Le RGPD distingue deux rôles principaux : le responsable du traitement et le sous-traitant. Cette distinction est cruciale, car le responsable du traitement porte plus de responsabilités et doit remplir plus d’obligations que le sous-traitant.
Les responsables du traitement et les sous-traitants peuvent être des personnes physiques ou morales, par exemple une PME, une autorité publique, une entreprise, une organisation, un organisme d’État, une association, etc.
Le responsable du traitement détermine les finalités et les moyens d’une opération de traitement. En d’autres termes, le responsable du traitement décide du comment et du pourquoi d’une opération de traitement. Les sous-traitants, quant à eux, traitent des données personnelles pour le compte du responsable du traitement. Le traitement effectué par les sous-traitants doit être régi par un contrat avec le responsable du traitement des données ou par un autre acte juridique.

Exemples de contrôleurs de données :

  • les entreprises qui traitent les données personnelles de leurs clients pour finaliser une vente ;
  • les institutions financières qui traitent les données personnelles de leurs clients ;
  • les associations qui traitent les données de leurs membres ;
  • les écoles ou universités qui traitent les données personnelles des étudiants et des enseignants ;
  • les hôpitaux qui traitent les données personnelles de leurs patients ;
  • les agences gouvernementales qui traitent les données personnelles des citoyens.

Exemples de sous-traitants :

  • une PME embauche un service de comptabilité pour conserver ses livres de comptes : la PME est responsable du traitement des données et le service de comptabilité est un sous-traitant ;
  • une société de gestion de paie traite les données personnelles d’une PME. La société de gestion de paie agira en tant que sous-traitant si elle traite uniquement les données personnelles pour le compte de la PME. La PME détermine les finalités et les moyens du traitement des données et est donc responsable du traitement des données.
  • une PME demande à une société de marketing de collecter des adresses e-mail via des sites web tiers. La société de marketing se confirme aux instructions explicites de la PME et aux fins exclusives de celle-ci. La société de marketing agit comme sous-traitant pour cette collecte de données.
     

Plus d’informations :

Le DPD peut être un employé existant ayant une connaissance suffisante du RGPD (si les tâches professionnelles du salarié sont compatibles avec celles du DPD et que cela ne conduit pas à des conflits d’intérêts) ou une personne externe. Le DPD devrait être en mesure d’exécuter des missions de manière indépendante et de rendre compte directement au plus haut niveau de direction.

 

Plus d’informations :

 

Si votre organisation collecte les données personnelles directement auprès d’individus, elle doit fournir les informations nécessaires au moment de la collecte.

En cas de collecte indirecte de données personnelles, votre organisme doit fournir les informations au plus tard dans un délai d’un mois à compter de l’obtention initiale des données personnelles. Cette période maximale d’un mois peut être réduite :

  • si les données personnelles sont utilisées à des fins de communication avec la personne concernée. Dans ce cas, vous devez informer la personne concernée au plus tard au moment de la première communication à la personne concernée ;
  • si les données sont transmises à un autre destinataire, l’organisme en informe les personnes concernées au plus tard au moment du transfert des données personnelles. 

 

Plus d’informations :

 

Les particuliers peuvent vous demander si vous traitez leurs données et, dans ce cas, ils ont le droit d’accéder à ces données. Ainsi, lorsque cela se produit et si vous traitez leurs données, vous devez, par exemple, fournir une copie de leurs données personnelles, gratuitement, ainsi que toute information supplémentaire nécessaire. Lorsqu’une demande est faite par voie électronique, votre organisme doit fournir les renseignements requis dans un format électronique couramment utilisé, ou un autre format demandé par la personne concernée.

 

Plus d’informations :

 

Une violation de données personnelles est un incident de sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée de données personnelles ou l’accès à celles-ci.

  • Si la violation de données présente un risque pour les personnes concernées, vous devez la signaler à l’autorité compétente en matière de protection des données dans un délai de 72 heures.
  • Si la violation est susceptible d’entraîner un risque élevé pour les personnes, vous devrez également communiquer cette violation aux personnes concernées dans les meilleurs délais.

En tout état de cause, pour toutes les infractions – même celles qui ne sont pas notifiées à un autorité de protection des données – vous devez consigner au moins les détails de base de la violation, l’évaluation de celle-ci, ses effets et les mesures prises pour y répondre.

 

Plus d’informations :

Le contrat entre le responsable du traitement et le sous-traitant doit stipuler que ce dernier :

  • traite les données personnelles uniquement sur instruction du responsable du traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays situé en dehors de l’EEE ;
  • veille à ce que les personnes autorisées à traiter les données se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • assure la sécurité du traitement ;
  • ne fasse pas appel à un autre sous-traitant sans l’autorisation écrite spécifique ou générale préalable du responsable du traitement ;
  • assiste le responsable du traitement pour l’exécution des obligations du responsable du traitement pour répondre aux demandes d’exercice des droits des personnes ;
  • aide le responsable du traitement à sécuriser le traitement, à notifier les violations de données et à effectuer des AIPD;
  • au choix du responsable du traitement, supprime ou renvoie toutes les données personnelles au responsable du traitement après la fin de la prestation des services ;
  • mette à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations découlant du RGPD;
  • permette et contribue aux audits, y compris ceux effectués par le responsable du traitement des données ou un autre auditeur mandaté par le responsable du traitement des données.

En outre, le sous-traitant informe immédiatement le responsable du traitement si, à son avis, des instructions enfreignent le RGPD ou d’autres dispositions de l’UE ou nationales en matière de protection des données.

 

 Plus d’informations :

 

Le RGPD ou le règlement général sur la protection des données crée un ensemble harmonisé de règles applicables à tous les traitements de données personnelles effectués par des organisations (publiques ou privées, quelle que soit leur taille) établies dans l’Espace économique européen (EEE) ou ciblant des personnes physiques dans l’UE. L’objectif principal du RGPD est de veiller à ce que les données personnelles bénéficient du même niveau de protection élevé partout dans l’EEE, d’accroître la sécurité juridique tant pour les personnes physiques que pour les organisations qui traitent des données, et d’offrir un degré élevé de protection aux individus.

Le règlement est entré en vigueur le 24 mai 2016 et s’applique depuis le 25 mai 2018.