Category: DPO

Responsable de traitement, sous-traitant, responsable conjoint : Ce qu’il faut savoir

Quelle responsabilité assumez-vous dans les traitements de données que vous mettez en œuvre ? Le responsable de traitement est en première ligne, il doit respecter l’ensemble des exigences légales. Le sous-traitant est soumis aux instructions de son client, il veille à la sécurité du traitement. Les responsables conjoints se partagent quant à eux la charge de la conformité RGPD.

Responsable de traitement, un rôle en première ligne

Le responsable de traitement est l’entité commanditaire. Il détermine les objectifs poursuivis par le traitement et la manière dont les données seront exploitées. Cette maîtrise complète induit la responsabilité de soumettre l’ensemble des composantes du traitement aux exigences légales. Une responsabilité qui concerne l’activité interne de vos services mais aussi les prestations de services externalisées.

Qu’est-ce que le responsable de traitement ?

Le responsable de traitement, c’est celui qui met en œuvre le traitement de données à caractère personnel pour ses besoins propres (gestion du personnel, relation client, campagnes marketing…). Le donneur d’ordre en quelque sorte.

Il détermine les raisons (finalités) pour lesquelles des données sont traitées.

Il définit aussi les moyens concrets de traiter les données pour atteindre les objectifs recherchés :

  • les types de données qui seront collectées, les catégories de personnes concernées (prospects, clients, salariés…), la durée du traitement, les entités ou services qui auront un accès aux données…
  • Comment les solutions informatiques utilisées devront être configurées, comment les données seront utilisées.
  • Comment les données seront stockées et dans quel pays, les conditions de sécurité pour le stockage et les accès aux données…

RGPD – Quelles sont les obligations du responsable de traitement ?

Le responsable de traitement prend en charge l’ensemble des obligations légales imposées par le Règlement européen RGPD, notamment :

  • l’intégration des exigences légales dans les cahiers des charges lors de la conception des projets (par exemple minimiser la collecte au strict nécessaire, définir des durées de conservation adéquates…) ;
  • une démarche de transparence totale concrétisée par la rédaction d’une politique de confidentialité et par des mentions d’information ;
  • l’application d’une politique de sécurité à l’état de l’art ;
  • la réponse aux réclamations liées aux données personnelles (droit d’accès, à l’effacement, opposition à la prospection commerciale…).

Cette responsabilité complète impacte jusqu’à l’externalisation de prestations de services :

  • Le responsable de traitement ne doit choisir que des sous-traitants aptes à respecter les exigences légales ;
  • Il doit correctement encadrer, au sein d’un contrat, les prestations de ses sous-traitants ;
  • Revue de la politique de sécurité, audits récurrents… Il doit s’assurer que les engagements contractuels sont respectés, dans les faits.

Sous-traitant, aux ordres du responsable de traitement

Le sous-traitant est l’entité qui met en œuvre des traitements de données externalisés par son client. Il agit dans un cadre contractuel défini qui précise la manière dont les données pourront être utilisées. Ce statut implique qu’il n’assume pas toute la responsabilité du traitement, ce qui n’empêche pas des obligations non négligeables.

Qu’est-ce qu’un sous-traitant au sens du RGPD ?

Le sous-traitant est une entité qui traite des données personnelles pour le compte du responsable de traitement :

  • Il fournit et héberge des solutions informatiques permettant de manipuler des données (logiciel de gestion du personnel, outil de marketing automation…).
  • Il exécute des prestations de services (de call center, par exemple) que ses clients choisissent d’externaliser.

Quelles sont les obligations RGPD du sous-traitant ?

Depuis le Règlement européen relatif à la protection des données (RGPD), les obligations du sous-traitant comprennent notamment :

  • Le respect strict des instructions du client ;
  • Une obligation de confidentialité ;
  • L’accord préalable du client pour le recours à des sous-traitant ;
  • Des obligations de sécurité ;
  • La collaboration avec le client. Le sous-traitant facilite la réalisation d’études d’impacts DPIA – AIPD, la gestion des demandes d’exercices de droits, la notification des violations de données du client à l’autorité de régulation…

Responsable conjoint, le deuxième responsable du traitement

Cette fois, le traitement est déterminé, dans ses finalités comme dans ses moyens, non par une mais par plusieurs entités. Chaque responsable conjoint y joue ainsi un rôle indissociable de l’autre partie. Cela implique une responsabilité partagée dans la mise en œuvre des obligations légales encadrant le traitement des données.

