Le Règlement général sur la protection des données (RGPD) est un monstre réglementaire qui fait parler de lui depuis plusieurs mois. En effet, son entrée en vigueur au 25 mai 2018 se rapproche et les entreprises commencent seulement à prendre conscience des travaux à réaliser pour s’y conformer.
Cette conformité sera capitale, bien que des délais d’adaptation plus larges seront probablement admis, car des sanctions alourdies sont prévues par le RGPD. Les entreprises mettant en oeuvre un ou plusieurs traitements de données personnelles doivent donc désigner un responsable du traitement : voici les 3 choses à savoir sur le sujet.
Le responsable du traitement : une personne morale ou physique
Toute entreprise qui met en oeuvre en son sein un ou plusieurs traitements de données personnelles doit désigner un responsable du traitement. Ce responsable peut avoir sous sa houlette un ou plusieurs traitements différents en même temps.
Le RGPD définit à son article 1 le responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Une personne morale peut donc être responsable du traitement, ce n’est pas nécessairement un individu.
C’est à ce responsable qu’il appartient de mettre en oeuvre toutes les mesures appropriées pour démontrer que le ou les traitements dont il a la responsabilité sont effectués en conformité avec le RGPD.
On peut également noter que plusieurs personnes peuvent être désignées responsables d’un seul et même traitement de données. Dans ce cas, leur responsabilité est conjointe : l’article 26 du RGPD souligne qu’il leur incombe de définir leurs obligations respectives par un accord conclu entre eux. Les personnes dont les données font l’objet du traitement géré conjointement doivent se voir communiquer les grandes lignes de l’accord répartissant les obligations de chaque responsable.
Le responsable du traitement peut faire appel à un sous-traitant
Une entreprise peut demander à un sous-traitant la mise en oeuvre d’un traitement de données personnelles pour son compte. Le responsable du traitement est toujours rattaché à l’entreprise mais c’est le sous-traitant qui est chargé de réaliser le traitement.
Dans un tel cas, l’article 28 du RGPD indique qu’un contrat doit nécessairement régir le traitement effectué par un sous-traitant : ce contrat doit encadrer la réalisation du traitement (objet, durée, nature, finalités, type de données traitées, obligations et droits du responsable du traitement etc…). C’est toutefois le responsable du traitement initial qui reste le premier à mettre sa crédibilité en jeu. Un sous-traitant ne peut être qualifié de responsable du traitement que dans le cas où il définirait lui-même les finalités et moyens du traitement mis en oeuvre.
Signalons que le responsable du traitement qui a été mis en cause et a intégralement réparé un préjudice subi peut réclamer au sous-traitant le remboursement de la part de la réparation correspondant à sa part de responsabilité dans le dommage.
Le délégué à la protection des données peut-il être responsable du traitement ?
Bien que cela ne soit pas écrit noir sur blanc dans le RGPD, le délégué à la protection des données ne peut pas être le responsable du traitement. La raison est simple : son travail est de faire en sorte que le traitement reste conforme en tous points avec le droit européen et national, il ne doit pas recevoir d’instructions de la part du responsable du traitement ou du sous-traitant concernant l’exercice des missions qui lui incombent.
Le responsable du traitement et le délégué à la protection des données sont donc deux personnes bien distinctes.
Approfondissez votre connaissance du RGPD
Pour en apprendre plus et savoir si vous êtes prêts à faire face au RGPD, répondez à nos questionnaires en ligne. Le premier défriche les notions de base de la protection des données, le second aborde des détails moins évidents et parfois propices à piéger les responsables de traitement de données personnelles. Cliquez ici pour y accéder.
N’hésitez pas à réclamer ici votre guide complet « RGPD : les bons conseils pour réussir » qui vous donne toutes les clefs théoriques et pratiques sur plus de 150 pages !
