LES RESPONSABILITÉS DES ACTEURS

La responsabilité des acteurs via l’accountabilty

La Nouvelle logique de responsabilisation : l’Accountability, c’est-à-dire la responsabilité des entreprises et organismes publics (Responsables de traitements et sous-traitants), qui sont placés au cœur de la mise en conformité au RGPD.

Les organismes doivent s’assurer de la conformité au RGPD de leurs traitements et être en mesure de le démontrer. Ils doivent donc mettre en œuvre les mesures techniques et organisationnelles pour y parvenir et respecter notamment les 8 grands principes étudiés préalablement au module 2.

Nativement, lors de tout projet de traitements basés sur la collecte et l’utilisation de données personnelles, l’organisme doit d’une part minimiser les données collectées et mettre en place les mesures de protection adaptées, et d’autre part documenter la conformité au RGPD.

L’accountability est une mise en conformité des traitements qui doit être mise en œuvre régulièrement et de manière dynamique. Par ailleurs, elle doit concerner l’ensemble des acteurs de l’organisme. Il convient de tracer et formaliser les obligations, les réflexions, les mesures prises. Cette documentation de la conformité constitue un ensemble de preuves visant à démontrer sa conformité en cas de contrôle de la CNIL mais également pour un sous-traitant souhaitant prouver sa conformité à ses clients. Mais cette documentation sert également à piloter au quotidien la conformité de l’organisme.

• • Cette documentation devra selon le cas, contenir à minima :
• • – Le registre des traitements
  • – Les documents contractuels des relations avec des tiers : contrats de sous-traitance
  • – Les supports de sensibilisation/formation des manipulateurs de données personnelles
  • – Les procédures de traitements de données personnelles
  • – Les labels de conformité obtenus
  • – Les audits de traitements de données personnelles (si existe)
  • – Le statut, la formation et la lettre de mission du DPO
  • – Les documents garantissant le respect des droits des personnes
  • – Les mentions d’informations obligatoires
  • – Le recueil du consentement (pour un traitement ayant le consentement comme base légale)
  • – Les Etudes d’Impact sur la Vie Privée (EIVP/PIA)
  • – Les politiques et procédures liées à la sécurité des données personnelles

Principes de “Privacy by design” et “Privacy by default”

2 notions centrales doivent être respectées par un organisme :

• Le respect du principe de « Privacy by default », c’est-à-dire la protection des données par défaut. Par défaut, il convient donc de limiter au strict nécessaire les données collectées (minimisation des données collectées, ne pas rendre techniquement obligatoire la fourniture d’une donnée facultative), limiter les finalités du traitement, définir une durée de conservation la plus réduite possible (purge automatique à l’issue de la durée définie), prévoir que les personnes habilitées à accéder aux données soit limiter au strict nécessaire (prévoir habilitations et droits d’accès).

• Le respect du principe de « Privacy by design », c’est-à-dire la protection des données dès la conception d’un produit ou d’un service. Les grands principes relatifs à la protection des données doivent être appliqués de manière effective auxdits produits ou services nouvellement créés. Les Responsables de traitements doivent donc mettre en œuvre des mesures techniques et organisationnelles visant à garantir la protection adéquate des données personnelles des personnes.

Les outils de mise en conformité

Les outils de mise en conformité de l’organisme sont de 2 sortes, les outils obligatoires et les recommandés.

1. Les outils obligatoires

– le registre des activités de traitements

– le cas échéant, le Délégué à la Protection des Données (DPO)

– le cas échéant, une Analyse d’Impact sur la Vie Privée (AIPV/EIVP/PIA)

Les outils recommandés

– la certification

– le code de conduite

– les règles d’entreprises contraignantes (BCR)

Partage de responsabilité

via la co-responsabilité

Depuis l’entrée en vigueur du RGPD, il existe une co-responsabilité lorsqu’à minima deux responsables de traitements déterminent la finalité et les moyens d’un traitement. La détermination de la finalité et des moyens pour y parvenir peut ne pas être égalitaire entre les parties. Les parties deviennent donc Responsables conjoints.

Un contrat devra préciser les responsabilités et obligations respectives de chacune des parties (qui répond à une demande de droits d’accès, qui effectue une EIVP…).  Les grandes lignes de cet accord entre les responsables conjoints seront communiquées aux personnes concernées par les traitements.

Par ailleurs, la personne concernée par le traitement pourra faire valoir ses droits auprès de n’importe quelle partie qui devra alors se coordonner pour fournir les réponses à la personne.

L’ensemble des grands principes du RGPD doivent être respectés lors d’une co-responsabilité.

Les sous-traitants

Un sous-traitant est un organisme qui traite des données personnelles pour le compte et sur instruction documentée d’un autre organisme, dans le cadre d’un service ou d’une prestation

Les organismes qui sont responsables de traitements (donneur d’ordre), ne peuvent faire appel qu’à un sous-traitant qui, comme l’article 28 du RGPD le stipule, « présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

Un contrat incluant des clauses spécifiques devra être établi entre le responsable de traitements et son sous-traitant. Le « Guide du sous-traitant » de la CNIL offre une mine d’information aux fins de mettre en conformité la sous-traitance de l’organisme.

Le sous-traitant doit se soumettre à 4 obligations clés que sont : transparence et traçabilité, sécurité des données traitées, encadrement de la sous-traitance ultérieure (la sous-traitance du sous-traitant), l’accompagnement du responsable de traitement dans la mise en conformité des traitements.