Qu’est-ce qu’un responsable conjoint du traitement ?

On est responsable conjoint parce que :

Une analyse au cas par cas permettra donc de déterminer, dans une situation donnée, si les acteurs impliqués sont ou non responsables conjoints.

Quelles sont les obligations RGPD du responsable conjoint de traitement ?

Assumer une responsabilité conjointe signifie devoir prendre en charge certaines exigences légales. A savoir :

  • Formaliser un engagement (contrat) afin de répartir entre les responsables conjoints la prise en charge des obligations légales. Il faut par exemple déterminer :
    • qui informe les personnes concernées de la manière dont les données sont traitées ;
    • qui prend en charge les demandes d’exercice de droits et comment.
  • Mettre l’essence de ces engagements à disposition des personnes concernées, sur demande par exemple. Cette notion floue recouvre un niveau de transparence comparable à ce que l’on trouve dans une politique de confidentialité.
  • Identifier qui sera en contact avec les services de la CNIL.

Conclusion : Votre statut détermine votre responsabilité vis-à-vis de la conformité RGPD

Responsable de traitement ? Responsable conjoint ? Sous-traitant ? Votre qualification juridique détermine :

  • votre niveau de responsabilité ;
  • les obligations que vous devrez respecter, y compris dans votre relation avec vos fournisseurs et prestataires.

S’il est préférable de définir ce point dans un contrat, l’autorité de régulation mènera sa propre analyse de la situation pour s’assurer de ce qu’il en est en pratique.

 

Article rédigé par Maxime Jaillet

RGPD – Faut-il désigner un Délégué à la Protection des Données ?

Avez-vous désigné un Délégué à la Protection des Données au sein de votre organisation ?  Acteur-clé de la conformité au RGPD des activités impliquant du traitement de données personnelles, sa désignation est recommandée voire parfois obligatoire. Le Data Protection Officer facilite en effet la création d’une culture informatique et libertés en interne, l’intégration des exigences légales dans les projets et la maîtrise du risque réglementaire.

Délégué à la Protection des Données, pour qui ?

La question de désigner un Délégué à la Protection des Données se pose pour toute entité traitant des données à caractère personnel. Ce que votre entité soit une entreprise utilisatrice d’outils informatiques, un fournisseur de solutions ou un sous-traitant. Cette désignation est même obligatoire dans certains cas, notamment pour les instances publiques, les sociétés technologiques ou traitant des données sensibles.

Entités clientes et sous-traitants, tous concernés par le RGPD

Le Règlement européen 2016/679 du 27 avril 2016 (RGPD) s’applique à toute entité réalisant des traitements de données à caractère personnel :

  • Les entreprises, associations ou organismes publics au titre de leurs activités courantes (la relation avec les clients/administrés ; la gestion du personnel…) ;
  • Les fournisseurs de solutions et prestataires de services appelés à manipuler des données pour le compte de leurs clients.

Selon l’ampleur de la tâche et l’importance des traitements opérés, il peut donc être logique de désigner un Délégué à la Protection des Données qui sera le référent en interne sur ces questions.

Le DPO, une obligation légale pour les instances publiques

Les autorités publiques et les organismes publics sont tenus de désigner un Délégué à la Protection des Données :

  • les collectivités territoriales (ex : communes, conseils départementaux ou régionaux…) ;
  • les établissements publics, nationaux ou locaux ;
  • les établissements scolaires et musées nationaux ;
  • les services de l’administration centrale de l’État.

A l’inverse, cette désignation est facultative :

  • pour les juridictions agissant dans l’exercice de leurs fonctions ;
  • pour les organismes privés chargés d’effectuer une mission de service public ou d’exercer l’autorité publique.

Le DPO, un impératif pour les sociétés technologiques

Un DPO devra également être désigné si l’activité cœur de cible de l’entité conduit à opérer à grande échelle un suivi régulier et systématique.

Tel est le cas notamment des start-up et sociétés commercialisant, à destination de clients B2C ou B2B, des produits et services technologiques :

  • un opérateur exploitant un réseau de télécommunication ;
  • le fournisseur d’une application mobile de géolocalisation et de calcul d’itinéraires.

