MODULE 3
La Nouvelle logique de responsabilisation : l’Accountability, c’est-à-dire la responsabilité des entreprises et organismes publics (Responsables de traitements et sous-traitants), qui sont placés au cœur de la mise en conformité au RGPD.
Les organismes doivent s’assurer de la conformité au RGPD de leurs traitements et être en mesure de le démontrer. Ils doivent donc mettre en œuvre les mesures techniques et organisationnelles pour y parvenir et respecter notamment les 8 grands principes étudiés préalablement au module 2.
Nativement, lors de tout projet de traitements basés sur la collecte et l’utilisation de données personnelles, l’organisme doit d’une part minimiser les données collectées et mettre en place les mesures de protection adaptées, et d’autre part documenter la conformité au RGPD.
L’accountability est une mise en conformité des traitements qui doit être mise en œuvre régulièrement et de manière dynamique. Par ailleurs, elle doit concerner l’ensemble des acteurs de l’organisme. Il convient de tracer et formaliser les obligations, les réflexions, les mesures prises. Cette documentation de la conformité constitue un ensemble de preuves visant à démontrer sa conformité en cas de contrôle de la CNIL mais également pour un sous-traitant souhaitant prouver sa conformité à ses clients. Mais cette documentation sert également à piloter au quotidien la conformité de l’organisme.
2 notions centrales doivent être respectées par un organisme :
Les outils de mise en conformité de l’organisme sont de 2 sortes, les outils obligatoires et les recommandés.
– le registre des activités de traitements
– le cas échéant, le Délégué à la Protection des Données (DPO)
– le cas échéant, une Analyse d’Impact sur la Vie Privée (AIPV/EIVP/PIA)
Les outils recommandés
– la certification
– le code de conduite
– les règles d’entreprises contraignantes (BCR)
Depuis l’entrée en vigueur du RGPD, il existe une co-responsabilité lorsqu’à minima deux responsables de traitements déterminent la finalité et les moyens d’un traitement. La détermination de la finalité et des moyens pour y parvenir peut ne pas être égalitaire entre les parties. Les parties deviennent donc Responsables conjoints.
Un contrat devra préciser les responsabilités et obligations respectives de chacune des parties (qui répond à une demande de droits d’accès, qui effectue une EIVP…). Les grandes lignes de cet accord entre les responsables conjoints seront communiquées aux personnes concernées par les traitements.
Par ailleurs, la personne concernée par le traitement pourra faire valoir ses droits auprès de n’importe quelle partie qui devra alors se coordonner pour fournir les réponses à la personne.
L’ensemble des grands principes du RGPD doivent être respectés lors d’une co-responsabilité.
Un sous-traitant est un organisme qui traite des données personnelles pour le compte et sur instruction documentée d’un autre organisme, dans le cadre d’un service ou d’une prestation
Les organismes qui sont responsables de traitements (donneur d’ordre), ne peuvent faire appel qu’à un sous-traitant qui, comme l’article 28 du RGPD le stipule, « présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Un contrat incluant des clauses spécifiques devra être établi entre le responsable de traitements et son sous-traitant. Le « Guide du sous-traitant » de la CNIL offre une mine d’information aux fins de mettre en conformité la sous-traitance de l’organisme.
Le sous-traitant doit se soumettre à 4 obligations clés que sont : transparence et traçabilité, sécurité des données traitées, encadrement de la sous-traitance ultérieure (la sous-traitance du sous-traitant), l’accompagnement du responsable de traitement dans la mise en conformité des traitements.
1- Transparence et traçabilité
Le sous-traitant doit donc établir un contrat ou acte juridique avec son client qui devra préciser les obligations et responsabilités. Ce dernier devra notamment inclure l’ensemble des dispositions de l’article 28 du RGPD.
Il conviendra d’avoir par écrit les instructions documentées du responsable de traitement (son client pour lequel il met en œuvre la prestation). En cas de sous-traitance ultérieure par le sous-traitant, ce dernier devra en demander l’autorisation au responsable de traitement.
Le sous-traitant devra prévoir de mettre à disposition la documentation nécessaire visant à prouver la conformité au RGPD des traitements mis en œuvre pour le compte de son client. En premier lieu duquel, le registre des activités de traitements mis en œuvre pour ses clients, décrivant les traitements.
2 – Sécurité des données traitées
Dans le cadre de la mission confiée par le responsable de traitements, le sous-traitant doit :
Le contrat de sous-traitance devra préciser l’application concrète desdites obligations.
3 – Encadrement de la sous-traitance ultérieure
Si le sous-traitant souhaite lui aussi faire appel à un sous-traitant dans le cadre de la prestation, il devra s’assurer du respect des obligations qui lui incombent auprès de son propre sous-traitant (dit sous-traitance ultérieure) et respecter les 2 conditions cumulatives :
4 – Accompagnement du responsable de traitement dans la mise en conformité
Le sous-traitant à une obligation d’aide du responsable de traitement aux fins de s’acquitter des obligations : respect des demandes d’exercice des droits (accès, rectification, portabilité…), sécurisation des données, EIVP, notification en cas de violation de données.
Nous l’avons vu, le sous-traitant doit disposer d’un registre des traitements effectués pour le compte de ses clients. Il doit également, si désignation obligatoire, disposer d’un Délégué à la Protection des Données (DPO).
cIl existe différentes typologies de sanctions administratives de la CNIL (amende administrative, retrait d’une certification, obligation de satisfaire à une demande de droits, suspension d’envoi de données en pays-tiers, limitation de traitement temporaire ou définitive, injonction de mise en conformité à la réglementation d’un traitement. Rappel à l’ordre), potentiellement cumulatives de sanctions judiciaires, civils ou prud’homal.
1 – Le risque de sanctions administratives de la Cnil (art 83 & 84 du RGPD)
Différentes sanctions administratives peuvent être prononcées par l’autorité administrative :
L’article 83 du RGPD précise ainsi que la CNIL peut sanctionner « jusqu’à 20 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ».
Une personne peut saisir une autorité de contrôle compétente, qui peut être l’autorité administrative de l’état membre où réside habituellement la personne, celle où se situe son lieu de travail, où celle où la violation de données personnelles a été commise.
Si la personne est confrontée à une violation manifeste du RGPD, elle pourra également faire un recours juridictionnel.
2 – Le risque de sanctions judiciaires
Actions en responsabilité pénales avec sanctions prononcées par un juge
Art L226.16 et suivants CP : 5 ans et 300 000 euros d’amendes ou 1,5 millions (entreprises).
3 – Le risque civile et prud’homal
Actions en responsabilité civile : dommages et intérêts (+ class actions) (art 82)
Un client peut demander à un juge des droits et intérêts.
Un salarié peut contester son licenciement ou autre, devant les prud’hommes.
Lorsque plusieurs responsables de traitements participent à un même traitement à l’origine d’un préjudice, chaque responsable de traitement est responsable du préjudice dans sa totalité.
La multiplicité des risques oblige à être vigilent, et à mettre en œuvre des politiques de conformité.
Pilotage de la conformité
Le DPO externalisé pilote la mise en conformité au RGPD et s’assure que celle-ci reste bonne au quotidien pour l’entreprise.
Consulting
360 OBJETS prend le rôle de conseiller dans la mise en conformité au RGPD. L’entreprise pilote elle même sa conformité et dispose de son propre DPO.
Contactez-Nous au 04 83 43 80 43
enseignements, Devis, Prise de rendez-vous