Principe de responsabilité et devoirs des responsables de traitements
Impossible d'accéder à la ressource audio ou vidéo à l'adresse :
La ressource n'est plus disponible ou vous n'êtes pas autorisé à y accéder. Veuillez vérifier votre accès puis recharger la vidéo.
Fondamental : Principe de responsabilité (accountability)
La logique d'accountability (traduite responsabilité en français) demande aux organismes de continuellement s'interroger sur la conformité de leurs traitements et d'être en capacité de prouver leur conformité au RGPD.
Cette logique se traduit notamment par le respect de deux notions du RGPD :
Privacy by design : la protection des données doit être au centre du projet dès sa conception.
Privacy by default : par défaut, la quantité de données collectées doit être minimale même s'il reste possible de proposer à l'utilisateur de fournir des données supplémentaires.
Définition : Responsable de traitement
Le responsable d'un traitement est une personne morale comme une entreprise, une association ou une administration. Le responsable peut être représenté par un membre de sa direction mais cette personne ne sera pas responsable face à la loi.
Remarque : Partage des responsabilités
Le RGPD introduit formellement la possibilité d'une co-responsabilité du traitement.
On parle de co-responsabilité lorsqu'au moins deux responsables de traitement s'accordent sur la finalité et les moyens d'un traitement. Par exemple, si des compagnies aériennes et hôtelières s'accordent pour la création d'une plate-forme de réservation commune, on parlera de co-responsabilité. Il est nécessaire de fournir les grandes lignes de l'accord aux personnes concernées par le traitement.
Complément : Les sous-traitants
Le cas spécifique des sous-traitants est encadré par le RGPD. Les organismes « donneurs d'ordre » ne doivent faire appel qu'à des sous-traitants présentant des mesures techniques et organisationnelles garantissant la protection des données.
Le sous-traitant possède quatre obligations :
Transparence et traçabilité : posséder une documentation et un registre détaillant les traitements de données de son client (le donneur d'ordre).
Sécurité des données : mettre en place un système d'autorisation pour l'accès aux données.
Respect des conditions de sous-traitance ultérieure : un sous-traitant peut lui-même faire appel à un sous-traitant en respectant des conditions.
Accompagnement du responsable de traitement : le sous-traitant doit aider le donneur d'ordre à s'acquitter de ses obligations (sécurité des données, analyse d'impact sur la vie privée, etc.).
Complément :
La CNIL met à disposition un guide du sous-traitant afin de faciliter l'édition des clauses du contrat de sous-traitance.
Complément : Sanctions
La CNIL peut décider de sanctions telles qu'un rappel à l'ordre, une injonction à la mise en conformité, une limitation du traitement ou encore une amende administrative.
L'amende administrative est graduelle et son montant dépend de la gravité du manquement au RGPD. Le montant maximal est :
20 millions d'euros ou 4% du chiffre d'affaires mondial en cas de non-respect des principes fondamentaux du RGPD
10 millions d'euros ou 2% du chiffre d'affaires mondial en cas de non-respect des dispositions du délégué à la protection des données.
À retenir
Les organismes sont au centre de la conformité de leurs traitements.
La co-responsabilité et la sous-traitance sont spécifiquement encadrées par le RGPD.
Le RGPD fournit un arsenal de sanctions très large à la CNIL qui pourra toucher même les plus grandes entreprises.