Les obligations du responsable de traitement : la structuration en interne

Registre des activités

Chaque responsable de traitement de plus de 250 personnes doit tenir un registre des activités de traitement effectuées sous sa responsabilité. Ce point est fondamental et sera, dans la plupart des cas, le premier document demandé en cas de contrôle de l’autorité de protection des données personnelles.

Ce registre comporte toutes les informations suivantes:

  • le nom et les coordonnées du responsable de traitement ;
  • les finalités de chaque traitement;
  • une description des catégories de personnes concernées et des catégories de données ;
  • les catégories de destinataires auxquels les données ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
  • le cas échéant, les transferts de données à vers un pays tiers ;
  • dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;
  • dans la mesure du possible, une description générale des mesures de sécurité.

L’autorité de protection des données personnelles a déjà fourni un modèle de registre : www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx.

 

Contractualisation avec les sous-traitants

Les sous-traitants ne pourront désormais intervenir pour le compte d’un responsable de traitement que si et uniquement s’ils ont un contrat signé. Ce contrat doit comprendre de nombreuses clauses, dont notamment (mais pas uniquement) le fait que le sous-traitant :

  • ne traite les données que sur instruction documentée du responsable de traitement ;
  • veille à ce que les personnes autorisées à traiter les données s’engagent à respecter la confidentialité ;
  • prend toutes les mesures de sécurité;
  • respecte les mêmes conditions pour recruter à son tour un autre sous-traitant;
  • donne suite aux demandes pour lesquelles les personnes concernées le saisissent en vue d’exercer leurs droits;
  • aide le responsable de traitement à garantir le respect de ses obligations prévues au GDPR;
  • met à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au GDPR et pour permettre la réalisation d’audits ou contrôles.

L’autorité de protection des données personnelles réclamera chacun de ces contrats en cas de contrôle.

De même que le responsable de traitement, chaque sous-traitant doit tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement, comprenant:

  • le nom et les coordonnées du ou des sous-traitants et de chaque responsable de traitement pour le compte duquel le sous-traitant agit;
  • les catégories de traitements effectués pour le compte de chaque responsable de traitement;
  • les transferts de données vers un pays tiers ou à une organisation internationale;
  • une description générale des mesures de sécurité.

De la même manière, l’autorité de protection des données personnelles pourra demander l’accès au registre du sous-traitant en cas de contrôle du responsable de traitement.

 

Transfert hors Union

Par principe, un transfert, vers un pays tiers ou à une organisation internationale, de données qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si :

  • Le pays a été reconnu comme conforme par la Commission européenne (liste disponible : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde) ; ou
  • Le destinataire des données est inscrit dans le cadre du programme USA / UE « Privacy shield » (liste disponible : https://www.privacyshield.gov/list) ; ou
  • Le destinataire a adhéré à un ensemble de règles contraignantes validé par l’autorité de protection des données personnelles ou une autre autorité de protection des données personnelles en Europe (« BCR ») ; ou
  • Le responsable de traitement et le destinataire ont signé un contrat, spécifique avec des clauses très particulières, qui rappellent les principes directeurs du GDPR et l’imposent contractuellement aux deux co-contractants ; ou
  • Chaque personne concernée a spécifiquement et expressément donné son consentement à un tel transfert, après avoir été informée des risques que ce transfert pouvait comporter pour elle ; ou
  • Le transfert est nécessaire à la conclusion ou l’exécution d’un contrat entre la personne concernée et le responsable de traitement ; ou
  • Le transfert est nécessaire pour des motifs importants d’intérêt public; ou
  • Le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice; ou
  • Le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement.

En d’autres termes, il est nécessaire de bien identifier où sont les serveurs d’hébergement, où sont les destinataires à qui des données sont envoyées et/ou où sont les sous-traitants travaillant pour mettre en place la documentation nécessaire. De la même manière, cette documentation sera demandée par l’autorité de protection des données personnelles en cas de contrôle.

 

DPO / Délégué à la protection des données

Une entité privée doit absolument désigner un DPO en interne lorsque :

  • Les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;
  • les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données sensibles.

 

Le GDPR ne l’exige pas pour d’autres cas. Mais il est probable que la loi française rajoute rapidement des cas impératifs. De plus, dans le cadre d’une communication du 13 décembre 2016, le Groupe de l’Article 29 (qui regroupe toutes les CNIL en Europe) a précisé qu’il fallait interpréter de manière extensive et large les cas dans lesquels il faut un DPO (http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf) En d’autres termes, dans le doute, il faut toujours désigner un DPO.

Le DPO est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données (Lawint propose des « abonnements » permettant d’accompagner les DPO non-juristes). Le DPO est un salarié ou un prestataire externe (par ex, un avocat DPO). Le DPO est protégé, c’est-à-dire que personne ne peut lui dire ce qu’il doit faire dans sa mission de conseil, d’assistance et d’alerte en termes de protection des données personnelles. Il est précisé que le DPO « fait directement rapport au niveau le plus élevé de la direction du responsable de traitement », c’est-à-dire au CEO.

Ses missions sont :

  • informer et conseiller en interne ;
  • contrôler le respect du GDPR et des règles internes du responsable de traitement en matière de protection des données à caractère personnel ;
  • dispenser des conseils, sur demande, en ce qui concerne l’analyse ;
  • coopérer avec l’autorité de protection des données personnelles, notamment pour les contrôles.

Ce DPO n’est pas un espion à la solde de l’autorité de protection des données personnelles, mais bien un compagnon pour le respect de la GDPR.