1- Transparence et traçabilité

Le sous-traitant doit donc établir un contrat ou acte juridique avec son client qui devra préciser les obligations et responsabilités. Ce dernier devra notamment inclure l’ensemble des dispositions de l’article 28 du RGPD.

Il conviendra d’avoir par écrit les instructions documentées du responsable de traitement (son client pour lequel il met en œuvre la prestation). En cas de sous-traitance ultérieure par le sous-traitant, ce dernier devra en demander l’autorisation au responsable de traitement.

Le sous-traitant devra prévoir de mettre à disposition la documentation nécessaire visant à prouver la conformité au RGPD des traitements mis en œuvre pour le compte de son client. En premier lieu duquel, le registre des activités de traitements mis en œuvre pour ses clients, décrivant les traitements.

2 – Sécurité des données traitées

Dans le cadre de la mission confiée par le responsable de traitements, le sous-traitant doit :

• – Soumettre ses collaborateurs à la confidentialité des données traitées.
• – Prévoir les mesures techniques et organisationnelles de sécurité adaptées en fonction du risque, en cas de violation de données personnelles.
• – En cas de violation de données, il devra en informer son client
• – Au terme de la prestation, il devra effacer les données confiées et détruire toutes les copies en sa possession (sauf si une obligation légale contradictoire l’oblige à les conserver).

Le contrat de sous-traitance devra préciser l’application concrète desdites obligations.

3 – Encadrement de la sous-traitance ultérieure

Si le sous-traitant souhaite lui aussi faire appel à un sous-traitant dans le cadre de la prestation, il devra s’assurer du respect des obligations qui lui incombent auprès de son propre sous-traitant (dit sous-traitance ultérieure) et respecter les 2 conditions cumulatives :

• Le sous-traitant dispose d’une autorisation écrite, générale ou spécifique de la part du responsable de traitement. Pour une autorisation générale, en cas de changement de sous-traitant ultérieur, le sous-traitant devra en informer le responsable de traitement. Pour une autorisation spécifique, le sous-traitant devra obtenir une nouvelle autorisation spécifique de son client.

• Le sous-traitant doit s’assurer des garanties suffisantes au regard du RGPD de son sous-traitant ultérieur. S’il s’avère que ce dernier ne respecte pas l’ensemble des obligations, le sous-traitant sera alors pleinement responsable auprès du responsable de traitement, de l’exécution totale (par son sous-traitant ultérieur) de ses obligations.

4 – Accompagnement du responsable de traitement dans la mise en conformité

Le sous-traitant à une obligation d’aide du responsable de traitement aux fins de s’acquitter des obligations : respect des demandes d’exercice des droits (accès, rectification, portabilité…), sécurisation des données, EIVP, notification en cas de violation de données.

Nous l’avons vu, le sous-traitant doit disposer d’un registre des traitements effectués pour le compte de ses clients. Il doit également, si désignation obligatoire, disposer d’un Délégué à la Protection des Données (DPO).

Sanctions et recours

cIl existe différentes typologies de sanctions administratives de la CNIL (amende administrative, retrait d’une certification, obligation de satisfaire à une demande de droits, suspension d’envoi de données en pays-tiers, limitation de traitement temporaire ou définitive, injonction de mise en conformité à la réglementation d’un traitement. Rappel à l’ordre), potentiellement cumulatives de sanctions judiciaires, civils ou prud’homal.

1 – Le risque de sanctions administratives de la Cnil (art 83 & 84 du RGPD)

Différentes sanctions administratives peuvent être prononcées par l’autorité administrative : 

• – Amende administrative de 20 millions d’euros ou 4% du CA
• – Injonctions de cesser la mise en œuvre d’un traitement (temporaire ou définitive)
• – Injonction de mise en conformité d’un traitement
• – Rappel à l’ordre
• – Obligation de satisfaire à une demande de droits de personnes (accès, rectification, effacement…)
• – Sanction de principe dite avertissement publique, des manquements constatés
• – Procédure d’urgence de blocage d’un traitement, si manquements grave

L’article 83 du RGPD précise ainsi que la CNIL peut sanctionner “jusqu’à 20 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu”.

Une personne peut saisir une autorité de contrôle compétente, qui peut être l’autorité administrative de l’état membre où réside habituellement la personne, celle où se situe son lieu de travail, où celle où la violation de données personnelles a été commise.

Si la personne est confrontée à une violation manifeste du RGPD, elle pourra également faire un recours juridictionnel.

2 – Le risque de sanctions judiciaires

Actions en responsabilité pénales avec sanctions prononcées par un juge

Art L226.16 et suivants CP : 5 ans et 300 000 euros d’amendes ou 1,5 millions (entreprises).

3 – Le risque civile et prud’homal

Actions en responsabilité civile : dommages et intérêts (+ class actions) (art 82)            

Un client peut demander à un juge des droits et intérêts.

Un salarié peut contester son licenciement ou autre, devant les prud’hommes.

Lorsque plusieurs responsables de traitements participent à un même traitement à l’origine d’un préjudice, chaque responsable de traitement est responsable du préjudice dans sa totalité.

La multiplicité des risques oblige à être vigilent, et à mettre en œuvre des politiques de conformité.