Après notre article GDPR : quels nouveaux droits pour vos données personnelles ?, nous poursuivons sur les apports du Règlement Général sur la protection des données. Outre l’approfondissement des droits des personnes dont les données à caractère personnel sont traitées, le Règlement Général sur la Protection des Données Personnelles pose un large éventail d’obligations, à la charge des entités traitant les données.
Pour connaître l’essentiel de GDPR très rapidement, je vous invite aussi à découvrir notre vidéo : GDPR : 1 minute pour comprendre et passer à l’action.
Les obligations des responsables du traitement et des sous-traitants
Que ce soit par un hôtel qui requiert certaines informations en vue d’une réservation, ou un site de rencontre qui soumet l’inscription à la fourniture de multiples informations, les données à caractère personnel sont couramment traitées par des entreprises. Le Règlement vient encadrer ce traitement, en imposant diverses obligations aux entités traitant les données. Ces obligations sont pour certaines à la charge du responsable du traitement seul, et pour d’autres, partagées entre ce dernier et le sous-traitant.
Obligations générales
Le responsable du traitement doit être en mesure de démontrer que les traitements qu’il opère ou fait opérer le sont dans le respect du Règlement (c’est le principe d’Accountability). Pour ce faire, il peut notamment faire appliquer un code de conduite ou des mécanismes de certification (Art 24).
Le responsable du traitement est également tenu de mettre en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement, des mesures permettant le respect du Règlement (privacy by design), ainsi que d’adopter des mesures permettant de garantir, par défaut, que le traitement soit limité à ce qui est nécessaire (privacy by default) (Art 25).
>> LIRE AUSSI : [LIVRE BLANC] GDPR : en route pour la conformité <<
Lorsqu’il est établi en dehors de l’UE, le responsable du traitement ou le sous-traitant doit désigner un représentant établi au sein de l’UE (Art 27).
Le responsable du traitement et le sous-traitant doivent tenir un registre détaillé des opérations de traitement, registre qui peut être mis à disposition de l’autorité de contrôle à tout moment, et coopérer avec celle-ci (Art 29 et 30).
Obligations spécifiques
Le responsable du traitement est tenu de mettre en œuvre des mesures techniques et organisationnelles permettant de garantir la sécurité du traitement, telles que la pseudonymisation et le chiffrement des données (Art 32).
En outre le responsable du traitement doit notifier l’autorité de contrôle compétente de toute violation susceptible d’engendrer des risques pour les droits et libertés des personnes et ce dans les meilleurs délais. Il doit également notifier les personnes concernées, à moins qu’il n’ait mis en œuvre des mesures. Le sous-traitant quant à lui doit notifier toute violation des données au responsable du traitement, dans les meilleurs délais (Art 33 et 34).
Lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés, le responsable du traitement effectue une analyse de l’impact des opérations de traitement envisagées sur la protection des données. Cette analyse est requise en particulier en cas de traitement automatisé (y compris profilage) ou de traitement de données visées aux articles 9 et 10 (Art 35).
Nommer un Délégué à la Protection des Données
Le responsable du traitement et le sous-traitant doivent nommer un délégué à la protection des données (Data Protection Officer/DPO), dont le rôle est de mettre en œuvre la conformité au Règlement. Ils sont tenus à cette obligation lorsque :
- le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions,
- les activités de base consistent en des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées ou en un traitement à grande échelle de catégories données visées aux articles 9 et 10 (Art 37 à 39).
>> LIRE AUSSI : [LIVRE BLANC] GDPR : en route pour la conformité <<
Des codes de conduites et des mécanismes de certification peuvent être mis en place afin de contribuer à la bonne application du Règlement (Art 40 à 43).
Le responsable du traitement ou le sous-traitant ne peut transférer des données vers des pays tiers ou à des organisations internationales qu’en présence d’une décision de la Commission (décision d’adéquation), ou s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. En dehors de ces cas, sauf exceptions prévues par le règlement (à l’article 49), le transfert n’est possible que si ce transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes, et si le responsable du traitement a évalué toutes les circonstances entourant le transfert et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données (Art 45 à 50).
Sanction du non-respect des obligations posées par GDPR
L’une des nouveautés majeures du Règlement est la mise en place d’une amende financière dont le montant peut s’élever à 20 000 000 € ou à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (Art 83).
La mise en conformité des sociétés aux nouvelles exigences du Règlement, devant être effective d’ici un an, apparait donc comme un chantier important et qui requerra de grands efforts. Business & Decision est là pour vous accompagner dans ce processus et dans la quête de vos objectifs en termes de protection des données personnelles. Contactez-nous.
Votre adresse de messagerie est uniquement utilisée par Business & Decision, responsable de traitement, aux fins de traitement de votre demande et d’envoi de toute communication de Business & Decision en relation avec votre demande uniquement. En savoir plus sur la gestion de vos données et vos droits.