Tin tức

RGPD : Obligations des contrôleurs et des transformateurs

Categories: GDPR, News

Le RGPD apporte de nombreuses nouvelles règles et obligations. D’autre part, il adapte, précise, assouplit ou supprime de nombreuses règles des règlements précédents en matière de protection de la vie privée.

Comme pour les précédentes réglementations sur la protection de la vie privée, le RGPD distingue deux types d’organisations : les responsables du traitement des données (article 4, paragraphe 7) et les sous-traitants (article 4, paragraphe 8). Il est très important de comprendre si votre entreprise est un responsable du traitement ou un sous-traitant, car chacun a des obligations différentes en vertu du RGPD. En bref, un responsable du traitement détermine la ou les finalités et les moyens du traitement des données à caractère personnel, tandis qu’un sous-traitant traite des données à caractère personnel pour le compte du responsable du traitement.

Examinons les obligations les plus importantes du RGPD.

Obligations en tant que responsable du traitement des données

En tant que contrôleur de données…

  • Vous devez bien sûr vous assurer que vous traitez les données personnelles conformément au RGPD (article 6, paragraphe 1).
  • Vous ne pouvez traiter que des données à caractère personnel qui sont adéquates, pertinentes et limitées à ce qui est nécessaire aux fins pour lesquelles elles sont traitées (Préambule 39).
  • Vous devez mettre en œuvre des mesures de sécurité appropriées pour protéger les données à caractère personnel que vous traitez contre la destruction ou la perte accidentelle ou illicite, l’altération, la divulgation ou l’accès non autorisés (Préambule 83 et article 32).
  • Vous devez mettre en œuvre des mesures de protection des données, tant pendant la phase de planification des activités de traitement des données à caractère personnel que pendant la phase de mise en œuvre de tout nouveau produit ou service. C’est ce que l’on appelle le principe de la “protection des données dès la conception” et de la “protection des données par défaut” (Préambule 78 et article 25).
  • Vous êtes tenu de tenir des registres de toutes vos activités de traitement de données à caractère personnel (Préambules 82, 89 et article 30).
  • Envisagez de procéder à une évaluation d’impact sur la protection des données (DPIA) lorsqu’un type de traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques (article 35).
  • Notre prochain blog examine la DPIA plus en détail. Vous pouvez être amené à désigner un délégué à la protection des données (articles 37, 38, 39).
  • Un billet ultérieur sera consacré à cette nouvelle fonction. Lorsque vous travaillez avec un sous-traitant, tant vous que votre sous-traitant devez garantir le respect du RGPD. Cela doit être explicite dans le contrat entre le responsable du traitement et le sous-traitant. Vous devriez vous familiariser avec les règles relatives aux transferts transfrontaliers de données, car elles sont beaucoup plus strictes dans le cadre du RGPD (article 44-50).
  • Vous devez signaler tout cas de violation des données dans les 72 heures aux autorités et aux personnes concernées (articles 33 et 34).

Obligations en tant que sous-traitant de données

En tant que responsable du traitement, la règle la plus importante est de traiter les données à caractère personnel conformément à votre contrat avec le responsable du traitement, et en aucune autre manière (article 29). En vertu de la réglementation précédente, les responsables du traitement pouvaient être tenus pour responsables de leurs propres actions, ainsi que de celles de leurs sous-traitants. En vertu de la DRPG, les sous-traitants sont tenus responsables de leurs propres actions.

Si vous êtes une entreprise de traitement de données, tenez compte de ce qui suit:

  • Comme pour les responsables du traitement, vous devez mettre en œuvre des mesures de sécurité appropriées (Préambule 83 et article 32), tenir des registres (Préambules 82, 89 et article 30), effectuer des évaluations d’impact sur la protection des données (article 35), respecter les obligations relatives aux transferts transfrontaliers de données et éventuellement désigner un délégué à la protection des données (articles 37, 38, 39).
  • Si vous êtes victime d’une violation de données, celle-ci doit être signalée au responsable du traitement “sans délai indu” (article 33). Ce délai doit être précisé dans le contrat avec le responsable du traitement, afin de s’assurer que vous êtes tous les deux sur la même longueur d’onde quant à la signification de ce délai.
  • Si vous souhaitez utiliser un sous-traitant secondaire, vous devez obtenir le consentement écrit préalable du responsable du traitement (article 28, paragraphes 2 et 4).
  • Si vous estimez que les instructions de son responsable de traitement sont contraires aux exigences du RGPD, vous devez en informer immédiatement votre responsable de traitement (article 28, paragraphe 3).
  • Le responsable du traitement a le droit de procéder à un audit de sécurité lorsqu’il souhaite que vous démontriez que vous respectez le RGPD (article 28, paragraphe 3, point h)).

En outre, si un sous-traitant entreprend des opérations de traitement de données pour lesquelles il n’y a pas de consentement explicite du responsable du traitement, il est considéré par la loi comme étant lui-même un responsable du traitement, avec toutes les obligations et conséquences correspondantes.

Qu’est-ce que cela signifie pour vous ?

L’étape suivante pour votre entreprise, que vous soyez responsable du traitement ou sous-traitant, devrait consister à vérifier les données à caractère personnel dont vous disposez déjà et la manière dont vous les traitez actuellement. Même la sauvegarde ou la conservation de données “pour plus tard” est considérée comme un traitement ! Examinez attentivement les processus que vous utilisez actuellement. Il est possible qu’ils aient besoin d’une mise à jour pour être conformes aux obligations exigées par le RGPD. Si c’est le cas, des mesures doivent être prises.

Dans notre prochain blog, nous poursuivrons notre examen des nouvelles obligations, en explorant les exigences et les avantages des évaluations d’impact sur la protection des données.

Trueson renforce encore son expertise multicanal
Trueson accueille Jaap Bok, expert en analyses commerciales stratégiques et SFE
Menu