En vertu du Règlement général sur la protection des données (RGPD), toute personne (y compris les organisations) traitant des données à caractère personnel est soumise à un niveau différent d’obligations et de responsabilités , selon qu’elle agit en tant que sous-traitant, responsable ou responsable conjoint du traitement.
RGPD : Consentement
Le règlement européen sur la protection des données personnelles (RGPD) a apporté des précisions quant à la manière dont le consentement à un traitement des données à caractère personnel doit être obtenu (et retiré), en donnant une nouvelle définition et en précisant les exigences dans certaines situations.
Ces dispositions ont fait couler beaucoup d’encre concernant l’utilisation des cookies et autres traceurs mais elles s’appliquent également à tout traitement de données dont la base légale est le consentement (pour plus d’information concernant les bases légales, cliquer ici).
Cet article a pour objectif de fournir un aperçu général des conditions de validité d’un consentement RGPD.
Analyse d’impact relative à la protection des données (AIPD)
L’article 35 du RGPD prévoit qu’une AIPD doit être réalisée lorsqu’un traitement de données est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques et plus particulièrement lors de l’utilisation nouvelles technologies.
Guichet Unique : comment ça fonctionne ?
L’option du guichet unique a été l’un des points les plus discutés lors de la négociation du nouveau règlement sur la protection des données (RGPD). Il a pour objet de réduire la charge administrative des entreprises lorsqu’elles effectuent des activités de traitement de données dans plus d’un État membre.
En effet, dès lors qu’une organisation met en œuvre un «traitement transfrontalier de données», le mécanisme du guichet unique s’applique et cette dernière ne traite qu’avec une seule autorité de protection des données appelée Autorité de contrôle chef-de-file, au lieu de devoir contacter chacune des Autorités des États membres dans lesquels le traitement des données est mis en oeuvre.
Notification des violations de données personnelles (la théorie)
En vertu du règlement général sur la protection des données (GDPR), lorsqu’une violation de données personnelles se produit, les responsables de traitement doivent notifier:
L’autorité de contrôle concernée lorsque la violation peut entraîner un risque pour les droits et la libertés des personnes concernées;
Les personnes concernées lorsque la violation des données à caractère personnel peut entraîner un risque élevé pour leurs droits et libertés.
Registre des traitements de données personnelles
La réglement général sur la protection des données (RGPD) prévoit que les responsables de traitement et les sous-traitants doivent tenir un registre de leurs activités de traitement (article 30 du RGPD). Toutefois, leurs obligations diffèrent en fonction de leurs activités
DPO: contrat, qualification et position du délégué à la protection des données
Lorsqu’un délégué à la protection des données (DPO) est nommé au sein d’une organisation, que ce soit volontairement ou en raison d’une exigence légale (pour plus de détails cliquer ici), certaines conditions relatives à la nomination et aux fonctions du DPO doivent être remplies en vertu du Réglement général sur la protection des données (« RGPD »).
Ainsi, tout responsable de traitement ou sous-traitant qui envisage de nommer un DPO doit porter une attention particulières aux points suivants:
– la relation contractuelle entre le DPO et le responsable de traitement ou le sous-traitant ;
– les compétences requises et le niveau d’expertise du DPO ;
– la position du DPO au sein de l’organisation de l’entreprise et les ressources à allouer.
DPO: Les missions du Délégué à la Protection des Données
En vertu du règlement général sur la protection des données (RGPD), lorsqu’un délégué à la protection des données (« DPO » ou « DPD ») est nommé (cliquez ici pour en savoir plus) ses missions sont, a minima, les suivantes:
• Informer le responsable du traitement ou le sous-traitant et les salariés qui effectuent le traitement, de leurs obligations en vertu de toutes règlementations relatives à la protection des données applicable dans l’Union Européenne (UE) ;
• Veiller au respect du RGPD, aux autres dispositions de protection des données de l’Union ou des États membres et aux politiques du responsable de traitement ou du sous-traitant en ce qui concerne la protection des données personnelles, y compris l’attribution des responsabilités, la sensibilisation et la formation du personnel concerné ainsi que les opérations et les vérifications connexes ;
• Dispenser des conseils, sur demande, en ce qui concerne l’évaluation de l’impact de la protection des données et suivre ses performances ;
• Coopérer avec l’autorité de contrôle ;
• Agir en tant que point de contact pour l’autorité de surveillance sur les questions relatives au traitement, y compris la consultation préalable et à consulter le cas échéant, en ce qui concerne toute autre question.
Le Comité Européen à la Protection des Données (groupement des autorités de protection des données personnelles de l’UE) a apporté des précisions sur ce qui est attendu du DPO dans le cadre de ses missions.
DPO: Quand faut-il désigner un Délégué à la Protection des Données?
La désignation d’un délégué à la protection des données (“DPO” ou « DPD ») est obligatoire ou volontaire selon le type de traitements de données, l’activité et le type d’organisation qu’il le met en oeuvre (privé ou publique) en tant responsable de traitement ou sous-traitant.
Selon l’article 37 (1) du règlement général sur la protection des données (RGPD), la désignation d’un DPO est obligatoire dans trois cas spécifiques:
Lorsque le traitement est mis en oeuvre par une autorité ou un organisme public(cas 1) ;
Lorsque les activités de base du responsable de traitement ou du sous-traitant sont des opérations de traitement qui, du fait de leur nature, impliquent un contrôle régulier et systématique des personnes concernées à grande échelle (cas 2) ; ou
Lorsque les activités de base du responsable de traitement ou du sous-traitant consistent à traiter à grande échelle des catégories particulières de données ou de données à caractère personnel relatives à des condamnations et des infractions pénales(cas 3).
Même dans les cas où la désignation d’un DPO n’est pas obligatoire, il est recommandé de documenter la décision de ne pas nommer un DPO, notamment dans les cas les plus ambigues.
RGPD : Les nouvelles responsabilités des sous-traitants
Le règlement général relatif à la protection des données personnelles applicable depuis le mois de mai 2018 (RGPD) a rendu les sous-traitants partiellement responsable des traitements de données qu’ils mettent en oeuvre pour le compte des tiers. Leurs relations avec les tiers et les autorités s’en trouvent, par conséquent, modifiées dans la mesure où il ne bénéficient plus d’une totale immunité, notamment en matière de sécurité des données.