Actualités

Les obligations des organismes traitant des données personnelles

  • 21/05/2019
  • Antoine Cheron
  • Commentaires fermés sur Les obligations des organismes traitant des données personnelles

Différentes obligations sont à la charge des organismes, privés ou public, traitant des données à caractère personnel.

Afin d’être en conformité avec le RGPD, les organismes doivent notamment :

  • Respecter le principe de protection des données personnelles

Le principe de protection des données à caractère personnel et de la vie privée doit être respecté dès la conception du traitement et par défaut (« privacy by default » / « privacy by design »).

Ce principe se décompose, outre le respect des droits des personnes, en quatre grands principes :

  • Le principe de finalité: les données personnelles ne peuvent être traitées que dans un but précis, légal et légitime.
  • Le principe de proportionnalité et de pertinence : les données personnelles traitées doivent être pertinentes, strictement nécessaires, adéquates et non excessives au regard de la finalité du traitement.
  • Le principe de conservation limitée : les données personnelles ne peuvent être conservées que pour une durée limitée qui doit être fixée en fonction du type d’information concernée et de la finalité du traitement.
  • Le principe de sécurité et de confidentialité : le responsable de traitement doit garantir la sécurité et la confidentialité des données personnelles traitées (accès restreint aux données, respect de l’intégrité des données, protection des données etc.)

 

  • Tenir un registre des traitements effectués

Le registre des traitements de données à caractère personnel effectués permet de recenser les traitements de données en identifiant avec précision les personnes intervenant dans le traitement, les données traitées, l’utilité des données, les destinataires des données, la durée de conservation des données et leur mode de sécurisation.

  • Documenter la conformité au RGPD

Il appartient aux organismes traitant des données personnelles de se constituer une documentation afin de prouver leur conformité au RGPD.

Le dossier de conformité devra notamment contenir :

  • Le registre des traitements effectués ;
  • Les analyses d’impact relatives à la protection des données pour les traitements concernés ;
  • L’encadrement des transferts de données hors Union européenne ;
  • Les mentions d’information des personnes concernées par les traitements effectués ;
  • Les modèles de recueil du consentement de ces personnes ;
  • Les procédures mises en place pour l’exercice de leurs droits ;
  • Les contrats conclus avec les sous-traitants ;
  • Les procédures internes mises en place en cas de violations de données personnelles.

 

  • Notifier la violation de données personnelles

Le RGPD impose désormais aux organismes traitant des données à caractère personnelles de traiter en interne les violations des données personnelles et de notifier celles présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, aux personnes concernées par le traitement.

La violation de données est caractérisée dès lors qu’un traitement de données à caractère personnel a été mis en place et que les données traitées ont fait l’objet d’une violation, accidentelle ou illicite, comme la perte d’intégrité ou de confidentialité de la donnée personnelle.

Il appartient aux organismes, en interne, de déterminer la nature de la violation, les données et personnes concernées par la violation, les conséquences de la violation et les mesures prises ou envisagées pour atténuer les conséquences et/ou éviter qu’une telle violation se reproduise.

L’ensemble de ces informations doit être consigné dans un document qui devra, si la violation présente un risque pour les droits et libertés des personnes, être remis à la CNIL dans les 72 heures suivant la constatation de la violation.

  • Réaliser une étude d’impact des traitements à risque

L’analyse d’impact relative à la protection des données est nécessaire lorsque le traitement envisagé est susceptible, compte tenu de sa nature, sa portée, son contexte et ses finalités, d’engendrer un risque élevé pour les droits et libertés des personnes concernées (par exemple une atteinte à la confidentialité, la disponibilité ou l’intégrité des données traitées).

L’analyse d’impact doit être effectuée avant la mise en œuvre du traitement et contient notamment :

  • Une description des opérations de traitement envisagées et les finalités du traitement ;
  • L’évaluation de la nécessité et proportionnalité des opérations de traitement par rapport aux finalités de celui-ci ;
  • L’évaluation des risques sur les droits et libertés des personnes concernées ;
  • Les mesures envisagées pour faire face aux risques.
  • Désigner un DPO

Dans certains cas, le responsable de traitement et le sous-traitant doivent désigner un délégué à la protection des données (DPO pour « Data Protection Officer »).

Tel est le cas lorsque :

  • Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Bien que pour les autres organismes la désignation ne soit pas obligatoire, elle est vivement encouragée par les autorités car elle permet de confier à une personne disposant d’une expertise technique les actions à mener par l’organisme en matière de données personnelles.

En effet, le DPO est chargé de mettre en œuvre la conformité du responsable de traitement ou du sous-traitant au RGPD et doit notamment :

  • Informer et conseiller l’organisme qui l’a désigné sur les actions à effectuer ;
  • Contrôler le respect du RGPD ;
  • Conseiller l’organisme qui l’a désigné sur l’analyse d’impact à réaliser ;
  • Coopérer avec la CNIL.

Il doit disposer de compétences juridiques et techniques en matière de protection de données personnelles, avoir une bonne connaissance de l’activité de l’organisme et des traitements effectués par celui-ci et pouvoir exercer sa mission de DPO en toute indépendance

  • S’assurer du respect des droits des personnes concernées par les traitements effectués

Les personnes dont les données personnelles sont collectées et traitées disposent de différents droits que le responsable de traitement et le sous-traitant doivent respecter.

L’organisme traitant des données à caractère personnel doit donc s’assurer que des procédures permettant aux personnes concernées par les traitements effectués d’exercer leurs droits sont mises à leur disposition.