10 Fév 2021
Sophie NERBONNE, Directrice chargée de co-régulation économique à la CNIL, a accepté de répondre à nos questions sur le RGPD.
• QUESTION 1
Petit quiz : êtes-vous un responsable de traitement (RT), un sous-traitant (ST) ou un responsable conjoint (RC) ?
Ces notions sont importantes pour comprendre le rôle de chacun dans l’univers numérique des ESN (Informatique, Telecom) ou dès lors qu’il est question de collecter et traiter des données clients ou salariés comme le fait toute entreprise (Impression, Papeterie, Matériel de bureau). Elles permettent d’établir les obligations et les responsabilités de chacun en matière de protection des données. Au niveau européen, un projet de lignes directrices en cours de finalisation clarifie ces notions. L’examen des rôles réels des parties doit se faire sur la base d’une analyse in concreto, en associant le juridique et l’opérationnel pour comprendre le contenu du contrat passé entre les parties et les risques présentés par les traitements.
Trois illustrations :
- Quand le service fourni ne vise pas spécifiquement un traitement de données à caractère personnel ou lorsque ce traitement ne constitue pas un composant principal clé du service, il ne s’agira pas d’un sous-traitant. Par exemple, un service de taxi dont la prestation ne consiste pas en un traitement de données sera qualifié de RT pour les traitements nécessaires à la fourniture de sa prestation de transport (enregistrement des appels clients…). Mais dans tous les cas, tous les membres EBEN sont responsables de traitement (traitement RH, finance ou com) et doivent respecter le RGPD.
- La nature du service déterminera si l’activité de traitement équivaut à un traitement de données à caractère personnel pour le compte du responsable du traitement. Dans le cas d’une société recourant à un fournisseur de services internet pour de la maintenance informatique, l’accès aux DP n’est pas l’objectif du service de maintenance mais en est indissociable car la finalité du service rend inévitable l’accès aux données personnelles. Ce fournisseur doit être considéré comme un ST et le dispositif contractuel prévu à l’art. 28 du RGPD appliqué. Par contre, s’il s’agit d’un consultant IT pour une correction de logiciel, la mission du consultant n’est pas de traiter des DP. L’accès à de telles données ne peut être exclu mais serait accessoire et limité. Le consultant ne serait ni ST ni RT et seules les mesures appropriées de l’art. 32 pour prévenir un usage non autorisé sont nécessaires. Beaucoup de membres EBEN (notamment les ESN) sont donc des sous-traitants et doivent respecter les règles spécifiques : conformité, contrat avec le client conforme à l’article 28, registre des activités de traitement en qualité de sous-traitants.
- Le RGDP identifie aussi les cas de plus en plus fréquents de participation conjointe de deux ou plusieurs entités à la détermination des finalités et des moyens essentiels d’un traitement. Une décision commune ou des décisions convergentes est ou sont prises par ces entités sur le traitement effectué par chacune d’elles en étant inextricablement lié à(aux) autre(s). Par exemple, une agence de voyage fait les réservations pour les compagnies aériennes, hôtels…. Ces prestataires créent une plate-forme prévoyant quelles données seront stockées, quels accès donnés à chacun et comment mener des actions communes de marketing. Chacun de ces prestataires opère en qualité de RT pour leur traitement et dans le cadre de cette plate-forme, ils seront RT conjoints avec des obligations spécifiques.
• QUESTION 2
Suis-je dispensé de faire un registre de traitements ? À quoi sert-il ?
Cet outil de conformité est obligatoire quels que soient la taille et le secteur de l’organisme, public ou privé, qui met en œuvre des traitements de données personnelles. La dérogation prévue pour les organismes de moins de 250 salariés ne vaut que pour les traitements occasionnels (une compagne de prospection commerciale par exemple). S’agissant d’une obligation légale, il est demandé systématiquement par la Cnil en cas de contrôle. La Cnil a élaboré un modèle simplifié.
Ce registre vous permet ainsi de faire l’inventaire de vos fichiers (gestion de la paye, gestion des clients prospects, des fournisseurs etc.). Vous aurez ainsi une vision d’ensemble des informations dont vous disposez. Cela vous est indispensable pour savoir :
- Comment assurer la sécurité de ces informations concernant vos clients, salariés.. dont vous êtes responsable en cas de perte, vol… Les contrôles de la Cnil débouchent le plus souvent sur le constat de manquement à l’obligation de sécurité des données ; vos clients, salariés auront d’autant plus confiance en vous que vous protégerez leurs données.
- Comment mieux les utiliser dans le cadre de votre activité : à quoi vous servent-elles ? Si elles ne sont pas utiles et nécessaires, supprimez-les ; ne les conservez pas au-delà de ce qui est nécessaire pour atteindre l’objectif pour lequel elles ont été collectées ; vérifiez qui y a accès et pourquoi faire : le partage et la circulation des données personnelles doivent faire l’objet de contrat, afin de leur assurer une protection à tout moment. Vérifiez les destinataires de ces données ainsi que les habilitations accordées, tant en interne qu’en externe (prestataires).
Comme indiqué, les ESN en qualité de responsable de traitement et aussi de sous-traitant doivent mettre en œuvre deux registres.
• QUESTION 3
Ai-je besoin de désigner un délégué à la protection des données ?
La désignation d’un délégué est obligatoire pour toutes les autorités ou les organismes publics, quelle que soit leur taille et pour les organismes qui procèdent à un suivi régulier et systématique des personnes ou à un traitement de données « sensibles » (santé, vie sexuelle, opinions religieuses, …) ou relatives à des condamnations pénales et infractions, et ceci à grande échelle, comme par exemple des hôpitaux ou des banques.
Même si elle n’est pas obligatoire, la désignation d’un délégué à la protection des données est encouragée car elle permet de confi er à un référent l’identification et la coordination des actions à mener en matière de protection des données personnelles.
Les organismes peuvent désigner un délégué interne ou externe à leur structure. Le délégué peut par ailleurs être mutualisé, c’est-à-dire désigné pour plusieurs organismes sous certaines conditions (un délégué désigné pour un groupe d’entreprises devra être facilement joignable à partir de chaque lieu d’établissement et en mesure de communiquer efficacement avec les personnes concernées et coopérer avec l’autorité de contrôle).