MD : Ces quelques informations peuvent vous aider si vous vous demandez comment appliquer le RGPD.
Le champ d’application du RGPD va bien au-delà de la directive sur la protection des données. L’un des changements les plus importants apportés par le RGPD est qu’il impose pour la première fois des obligations directes aux responsables du traitement de données à l’échelle de l’UE. Parallèlement à ces obligations, les personnes concernées peuvent faire valoir leurs droits directement contre les responsables du traitement de données et mettre en place un régime de contrôle qui expose le responsable du traitement des données à des sanctions, notamment à des amendes pouvant être très lourdes.
Qui est affecté ? Quelques définitions ?
Cela vaut la peine de se demander qui est visé par les obligations.
” Processeur – désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.”
” Contrôleur – désigne la personne physique ou morale, l’autorité publique, une agence ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel…”
Vous devez également déterminer si vous vous trouvez dans le champ d’application général du RGPD :
L’article 3 stipule que le RGPD s’applique:
– au traitement de données à caractère personnel dans le cadre des activités d’un établissement de traitement dans l’Union, que le traitement ait lieu ou non dans l’Union
– au traitement des données à caractère personnel des personnes concernées qui se trouvent dans l’Union par un responsable du traitement ou un sous-traitant non établi dans l’Union lorsque le traitement concerne l’offre de biens ou de services (gratuite ou payante) ou la surveillance du comportement qui a lieu au sein de l’UE.
Principales obligations
Si vous tombez dans le champ d’application du RGPD en tant que processeur de données, il existe un certain nombre de points de conformité clés, dont la plupart sont définis aux articles 28 à 37 du RGPD.
Traitement conforme aux exigences du présent règlement
Les contrôleurs de données ne peuvent nommer que des processeurs de données qui fournissent des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir que le traitement respecte les exigences du RGPD. Les processeurs sont tenus de traiter les données à caractère personnel conformément aux instructions du contrôleur. Cette approche est très large et impose indirectement l’obligation de se conformer à de nombreuses exigences applicables aux contrôleurs, bien que ce soit sur leurs instructions. Il est probable que cette exigence générale sera précisée dans le contrat de contrôleur / processeur concerné et il est dans l’intérêt des contrôleurs et des processeurs de veiller à ce que les obligations soient définies aussi clairement que possible.
Restrictions sur la sous-traitance
Le RGPD donne aux contrôleurs de données un large degré de contrôle en termes de capacité du processeur à sous-traiter. En effet, les processeurs de données nécessitent un consentement écrit préalable. Cela peut être général, mais même si un consentement général a été donné, le processeur est toujours tenu d’informer le contrôleur de tout nouveau sous-processeur, en lui laissant le temps de faire objection. Le processeur principal est tenu de refléter les mêmes obligations contractuelles qu’il a envers le contrôleur dans un contrat avec tout sous-processeur et reste responsable envers le contrôleur pour les actions ou inactions de tout sous-processeur.
Responsables de la protection des données
Le concept de DPO obligatoire n’est pas nouveau dans toutes les juridictions de l’UE,. Les contrôleurs et les sous-traitants sont tenus de désigner des DPO dans certaines situations, y compris lorsqu’il s’agit d’une autorité ou d’un organisme public, lorsque les activités de traitement des données nécessitent un contrôle régulier des personnes concernées à grande échelle ou lorsque les activités principales du traitement impliquent de grandes quantités données spéciales (sensibles) ou relatives aux condamnations pénales et aux infractions.