Le responsable de traitement au centre de la cybersécurité

En tant que particulier, vous êtes amenés à renseigner fréquemment des données personnelles ainsi que des données dites sensibles. La gestion des données ainsi fournies fait l’objet d’une réglementation stricte afin de garantir un niveau de protection optimal concernant le traitement de vos données.

 

Du rôle du responsable de traitement

La notion de responsable de traitement est née de l’adoption d’un règlement européen entré en vigueur en 2018 : le règlement général sur la protection des données (communément abrégé RGPD). Cette notion désigne à la fois l’entité ou l’organisme dont l’activité implique un traitement de données à caractère personnel, mais aussi la personne physique qui est le représentant légal de cet organisme.

 

Sa mission est de déterminer les finalités et les moyens de traitement des données personnelles collectées. Il est en charge de déterminer la politique de protection des données. En définitive, le responsable de traitement prend les décisions et adopte les mesures techniques et les mesures de sécurité afin d’être en conformité avec le RGPD.

 

La mise en conformité rgpd est en effet la préoccupation principale de tout responsable de traitement. Il devra donc, en premier lieu, déterminer les modalités de collecte de données des personnes concernées (sachant qu’il ne peut collecter que les données strictement nécessaires), la durée de conservation de leurs données et l’usage qui en sera fait. Il est aussi en charge de la bonne application de la politique de confidentialité qui doit être conforme aux données et à leur utilisation.

 

Des différentes tâches de mise en conformité au RGPD relevant du responsable de traitement

S’agissant d’un nouveau rôle, il s’accompagne donc de nouvelles obligations légales pour atteindre l’objectif de mettre en conformité le traitement des données. Il doit, en particulier :

 

  • Tenir un registre des traitements de données personnelles : il s’agit de la principale démarche de mise en conformité, ce registre recense et détaille toutes les activités de traitement ;

 

  • Garantir l’exercice des droits des personnes dont les données ont été collectées : droit d’accès, droit de rectification, droit d’effacement…

 

  • Mettre en place une analyse d’impact relative à la protection des données: elle consiste à faire un état des lieux de la protection des données personnelles afin de prouver la mise en conformité rgpd mais aussi mettre en évidence les risques sur la vie privée ;

 

Une responsabilité partagée

Co-responsabilité

Si le responsable de traitement est le premier responsable de toute démarche de mise en conformité et de la mise aux normes ; suivant la taille de l’entité, une deuxième personne peut être également nommée responsable du traitement. On parle alors de responsabilité conjointe. Mais pour être qualifié comme tel, les deux responsables de traitement doivent effectivement déterminer conjointement les finalités et les moyens de traitement.

 

Sous-traitants

La sous-traitance est permise par le RGPD, il ne s’agit toutefois pas d’une nouveauté étant donné que, en droit français, elle était déjà autorisée par la loi Informatique et libertés. Il s’agit de prestataires de service auxquels le responsable peut recourir pour l’aider dans l’accomplissement de ses obligations. Ils peuvent être en charge de l’intégralité du traitement ou uniquement d’une partie, par exemple juste les questions de sécurité informatique.

 

Le sous-traitant, ayant pour mission de traiter les données pour le compte du responsable, a accès à ces données. Dès lors, il est responsable de toute violation de données intervenue par sa faute ou en raison d’un manquement de sa part.

 

Data Protection Officer (DPO)

La désignation d’un DPO ou délégué à la protection des données en français – qui a un rôle de conseil et de sensibilisation (il doit notamment s’assurer que le système soit mis en conforme) – implique aussi un partage de la responsabilité. Celui-ci pouvant engager aussi bien sa responsabilité civile que pénale.