Le responsable du traitement
Nous l’avons vu, le responsable du traitement est le responsable de l’ensemble des opérations, procédures et application du droit vis à vis des usagers d’un organisme public ou privé.
Il est possible de nommer un ou plusieurs responsables de traitement au sein d’un organisme (le RGPD parle alors de « coresponsabilité » et de « responsables de traitements conjoints »). Dans ce cas, la répartition des rôles et des responsabilités de chacun doit être clairement définie dans un contrat ou une convention.
D’autre part, les personnes concernées par ce traitement conjoint doivent en être informées et savoir qui contacter pour exercer ses droits.
Le délégué à la protection des données (DPO)
Le DPO informe et conseille les organismes, contrôle la conformité des opérations et joue le rôle d’interface entre l’organisme qui collecte et traite des DP, les personnes concernées par ces traitements et les autorités de contrôle.
Il peut être nommé en interne ou externalisé selon certaines conditions, il peut également être mutualisé entre plusieurs organismes. Il peut être désigné à temps plein ou à temps partiel.
Ses coordonnées doivent être rendues publiques pour faciliter les démarches des personnes concernées par les traitements de DP et les organismes de contrôle.
Attention : la nomination d’un DPO est obligatoire dans 3 cas :
- si la structure est une autorité nationale, régionale, locale ou un organisme public,
- si la structure est un organisme privé dont les activités de base l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
- si la structure est un organisme privé dont les activités de base l’amène à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales ou à des infractions.
Son rôle central est vaste et majeur : informer et former les acteurs des traitements de données à caractère personnel, avoir un rôle consultatif, contrôler les procédures en interne, rendre des rapports d’audits, participer en amont à la mise en place d’un nouveau traitement de DP, rédiger les documentations et mentions d’informations ainsi que les registres de traitement…
Au regard de la loi, ce n’est pas le DPO qui peut être sanctionné en cas de manquement mais bien le responsable des traitements.
Pour nommer un DPO, l’organisme doit veiller à ce que celui-ci ait les qualités professionnelles, les connaissances et aptitudes nécessaires, les
moyens matériels et organisationnels, et le positionnement nécessaire à son activité (notamment être indépendant, pouvoir agir en toute impartialité et être à l’abri de tous conflits d’intérêts). Il doit être opérationnel dès sa nomination.
La question des sous-traitants
Un sous-traitant est un organisme qui traite des données personnelles pour le compte et sur instructions d’un autre organisme, dans le cadre d’un service ou d’une prestation.
Quelques exemples :
- prestataires informatiques,
- services d’hébergement,
- services de maintenance informatique
- services de télésurveillance,
- sociétés du numérique qui effectuent un traitement sur les données,
- organismes de publicité, de communication ou de prospection,
- services de comptabilité, gestion de paie, etc…
Les obligations du responsable du traitement
Il appartient aux responsables du traitement de veiller à bien choisir leurs sous-traitants (compétence, confiance, procédures conformes…) et à conclure avec chaque sous-traitant un contrat de sous-traitance.
Les obligations du sous-traitant
- Transparence et traçabilité
Un contrat doit être établi entre l’organisme et sous-traitant qui détaille les obligations de chacun, les instructions reçues du donneur d’ordre (de façon à permettre au sous-traitant de prouver qu’il a agi sur instructions documentées du responsable du traitement).
Le sous-traitant doit être en capacité de fournir des preuves de sa conformité à tout moment aux responsables de traitement pour lesquelles il agit et aux autorités de contrôle.
Par ailleurs, le sous-traitant doit tenir un registre des catégories d’activités de traitement qui recense ses clients et les traitements qu’il effectue pour leur compte - Sécurité des données traitées
Concrètement, le sous-traitant est soumis aux mêmes obligations de protection et de sécurisation que les responsables de traitement. Il doit donc être en conformité avec les obligations définies dans le RGPD et être en mesure de le prouver. - Encadrement de la sous-traitance ultérieure (si le sous-traitant fait appel lui-même à un sous-traitant)
Par exemple, demander au donneur d’ordre de fournir une autorisation écrite à une sous-traitance ultérieure. - Accompagnement du responsable du traitement
Le sous-traitant doit accompagner le responsable du traitement dans ses tâches et obligations, l’informer en cas de violation de données ou de tout incident lié à la sécurité des DP, lui transmettre les demandes d’exercice de droits reçues des usagers du services, etc…
Pour plus de détails sur les recommandations du RGPD en cas de sous-traitance, je vous invite à consulter l’Article 28 du RGPD.