Le RGPD : menace ou opportunité ? Episode 3

Maître Laurent Winkin, avocat au barreau de Liège

Au cours de la dernière étape de notre trilogie, nous allons aborder le second volet des responsabilités du Responsable du Traitement en nous arrêtant un instant sur celles du Sous-Traitant pour en terminer par les sanctions en cas de non-respect du RGPD.

5. RESPONSABILITE DU RESPONSABLE DU TRAITEMENT : suite et fin

5. Réaliser une analyse d’impact

Dans certaines hypothèses, le RGPD impose la réalisation d’une analyse d’impact relative à la protection des données.

L’article 35 du RGPD impose la réalisation d’une telle analyse dans les cas suivants :

1. évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
2. le traitement à grande échelle de catégories particulières de données, à savoir des données sensibles ou des données à caractère personnel relatives à des condamnations pénales et à des infractions ;
3. la surveillance systématique à grande échelle d’une zone accessible au public.

6. Désigner un délégué à la protection des données

Dans certaines hypothèses, le responsable du traitement a l’obligation de désigner un délégué à la protection des données, lequel, en toute indépendance, aura pour mission d’informer et de conseiller le responsable du traitement ou le sous-traitant sur l’ensemble des obligations qui leur incombent en vertu du RGPD, de contrôler le respect de ce dernier, de dispenser des conseils en ce qui concerne l’éventuelle réalisation d’une analyse d’impact relative à la protection des données, de coopérer avec l’autorité de contrôle et enfin de faire office de point de contact pour cette dernière.

7. Vérifier les contrats avec ses sous-traitants

Le RGPD exige que le responsable du traitement conclue un contrat écrit avec son sous-traitant, contenant des clauses précises.

Il est par conséquent essentiel de vérifier le contenu des contrats existants et de les mettre à jour.

La plupart des entreprises recourt à des prestataires de services externes, notamment pour stocker des données ou leur confier certaines tâches pour le compte de l’entreprise. Chacun de ces prestataires constitue un sous-traitant par rapport à l’entreprise qui demeure responsable du traitement.

L’article 28 du RGPD impose la mise en place d’un contrat reprenant une série d’éléments. Ce contrat prévoit notamment que le sous-traitant :

1. ne traite que les données à caractère personnel que sur instruction documentée du responsable du traitement ;
2. veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
3. prend toutes les mesures requises en terme de sécurité ;
4. tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, et dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes que les personnes concernées lui adressent ;
5. selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relative au traitement ;
6. met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations qui pèsent sur le sous-traitant et pour permettre la réalisation d’audits.

8. Réagir en cas de violation de données à caractère personnel

Une obligation de notification à l’autorité de contrôle et/ou de communication à la personne concernée d’une violation de données à caractère personnel pèse le cas échéant sur le responsable du traitement en fonction de la gravité de cette violation.

6. SANCTIONS

En préambule, il est important de souligner qu’il est de la responsabilité du responsable du traitement de démontrer qu’il est en conformité avec le RGPD.

Des réclamations peuvent également être introduites auprès de la Commission de la Protection de la Vie Privée (autorité de protection des données).

Des demandes en dommages et intérêts devant les juridictions ordinaires sont également envisageables.

L’autorité de protection des données dispose également de pouvoirs d’enquête étendus et de la possibilité de prendre des mesures correctrices telles que l’interdiction d’utiliser temporairement tout ou partie d’une base de données, voire même de poser les scellés sur les serveurs d’une entreprise violant le RGPD.

Enfin, mesure ultime, l’article 83 du RGPD permet à l’autorité de protection des données d’imposer des amendes administratives pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial d’une entreprise.

7. CONCLUSION

En conclusion, les entreprises qui n’accorderont que peu, voire pas d’intérêt au RGPD, prennent la décision consciente ou inconsciente de vivre avec une sérieuse menace au-dessus de leur tête tandis que celles qui veilleront dès à présent à tout faire pour se mettre en conformité avec le RGPD saisiront à pleines mains l’opportunité qui s’offre à elles de travailler de manière plus propre et plus sécure pour ce qui concerne le traitement des données à caractère personnel qu’elles opèrent, traitement qui s’avère de plus en plus important de jour en jour.

Ce faisant, elles auront fait choix de monter dans le train des nombreux changements conséquents que connaît notre société actuelle.

Les autres resteront à quai…