GDPR : quelles obligations dans le traitement des données ?

GDPR : quelles obligations dans le traitement des données ?

D’application dès mai prochain, le Règlement européen sur la Protection des Données Personnelles (RGDP) définit les obligations à respecter dans le traitement des données personnelles. Digital Wallonia fait le point sur la question en collaboration avec le CRIDS.

GDPR : désigner un responsable de traitement des données

Personne physique ou entreprise, le responsable de traitement détermine les finalités et les moyens de traitement des données à caractère personnel. Il décide de leur usage, de la durée de leur conservation et des personnes qui y ont accès.

La désignation du responsable de traitement est cruciale. En effet, il s’agit de la personne assumant les principales obligations en matière de protection des données. Il est également l’interlocuteur des personnes concernées désireuses d’exercer les droits que leur confère le GDPR.

GDPR : huit obligations à respecter

Après avoir vérifié s’il peut traiter les données à caractère personnel (cf. article RGPD / GDPR … votre entreprise est-elle prête ?), le responsable de traitement est tenu de mettre en place un certain nombre de mesures pour les gérer de manière responsable.

1. La tenue d’un registre écrit des activités de traitement

L’objectif est de se constituer une preuve du respect de la réglementation.

Il remplace le devoir de notification préalable à la Commission de Protection de la Vie Privée.

Dans ce registre doivent figurer :

  • le nom et les coordonnées du responsable de traitement,
  • les finalités du traitement,
  • une description des activités effectuées et des catégories de personnes concernées,
  • les transferts éventuels de données vers un pays non membre de l’Union européenne,
  • la durée de conservation, et
  • une description générale des mesures de sécurité mises en place (le site de la Commission propose ce modèle).

En théorie, cette obligation ne s’impose pas aux entreprises de moins de 250 employés. Cependant, elles se doivent de tenir un tel registre dans un certain nombre de cas énumérés par le GDPR. Ces exceptions sont loin d’être anecdotiques. Ce qui laisse présager que seul un nombre très limité de PME seront effectivement exemptées de cette obligation.

2. L’analyse des risques encourus par les personnes identifiées

Cette analyse permet au responsable de traitement d’avoir conscience des risques pour les droits et libertés des personnes et les gérer au mieux.  

Elle doit comprendre une description détaillée des différents traitements effectués ainsi qu’une évaluation de leur nécessité et proportion.

3. La définition des mesures de protection des personnes identifiées

Sur base de l’analyse des risques, le responsable de traitement doit déterminer les mesures techniques et organisationnelles à mettre en place pour protéger les personnes concernées (lien articles 2 et 3).

4. L’information des personnes identifiées

Le responsable de traitement a un devoir de loyauté et de transparence. Pour le remplir, il doit fournir spontanément à la personne concernée certaines informations énumérées par le GDPR dans certaines conditions (cf. article « GDPR : l’Autorité de protection des données, garante du respect des obligations« ).

5. La garantie de la qualité des données

Le responsable de traitement est tenu de s’assurer de l’exactitude et de la mise à jour des données à caractère personnel. En cas d’inexactitude, toutes les mesures raisonnables doivent être prises pour une rectification ou un effacement.

6. La sécurité des données

Le responsable de traitement est tenu d’assurer l’authenticité, l’intégrité et la confidentialité des données à caractère personnel. À ces fins, il doit se prémunir contre tout traitement non autorisé, la perte, la destruction ou les dégâts accidentels pouvant s’opérer sur celles-ci.

Il revient au responsable de traitement, sur base de l’analyse des risques, de décider des mesures adaptées à mettre en place compte tenu de l’état des connaissances en la matière et des coûts de mise en œuvre.

7. Prévoir certaines garanties en cas de sous-traitance

Le responsable de traitement peut faire appel pour toutes ou certaines activités de traitement à un sous-traitant qui agira pour son compte. Le choix est laissé à la libre appréciation de ce dernier, mais il revient au responsable de traitement de sélectionner un sous-traitant de qualité, présentant les garanties suffisantes en matière de protection des données. Un contrat écrit doit être conclu entre le responsable de traitement et le sous-traitant.

8. la désignation d’un délégué à la protection des données (DPO)

Le GDPR exige la présence d’un DPO lorsque le responsable de traitement doit faire face à des opérations de gestion des données à caractère personnel à grande échelle.

Le choix du DPO doit se faire, notamment, en fonction de ses connaissances spécialisées en protection des données. Ce dernier doit être suffisamment outillé par le responsable de traitement pour aider l’entreprise à respecter la réglementation. Il est aussi attendu qu’il joue un rôle dans la formation du personnel participant aux traitements.

Conclusion

Ces différentes obligations du GDPR démontrent l’importance pour le responsable de traitement de pouvoir prouver qu’il respecte la réglementation. L’élaboration d’une cartographie des données et des types de traitements effectués ainsi qu’une analyse des risques sont des éléments clés. Il est conseillé de se référer aux lignes directrices de la Commission de Protection de la Vie Privée et des recommandations du Groupe de travail de l’Article 29.