La base des adhérents d’une fédération sportive ou celle des clients d’une société de transport urbain seront considérées comme faisant l’objet un traitement de données à grand échelle. Ce n’est pas le cas pour un petit commerce local (boucher ou fleuriste par exemple) ou une association de quartier.

Le DPO obligatoire en cas de traitements de données sensibles

La désignation d’un Délégué à la Protection des Données est encore obligatoire pour des entités dont l’activité cœur de cible implique la manipulation à grande échelle de données sensibles :

  • données de santé ;
  • données révélant des opinions politiques, des convictions religieuses ou philosophiques ou une appartenance syndicale ;
  • données relatives à la vie et l’orientation sexuelles ;

Tel est le cas par exemple pour :

  • une association de lutte contre une maladie cardiovasculaire ;
  • un hôpital ;
  • une société proposant des prestations de médecine du travail.

A l’inverse, si vous êtes un avocat ou un médecin exerçant à titre individuel, la désignation d’un DPO ne vous sera pas imposée.

Pourquoi désigner un Délégué à la Protection des Données ?

Le Délégué à la Protection des Données joue un rôle de facilitateur. Il contribue à propager une culture informatique et libertés globale dans votre entreprise. Il accompagne également l’embarquement des exigences réglementaires dans tous vos projets. Enfin, il facilite la relation avec les plaignants comme avec l’autorité de régulation.

Pour maîtriser la responsabilité découlant des traitements de données à caractère personnel

La réglementation informatique et libertés instaure des obligations légales qui sont assorties d’une sanction en cas de manquement.

Cette responsabilité est d’autant plus forte qu’elle concernera les traitements de données mis en œuvre :

  • par vos services ;
  • par vos fournisseurs et sous-traitants pour votre compte.

En découle un risque que vous maîtriserez mieux en désignant un Délégué à la Protection des Données.

Pour garantir une conformité globale de votre activité

C’est un niveau global de conformité des traitements de données effectués qui doit être recherché. Vous mènerez pour cela une analyse des risques et déterminerez les mesures de protection et de sécurité appropriées pour y répondre.

Le DPO facilite la recherche de ce résultat.

Pour imprégner tous vos projets du privacy by design

Le Délégué à la Protection des Données sera régulièrement consulté par vos services.

Il facilitera ainsi la mise en conformité RGPD progressive des activités existantes et l’embarquement des exigences réglementaires dans les nouveaux projets dès leur conception. Une démarche dite de privacy by design sera ainsi mise en place.

Pour gérer la relation avec les plaignants et l’autorité de contrôle

Collaborateurs, administrés, clients, prospects… Tous ont des droits sur les données personnelles que vous traitez. Un Délégué à la Protection des Données s’assurera que ces réclamations sont correctement prises en charge. Il limitera ainsi le risque que l’une d’elle ne fasse l’objet d’une plainte auprès de la CNIL.

Il est d’ailleurs l’interlocuteur-référent de la CNIL :

  • pour répondre à ses questions et observations ;
  • pour faciliter la bonne réponse à apporter en cas de contrôle de vos activités.

Conclusion : Le Data Protection Officer, une obligation pour votre activité ?

Le Délégué à la Protection des Données est un interlocuteur incontournable pour l’intégration des exigences informatiques et libertés dans vos projets.

Vous devrez déterminer s’il est nécessaire d’en désigner un compte tenu de votre activité. Dans tous les cas, il facilitera l’installation d’une démarche de privacy by design. A ce titre, il contribue à renforcer la confiance que vous accordent vos clients, prospects, administrés et collaborateurs.

Déclarations d’impôts de plus de 2000 contribuables piratées !

Via des boîtes mails piratées, des personnes ont pu modifier des feuilles d’impôts en juin 2019. Ajout de travaux d’isolation par exemple pour obtenir un remboursement des services fiscaux, ou encore modification des coordonnées bancaires.
Afin d’éviter que cette mauvaise blague ne se reproduise, le site des impôts doit ajouter une question secrète  afin de renforcer la sécurité de l’accès au compte.

Source : https://www.lemonde.fr/pixels/article/2019/08/20/les-declarations-d-impots-de-plus-de-2-000-contribuables-francais-modifiees-par-un-pirate_5501091_4408996.html