) et 28 (4)).
  • Si vous pensez que les instructions de son contrôleur sont incompatibles avec les exigences du GDPR, vous devez immédiatement informer votre contrôleur (article 28 (3)).
  • Le contrôleur a le droit de faire un audit de sécurité lorsqu’il souhaite que vous démontriez la conformité avec le GDPR (Article 28 (3) (h)).

En outre, si un processeur entreprend des opérations de traitement de données pour lesquelles il n’y a pas de consentement explicite par le contrôleur, le processeur est considéré par la loi comme un contrôleur lui-même, avec toutes les obligations et conséquences correspondantes.

Qu’est-ce que cela signifie pour vous?

La prochaine étape pour votre entreprise, peu importe si vous êtes un contrôleur ou un processeur, devrait être de vérifier les données personnelles que vous avez déjà et comment vous utilisez actuellement. Même la sauvegarde ou la conservation des données «pour plus tard» est considérée comme un traitement! Examinez attentivement les processus que vous utilisez actuellement. Il est possible qu’ils aient besoin d’une mise à jour pour être conforme aux obligations exigées par le GDPR. Si tel est le cas, une action est nécessaire.

Dans notre prochain blog, nous poursuivrons notre examen des nouvelles obligations en explorant les exigences et les avantages des évaluations d’impact de la protection des données.