Il est difficile de croire que nous approchons du premier anniversaire du GDPR. Après une période de transition de deux ans, le GDPR est entré en vigueur le25 mai 2018 et a complètement transformé la façon dont les organisations abordent la confidentialité des données.

La législation a été introduite pour refléter notre monde de plus en plus numérisé et reconnaître les droits des individus en ce qui concerne l’utilisation de leurs données personnelles.

De nombreuses organisations ont consacré beaucoup de temps et d’efforts pour s’assurer qu’elles sont conformes à la nouvelle législation, mais pour d’autres, le chemin a été plus difficile et ardu. La démonstration de la conformité au GDPR est un processus continu et de nombreux aspects de la législation nécessitent encore des éclaircissements et peuvent s’avérer déroutants pour les organisations.

Deux termes que nous entendons constamment en relation avec le GDPR sont « Contrôleurs de données » et « Processeurs de données ». Il est important de comprendre la distinction entre ces deux termes car elle déterminera vos responsabilités en vertu de la législation.

La distinction entre un contrôleur de données et un processeur de données peut avoir des conséquences importantes dans le monde réel. Si une organisation est impliquée dans le traitement de données, il est essentiel qu’elle établisse les rôles et les responsabilités à un stade précoce afin d’éviter toute confusion en cas de violation des données. Cela permettra de s’assurer qu’il n’y a pas de lacunes dans les responsabilités et que les organisations peuvent traiter ces questions de manière efficace et efficiente.

Qu’est-ce qu’une donnée à caractère personnel ?

Si votre organisation traite des données à caractère personnel, le GDPR s’applique à vous. L’UE définit les « données personnelles » comme toute information pouvant être utilisée pour identifier directement ou indirectement une personne (personne concernée). Il peut s’agir d’un nom, d’une adresse électronique, d’une adresse IP ou d’une image. Cela inclut également les données personnelles sensibles telles que les données biométriques ou les données génétiques qui pourraient être traitées pour identifier une personne.

Êtes-vous un « contrôleur de données » ou un « processeur de données » ?

1 6
1 6

    

Si votre organisation détermine les finalités et la manière dont les données à caractère personnel sont traitées, elle est considérée comme un contrôleur de données.

Les responsables du traitement des données jouent un rôle clé dans la conformité au GDPR en raison des données personnelles des clients et des employés qu’ils conservent et collectent.

Les tâches du contrôleur de données comprennent

  • Faciliter une plus grande transparence du traitement des données relatives à la vie privée par rapport aux demandes des personnes concernées
  • Veiller à ce que les personnes concernées soient traitées dans les délais définis par le GDPR
  • Réalisation d’évaluations de la protection de la vie privée et désignation de DPD
  • Notification des violations de données aux autorités de contrôle dans les 72 heures suivant la découverte de la violation
  • Suivre et répondre aux changements dans les mandats de conformité
  • Remplacement des champs de données d’identification par des pseudonymes et cryptage des données personnelles
  • Tenue d’un registre des traitements de données à caractère personnel
  • Gérer et régir l’interaction avec les tiers en ce qui concerne le traitement et la manipulation des données à caractère personnel

Qui est un responsable du traitement des données et quelles sont ses responsabilités ?

Responsabilités du responsable du traitement des données

Si une personne, une organisation, une agence ou un autre organisme agit pour le compte d’un contrôleur de données, il est alors considéré comme un processeur de données.

Voici quelques exemples de processeurs de données :

  • Une agence extérieure (ex : une entreprise chargée de la destruction des informations relatives aux clients)
  • Un fournisseur de services en nuage qui stocke des données personnelles
  • Tout prestataire de services agissant en votre nom et ayant accès aux données à caractère personnel d’un client ou d’un employé

Lisez aussi le guide Dummies du règlement sur la vie privée et les communications électroniques.

Les tâches du responsable du traitement des données sont les suivantes :

  • Décider des systèmes informatiques ou autres méthodes à utiliser pour collecter les données à caractère personnel
  • Comment conserver les données à caractère personnel
  • Sécurité des données
  • Moyens utilisés pour transférer des données d’une organisation à une autre
  • Moyens utilisés pour récupérer des données à caractère personnel concernant certaines personnes
  • Veiller à ce que la méthode qui sous-tend le calendrier de conservation soit respectée
  • Moyens utilisés pour supprimer/éliminer les données

Les responsables du traitement des données sont soumis à plusieurs nouvelles obligations en vertu du GDPR, qui incluent le maintien de mesures qui allouent des niveaux de sécurité adéquats pour les données personnelles par rapport au risque potentiel.

Les responsables du traitement des données sont tenus de respecter les instructions des responsables du traitement des données, à moins que ces instructions ne soient contraires au GDPR lui-même.

Un contrôleur de données peut-il également être un processeur de données ?

Il existe certaines zones grises où les situations peuvent se chevaucher et où il est difficile de distinguer si vous êtes un contrôleur de données ou un processeur de données. Toutefois, l’ICO est clair dans ses conseils : « Une organisation ne peut pas être à la fois contrôleur et sous-traitant pour la même activité de traitement des données ; elle doit être l’une ou l’autre.

Cela signifie que pour déterminer quelle organisation est responsable de la protection de quelles données, il est nécessaire d’examiner le traitement en question, ainsi que les organisations impliquées. Il est également important que, dans la mesure du possible, les systèmes et les procédures fassent la distinction entre les données « propres » de l’organisation et les données qu’elle traite pour le compte des autres données ».

Apprenez également ce qu’est un consentement valide au sens du GDPR

Pour garantir une conformité totale au GDPR, les organisations devront définir clairement les rôles et les responsabilités afin d’éviter de tomber sous le coup de la législation. Si vous n’êtes pas sûr de la position de votre organisation, nous vous conseillons de consulter un conseiller juridique pour plus de clarté.

MetaPrivacy a été conçu pour fournir une approche des meilleures pratiques en matière de respect de la confidentialité des données. Contactez-nous pour plus d’informations sur la manière dont nous pouvons aider votre organisation à améliorer sa structure de conformité.

CLAUSE DE NON-RESPONSABILITÉ : Le contenu et les opinions de ce blog sont donnés à titre d’information uniquement. Ils n’ont pas vocation à constituer un avis juridique ou professionnel et ne doivent pas être considérés comme un substitut à un avis spécifique relatif à des circonstances particulières, à la loi sur la protection des données ou à toute autre législation actuelle ou future. MetaCompliance décline toute responsabilité en cas d’erreurs, d’omissions ou de déclarations trompeuses, ainsi que pour toute perte pouvant résulter de la confiance accordée aux informations contenues dans ce blog.