Article

Publié le 8 janvier 2018

D’application dès mai prochain, le Règlement européen sur la protection des données à caractère personnel (RGDP) définit les obligations à respecter dans le traitement des données personnelles. Digital Wallonia fait le point sur la question en collaboration avec le CRIDS.

GDPR : désigner un responsable de traitement des données


Personne physique ou entreprise, le responsable de traitement détermine les finalités et les moyens de traitement des données à caractère personnel. Il décide de leur usage, de la durée de leur conservation et des personnes qui y ont accès.

La désignation du responsable de traitement est cruciale. En effet, il s’agit de la personne assumant les principales obligations en matière de protection des données. Il est également l’interlocuteur des personnes concernées désireuses d’exercer les droits que leur confère le GDPR.

GDPR : huit obligations à respecter


Après avoir vérifié s’il peut traiter les données à caractère personnel (cf. article RGPD / GDPR … votre entreprise est-elle prête ?), le responsable de traitement est tenu de mettre en place un certain nombre de mesures pour les gérer de manière responsable.

1

L’objectif est de se constituer une preuve du respect de la réglementation.

Il remplace le devoir de notification préalable à la Commission de Protection de la Vie Privée.

Dans ce registre doivent figurer :

  • le nom et les coordonnées du responsable de traitement,
  • les finalités du traitement,
  • une description des activités effectuées et des catégories de personnes concernées,
  • les transferts éventuels de données vers un pays non membre de l’Union européenne,
  • la durée de conservation, et
  • une description générale des mesures de sécurité mises en place (le site de la Commission propose ce modèle).

En théorie, cette obligation ne s’impose pas aux entreprises de moins de 250 employés. Cependant, elles se doivent de tenir un tel registre dans un certain nombre de cas énumérés par le GDPR. Ces exceptions sont loin d’être anecdotiques. Ce qui laisse présager que seul un nombre très limité de PME seront effectivement exemptées de cette obligation.

2

Cette analyse permet au responsable de traitement d’avoir conscience des risques pour les droits et libertés des personnes et les gérer au mieux.  

S'il s'avère que le risque est élevé pour les personnes concernées, le responsable de traitement doit alors procéder à une analyse d'impact. Celle-ci doit comprendre une description détaillée des différents traitements effectués ainsi qu'une évaluation de leur nécessité et proportionnalité.

3. La définition des mesures de protection des personnes concernées

Sur base de l’analyse des risques, le responsable de traitement doit déterminer les mesures techniques et organisationnelles à mettre en place pour protéger les personnes concernées (lien articles 2 et 3).

4

Le responsable de traitement a un devoir de loyauté et de transparence. Pour le remplir, il doit fournir spontanément à la personne concernée certaines informations énumérées par le GDPR dans certaines conditions (cf. article "GDPR : quels droits pour les personnes concernées?").

5

Le responsable de traitement est tenu de s’assurer de l’exactitude et de la mise à jour des données à caractère personnel. En cas d’inexactitude, toutes les mesures raisonnables doivent être prises pour une rectification ou un effacement.

6. La sécurité des données

Le responsable de traitement est tenu d’assurer l’authenticité, l’intégrité et la confidentialité des données à caractère personnel. À ces fins, il doit se prémunir contre tout traitement non autorisé, la perte, la destruction ou les dégâts accidentels pouvant s’opérer sur celles-ci.

Il revient au responsable de traitement, sur base de l'analyse des risques, de décider des mesures adaptées à mettre en place compte tenu de l’état des connaissances en la matière et des coûts de mise en œuvre.

7. Prévoir certaines garanties en cas de sous-traitance

Le responsable de traitement peut faire appel pour toutes ou certaines activités de traitement à un sous-traitant qui agira pour son compte. Le choix est laissé à la libre appréciation de ce dernier, mais il revient au responsable de traitement de sélectionner un sous-traitant de qualité, présentant les garanties suffisantes en matière de protection des données. Un contrat écrit doit être conclu entre le responsable de traitement et le sous-traitant.

8

Le GDPR exige la présence d'un DPO lorsque le responsable de traitement doit faire face à des opérations de gestion des données à caractère personnel à grande échelle.

Le choix du DPO doit se faire, notamment, en fonction de ses connaissances spécialisées en protection des données. Ce dernier doit être suffisamment outillé par le responsable de traitement pour aider l'entreprise à respecter la réglementation. Il est aussi attendu qu'il joue un rôle dans la formation du personnel participant aux traitements.

Conclusion


Ces différentes obligations du GDPR démontrent l’importance pour le responsable de traitement de pouvoir prouver qu’il respecte la réglementation. L’élaboration d’une cartographie des données et des types de traitements effectués ainsi qu’une analyse des risques sont des éléments clés. Il est conseillé de se référer aux lignes directrices de la Commission de Protection de la Vie Privée et des recommandations du Groupe de travail de l’Article 29.